:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISX 2022: Interview mit Keynote-Speaker Manuel Atug Aware sind alle, aber KRITIS braucht mehr
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Awareness allein genügt nicht – sagt Sicherheitsexperte Manuel Atug und fordert eine weitreichendere Transformation. Was er damit meint, erörtert uns der „ISX-2022“-Keynote-Speaker im exklusiven Interview. Thematisch spannt er dabei den Bogen von Bildungslücken der Informationsgesellschaft bis hin zu einer bislang unzureichend differenzierten Betrachtung kritischer Infrastrukturen.
Man kennt Manuel Atug als geladenen Sachverständigen in Bundestagsauschüssen oder @HonkHase im sozialen Netz. Wir durften mit dem Diplom-Informatiker und Master in Applied IT Security allgemein über aktuelle Sicherheitsdefizite und ganz konkret über die Zukunft kritischer Infrastrukturen sprechen.
Security-Insider: Wie ernsthaft kann man mit einem @HonkHasen über Kritische Infrastrukturen diskutieren?
Manuel Atug: Der Name wurde mir ja verpasst und ich bin einfach daran klebengeblieben; aber ich betone immer: Es geht weniger darum, wie jemand aussieht, wie jemand heißt oder welche Nationalität jemand hat: Es geht um die Inhalte. Und wenn die Inhalte nachvollziehbar, begründbar und logisch sind, kann man darüber reden. Und genau das tue ich. Insofern diskutieren mit mir auch sehr gerne Politikerinnen oder auch zum Beispiel der Inspekteur Kommando Cyber- und Informationsraum persönlich.
Security-Insider: Umso schöner, dass Sie auch mit uns sprechen und zurück zu unserem Schwerpunkt: Woran hapert es derzeit in Deutschland bei den kritischen Infrastrukturen?
Atug: Also an der Security Awareness an sich hapert es nicht – die ist überall da und aware sind alle. Aber es fehlt an der Transformation, diese Sicherheit umzusetzen und dauerhaft zu leben. Sicherheit ist eben kein Produkt, das ich einmalig kaufe. Sicherheit ist ein Prozess der dauerhaft gelebt werden muss. Und das muss man mit verschiedenen Anreizen oder Verständnissen realisieren.
Security-Insider: Und wie erreicht man dieses Ziel nun ganz praktisch?
Atug: Da muss man bei den Defiziten ansetzen. Ganz allgemein vermitteln wir im deutschen Bildungssystem kein IT-Security- oder IT-Verständnis für die breite Masse. Wir leben in einer Informationsgesellschaft, bilden aber Fabrikarbeiterinnen aus, die nicht digital souverän agieren können. Genau diese Menschen arbeiten dann eben in den KMU oder Konzernen oder sind Politikerinnen oder Entscheiderinnen.
Und mit Blick auf kritische Infrastrukturen im speziellen hapert es an der Regulierung; wenn die nicht ausreicht, sparen Organisationen eben oftmals zuerst an der Sicherheit. Anders als Einsparungen bei der Produktion wirkt sie sich nicht unmittelbar auf Kennzahlen aus. Letztendlich wird aber jeder irgendwann kompromittiert und dann stellt sich nur noch die Frage, ob und wie schnell man es bemerkt.
Security-Insider: Damit sprechen Sie zwei Aspekte an. Bildung, die man vielleicht langfristiger denken muss und Regulierung, mit der man wohl schon etwas schneller Dinge bewirken kann. Woran genau denken Sie?
Atug: Ein digitales Grundverständnis kann man Menschen sicher auch noch während der Ausbildung nahebringen; andererseits ist das Basiswissen, wie Mathe oder Deutsch. Das sollten Unternehmen von ihren Auszubildenden erwarten dürfen.
Bei der Regulierung kann man IT-Sicherheit auch aktiv fördern, statt immer nur Strafen anzudrohen. Man könnte ja sagen: Wer ein Informationssicherheitsmanagementsystem mit Business Continuity Management umsetzt, der darf Aufwände der dafür etablierten Prozesse steuerlich absetzen.
Speziell auf KRITIS bezogen könnte man die aktuell in der BSI-Kritisverordnung definierten Schwellenwerte überdenken. Denen zufolge zählt man eben nur dann als kritische Infrastruktur, wenn man mehr als 500.000 Menschen versorgt; unterhalb dieser Schwelle ist alles egal. Wie wenig sinnvoll so ein Schwarz-Weiß-Denken ist, zeigt sich am Beispiel der über 5.000 Wasserwerke in Deutschland. Von denen gilt nur ein Prozent als KRITIS und muss eine entsprechende IT-Sicherheit gewährleisten. Das heißt: Die Versorgung von Städten der Größe von Paderborn, Bonn oder Augsburg könnte durch einen Cyberangriff komplett zusammenbrechen und die Gesetzgebung interessiert das nicht.
