Cybersicherheit – eine Achterbahnfahrt im Jahr 2022

Das Jahr 2022 ist zu Ende. Und was für ein Jahr: Krieg, Energiekrise, Rezession, weltweite Nahrungsmittelknappheit und ein Leben nach und mit COVID-19. All das hat 2022 zu einem Jahr gemacht, das wir wohl alle nicht so schnell vergessen werden. Das gilt nicht zuletzt auch für den Bereich der Cybersicherheit. Es war ein Jahr, in dem die Angriffe sowohl an Intensität als auch an Volumen zugelegt haben, Lösegeldforderungen nach Ransomware-Attacken schier explodiert sind, und Cyberkriminelle kreativer denn je vorgehen.

Immer mehr Cyberangriffe auf deutsche Unternehmen

Ob Ransomware, DDoS oder Brute-Force-Angriffe – auch deutsche Unternehmen gerieten 2022 immer wieder ins Visier von Cyberkriminellen. Ganz ähnlich erging es Behörden und nicht zuletzt den Betreibern kritischer Infrastrukturen. Ob Medizintechnikunternehmen wie die Richard Wolf GmbH, der Energieversorger Enercity, die in Hamburg ansässige Deutsche Presseagentur, der Großhandelskonzern Metro, Continental, der Autovermieter Sixt, die Deutsche Windtechnik, aber auch der Caritasverband, das Fraunhofer-Institut und die TÜV Nord Group waren unter den Opfern. Auch kritische Infrastrukturen stehen unter massiv Cyberangriffen. Nicht nur in der Ukraine, sondern auch in Norwegen vermutet man russische IT-Kriminelle hinter etlichen Attacken. Aber auch grundsätzlich ist die Zahl der Angriffe, bei der die Hacker von staatlicher Seite unterstützt werden, gestiegen.

Was wird uns im Jahr 2023 erwarten? Meine Vermutung nach etlichen Jahren in der Branche ist, dass das kommende Jahr einschneidende Veränderungen für CIOs und CISOs bereithalten wird – aber auch für uns alle, die wir nur Zivilisten in einem Cyberkrieg sind, der zwischen Cyberkriminellen, Hacktivisten, staatlich gesponserten Hackern und Unternehmen sowie Staaten auf der anderen Seite ausgetragen wird. 

Cybersicherheit: Mit KI Hacker-Angriffe erkennen

KI-basierte Programme sind in den letzten Monaten viral gegangen. Zum Beispiel DALL-I oder MidJourney, also Bildbearbeitungsprogramme auf Basis künstlicher Intelligenz, mit denen sich Kunstwerke produzieren lassen, die bereits Wettbewerbe gewinnen. Und noch mehr denke ich an Programme wie das neue ChatGPT. Die Software kann auf Basis von lediglich einer einzigen Zeile Text, glaubwürdiges Material in nahezu jeder Sprache erstellen.

Eine Fähigkeit, die sich Cyberkriminelle zweifellos zunutze machen werden. Oder wie wäre es alternativ mit der explosionsartigen Zunahme von fortschrittlichen KI-Tools für das Face-Swapping. Das sind Deep Fakes, bei denen eine künstliche Intelligenz das Gesicht einer Person von einem Foto oder aus einem Video dem Körper einer anderen Person zuordnet – und das mittlerweile immer überzeugender. Es ist sogar möglich, mit Stimmen zu arbeiten. Überzeugende Videos mit Deep Fakes von Prominenten, die etwa für betrügerische Seiten werben. Und ich fürchte, das wird 2023 Realität bei der Cybersicherheit werden.

Physische und virtuelle Angriffe kombiniert

Im Jahr 2022 wurde die Dänische Staatsbahn (DSB) Opfer eines Hackerangriffs. Zum Glück hielten sich Schaden und Kosten in Grenzen, und die Bahnen konnten zügig zurück auf die Schiene. In Deutschland war die Deutsche Bahn betroffen. Allerdings handelte es sich hier um einen physischen Angriff auf die Infrastruktur, bei dem Kabel in Norddeutschland sabotiert wurden. Und schließlich sollten wir die Explosion von Nord Stream 1 und 2 in der Baltischen See nicht außer Acht lassen. Allen gemeinsam ist, dass es sich um gezielte Angriffe auf kritische Infrastrukturen handelt. In Zukunft werden wir wahrscheinlich nicht nur eine wachsende Zahl dieser Angriffe beobachten können, sondern vor allem solche, die eine physische und eine virtuelle Komponente haben.

Dem privaten Sektor wird es kaum besser ergehen. Unternehmen sollten damit rechnen, dass sie zunehmend sowohl physischer Sabotage als auch virtuellen Angriffen gleichzeitig ausgesetzt sein werden. Zum Beispiel durch koordinierte Angriffe auf die Edge-/IoT-Geräte eines Unternehmens, die nach einer Kompromittierung oftmals den direkten Zugriff auf das Firmennetz erlauben.

Richtlinie zur Sicherheit von Netz- und Informationssystemen

Die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) wurde von der EU bereits im November 2022 verabschiedet. Das heißt, die Richtlinie tritt spätestens 21 Monate später, also im Herbst 2024, in Kraft. Unternehmen haben, unabhängig von ihrer Größe, also nicht allzu viel Zeit, um die neuen Anforderungen zu erfüllen. NIS2 soll die Cybersicherheit gegen Cyberbedrohungen in der gesamten EU stärken und vereinheitlichen. Das gilt sowohl für Unternehmen als auch für den öffentlichen Sektor. Und da sind längst nicht alle so gut aufgestellt wie die stark digitalisierten nordischen Länder.

Viele Kommunen sind eher schlecht geschützt, weil Geld, Personal und klare Zuständigkeiten fehlen. Aber es gibt auch Bereiche, in denen alle Unternehmen die Anforderungen von NIS2 erfüllen müssen. Dies betrifft beispielsweise die Gewährleistung eines sicheren Datenverkehrs bezüglich der E-Mail-Kommunikation. Besondere Anforderungen werden etwa an den Energie- und Verkehrssektor gestellt, aber auch Lebensmittelfirmen, einschließlich des Einzelhandels, sind betroffen.

Awareness bei der Cybersicherheit stärken

NIS2 stellt unter anderem Anforderungen an die grundlegende Cybersicherheitshygiene, das heißt an die Schulung der Mitarbeiter hinsichtlich ihrer Awareness bei der Cybersicherheit sowie an eine erweiterte Dokumentation und Protokollierung. Wer die Vorgaben von NIS2 nicht im Rahmen der vorgegebenen Frist erfüllt, muss mit einer Geldstrafe in Höhe von zwei Prozent seines Umsatzes rechnen. Und meistens wird diese Summe gleich mit einer DSGVO-Sanktion in derselben Höhe kombiniert. Wer also nicht gleich auf vier Prozent seines Jahresumsatzes verzichten will – der sollte 2023 die Ärmel hochkrempeln.

Über den Autor: Steffen Friis ist Sales Engineer bei der Vipre Security Group. Das Unternehmen bietet Lösungen für E-Mail-Sicherheit, Endgerätesicherheit, Benutzerschutz und zudem Sicherheitsbewusstseins-Training und Bedrohungsinformationen. (sg)

Lesen Sie auch: IT-Sicherheit: 5 Entwicklungen, die Unternehmen 2023 beachten sollten