918 weitere KRITIS-Einrichtungen: BSI weitet IT‑Sicherheitsgesetz auf Finanzbranche aus

Attacken von Kriminellen auf die Betreiber Kritischer Infrastrukturen (KRITIS) sind leider längst real – nicht nur per Ransomware wie WannaCry und jüngst Petya. Mit der im Mai beschlossenen Ausweitung des 2015 in Kraft getretenen IT-Sicherheitsgesetzes hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt zusätzliche Gegenmaßnahmen ergriffen und insgesamt 918 weitere KRITIS-Einrichtungen in die Pflicht genommen. Davon betroffen sind insbesondere Geldinstitute und Versicherungsunternehmen.

von Carsten Maßloff, Geschäftsführer Ceyoniq Technology

Wenn Digitalisierung zwar gut gemeint, aber nicht gut gemacht ist, bringen entsprechende Initiativen statt der erhofften Optimierung oft vor allem eins mit sich: neue Sicherheitsrisiken. Ein schönes Beispiel hierfür bot unlängst ein Versicherungsunternehmen, das seinen Kunden zeitweise im Empfangsbereich der Hauptzentrale einen PC zur Verfügung stellte. Dort konnten sich auch technisch ungeübte Besucher mit wenigen Klicks über neue Produkte informieren.

Diejenigen, die etwas versierter waren, stellten schnell fest, dass sie nicht nur Produktinformationen des Hauses, sondern auch weitere, eher sensible Informationen über das frei zugängliche Intranet des Unternehmens erlangen konnten. Mittels eines USB-Anschlusses und etwas krimineller Energie wären fatale Szenarien denkbar gewesen.

Das Beispiel zeigt: Schnell wird aus einer vermeintlich guten Idee ein erhebliches Sicherheitsrisiko, wenn Schutzmaßnahmen bei der Planung außen vor bleiben.”

Systeme zum Management der Informationssicherheit

Das 2015 in Kraft getretene IT-Sicherheitsgesetz soll schlummernden Risiken mit einem obligatorischen Mindeststandard für Informationssicherheit einen Riegel vorschieben. Davon betroffen sind die Betreiber kritischer Infrastrukturen (KRITIS), seien es Energieversorger und Krankenhäuser oder seit Mai auch das Finanz- und Versicherungswesen. Unternehmen, die nun durch die Ausweitung des Gesetzes in die Pflicht genommen werden, müssen die Umsetzung der Norm bis spätestens Juni 2019 mit einer Zertifizierung nachweisen und dem BSI bis Dezember 2017 eine Kontaktstelle zur Meldung von Sicherheitsvorfällen angeben. Die Implementierung eines sogenannten Informationssicherheits-Managementsystems (kurz: ISMS) gemäß der internationalen Norm DIN ISO/IEC 27001 hilft dabei, diese gesetzlichen Vorgaben juristisch einwandfrei zu erfüllen.

Bei der Implementierung eines solchen ISMS ist ein schrittweises Vorgehen nach folgendem Schema zu empfehlen: Zuerst erfolgt die Bestandsaufnahme der technischen Voraussetzungen. Eine zuverlässige Diagnose der gegebenen Informationssicherheit ermöglicht beispielsweise das sogenannte Penetrationstesting durch ethische Hacker. Aufgedeckte Sicherheitsrisiken werden von ihnen protokolliert und dem Auftraggeber als Report übergeben. Ebenso müssen die Assets, die bei einem Angriff gefährdet sein können, im Rahmen einer umfassenden Risikoanalyse untersucht werden. Im dritten Schritt gilt es, mögliche Maßnahmen zur Optimierung der Informationssicherheit zu prüfen. Neben der rein technischen Dimension spielen dabei Schulungen und Audits der Belegschaft sowie eine Managementbewertung eine entscheidende Rolle.

Im Fadenkreuz von Cyber-Kriminellen

Die Finanz- und Versicherungsbranche ist naturgemäß besonders attraktiv für Cyber-Attacken. Bei Angriffen auf Finanzunternehmen können Angreifer schnell erhebliche Geldbeträge erbeuten. Auf Seiten der Assekuranz stellen deutschlandweit mehr als 500 Versicherungsgesellschaften mit über 400 Millionen verwalteten Verträgen ein sensibles Ziel dar. Die Gefahren sind vielseitig: Stark auf dem Vormarsch ist aktuell die eingangs beschriebene Ransomware, sozusagen digitales Kidnapping: Von außen wird virtuell eingebrochen, die Daten auf dem Rechner werden verschlüsselt und gegen Zahlung eines Lösegeldes (vielleicht) wieder freigegeben – soweit die Masche der Kriminellen. Oft genug bleiben die Daten jedoch bis zur Entschlüsselung des Angriffscodes gesperrt. Deswegen ist von Zahlungen an die Erpresser in allen Fällen abzuraten.

Zudem können Cyber-Kriminelle mit DoS-Attacken (Denial of Service) massive Schäden verursachen. Mittels gezielter Angriffe auf die Zielserver werden diese überlastet, so dass die Unternehmen stark in ihrem Betrieb beeinträchtigt werden. Im schlimmsten Fall können sogar vollständige Prozesse zum Erliegen kommen.

Phishing-Emails sind ein weiteres beliebtes Angriffsinstrument. Während das Beispiel des nigerianischen Bankangestellten, der dem Empfänger Versprechungen auf ein unangetastetes Erbe macht, mittlerweile schon recht bekannt sein dürfte, handelt es sich beim sogenannten Spear-Phishing um ein weitaus effektiveres Instrument: Die täuschend echt wirkenden Mails im Corporate Design enthalten meist neben einer fingierten Mail-Historie auch die gefälschte Mail-Adresse eines real existierenden Mitarbeiters des Unternehmens. Dieser bittet dann zum Beispiel um die Authentifizierung der Kontodaten einiger Mitglieder des mittleren Managements und begründet dies mit einer Panne in der Abteilung. Nicht jeder Empfänger einer solchen E-Mail wird da unmittelbar skeptisch, was mitunter gravierende Folgen haben kann.

Laut dem Jahresbericht des BSI ist die Zahl der Angriffe auf IT-Systeme in Deutschland auch 2016 deutlich gestiegen. Zudem wuchs die Zahl der für die Angriffe eingesetzten Schadsoftwarevarianten erheblich. Waren 2012 noch rund 100.000.000 bekannte Schadprogramme im Einsatz, hat sich ihre Zahl zuletzt fast versechsfacht.”

Es ist demnach davon auszugehen, dass sich die Summe der oben genannten Attacken in Zukunft weiter erhöht, so dass Unternehmen vorsorgen sollten. Der Anspruch an die eigene Informationssicherheit sollte sich dabei aber nicht in der Umsetzung der gesetzlichen Anforderungen erschöpfen, sondern auch die Sicherung der Unternehmenswerte zum Ziel haben – sei es in Form von Geldbeträgen oder digitalen Daten und Informationen. Dafür müssen technische und organisatorische Maßnahmen im Unternehmen etabliert, schützenswerte Assets identifiziert, potenzielle Risiken bekannt sowie die Meldekette im Falle eines Sicherheitsereignisses implementiert sein. Gerade der letzte Punkt, die Etablierung eines umfangreichen Incident-Managements für die in- und externe Kommunikation von Sicherheitsvorfällen wird zu häufig außer Acht gelassen. Warum soll ich diesen misslichen Vorfall auch noch kommunizieren? Macht das den Schaden nicht nur noch größer? Einigeln bringt in einer solchen Situation gar nichts! Hierbei gilt: Die Kommunikation eines eingetretenen Vorfalls kann helfen, weiteren Schaden zu vermeiden.

Sicherheitsfaktor Mensch

Zudem spielen auch die Mitarbeiter bei der Etablierung eines ISMS samt der entsprechenden personellen Maßnahmen eine entscheidende Rolle. Ein offiziell Verantwortlicher für Informationssicherheit kann dabei helfen, der womöglich verheerenden Sorglosigkeit seiner Kollegen zu begegnen. Die bloße Schaffung der Stelle garantiert aber keine Besserung, denn der Sicherheitsverantwortliche benötigt zugleich die Chance, seine Aufgaben mit der gebotenen Ernsthaftigkeit umzusetzen. Das macht es nötig, dass er Einsicht in Abläufe sowie Weisungsbefugnis erhält, um die erforderlichen Standards zu etablieren. Doch es bedarf auch der Überzeugung und des Bewusstseins der übrigen Mitarbeiter. Die – auf neudeutsch – Awareness für die Risiken muss bei allen Angestellten samt der Leitungsebene ausgeprägt sein.aj