:quality(80)/images.vogel.de/vogelonline/bdb/1822700/1822734/original.jpg "Nach zwei Jahren und fünfzehn Artikeln ist unsere Serie zur Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen Deutschlands wohl noch lange nicht am Ende. (MH - stock.adobe.com)")
IT-Sicherheit mit besonderen Anforderungen
Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen (KRITIS)
Security-Insider: Aber es gibt ja noch die vom ITSiG 2.0 vorgesehenen „Unternehmen im besonderen öffentlichen Interesse“ (UBI)...
Atug: Das ist nur ein verkümmerter und durch Lobbyismus verwässerter Ansatz. Die UBI sind nichts Ganzes und nichts Halbes: Man soll zwar ein IT-Sicherheitskonzept haben und umsetzen. Das wird aber auch nicht kontrolliert und ist auch kaum zielführend ohne ISMS und BCM.
Übrigens ist hierunter auch die Rüstungsindustrie abgedeckt. Die halte ich allerdings für so kritisch in Deutschland, dass man sie aus nationaler Sicherheitssicht adressieren sollte und nicht mit einem „IT-Sicherheitskonzept“. Wir reden von Waffenherstellern, und die sollen weniger Anforderungen haben als jemand der Wasser produziert oder Strom?
Anzusprechen ist auch die Störfallverordnung; die darin beschriebenen chemischen Anlagen müssen ebenfalls nur ein IT-Sicherheitskonzept erstellen. Aber warum definieren wir nicht den KRITIS-Sektor Chemie, wie das beispielsweise die USA vormachen? Schließlich sieht das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die Chemie ganz klar als kritische Infrastruktur – aber in der Gesetzgebung haben wir jetzt weichgespülte UBI.
Security-Insider: Wie sollte man es nun besser machen, um den Abstufungen zwischen Extremen gerecht zu werden?
Atug: Die Chemie sollte man zunächst einmal ganz klar als KRITIS-Sektor definieren. Die Rüstungsindustrie könnte man über das Wehrgesetzbuch adressieren oder über die Nationale Sicherheitsstrategie. Schließlich können Cyberangreifer diese Unternehmen lahmlegen oder sogar Waffensysteminformationen ausspionieren.
Security-Insider: Und wie stufen wir für weniger kritische Unternehmen nach unten ab?
Atug: Aktuell haben wir ja zehn kritische Infrastruktur-Sektoren. Hier könnte man zu jedem Sektor oder sogar in den einzelnen Branchen analysieren, wie Anbieter regional verteilt sind und wieviele Menschen sie versorgen. Und dann gehen wir eben hin und ziehen den Schnitt an einer Stelle, wo wir die größten alle abholen und die kleinen unten drunter lassen. Dann haben wir pro Branche einen spezifischen Schwellenwert, der wirklich an der Realität ausgerichtet ist. Aber das sollte man dann ordentlich pro Branche evaluieren und auch nachvollziehbar dokumentieren.
Das wäre dann ein wissenschaftlicher und methodischer Ansatz ohne Lobbyanteil.
:quality(80)/images.vogel.de/vogelonline/bdb/1929500/1929508/original.jpg "Interessierte können die Inhalte des IT-Sicherheitskongresses noch bis Anfang März abrufen. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 50
Kontroversen auf dem IT-Sicherheitskongress
Security-Insider: Und was ist mit dezentralen Energieanlagen, wie vernetzten Ladestationen, Solar-Panels oder Energiespeichern? Zum Hintergrund meiner Frage: Auf dem diesjährigen IT-Sicherheitskongress wurde diskutiert, wie ein koordinierter Angriff auf Tausende solcher – isoliert betrachtet – unkritischen Systeme die gesamte Energie-Infrastruktur in eine Schieflage bringen könnte.
Atug: Stand heute halte ich das für relativ unwahrscheinlich. Es gibt unterschiedliche Hersteller, nicht alle Systeme sind im Netz frei erreichbar und nicht alle haben dieselbe Sicherheitslücke, die man dann einfach mal von außen missbrauchen könnte.
Auch Motivationen, Ziele und Ressourcen von Angreifern sprechen aktuell noch gegen solch ein Szenario: Wirkliche Cyberangriffe von Terroristen haben wir bislang nicht gesehen. Die schnallen sich in der traurigen Realität leider eher eine Bombe um den Bauch oder fliegen in Hochhäuser. Ransomware-Gruppierungen sind auf schnelles Geld aus und zielen eher auf zentrale Produktionssysteme oder Abrechnungskomponenten. Auch staatliche Akteure müssten unverhältnismäßig viele Ressourcen in derlei Angriffe stecken, die dann womöglich doch missglücken und zu Kollateralschäden führen.
Solch ein Angriff in einem anderen Land kann überdies als kriegerische Handlung gewertet werden, wenn dadurch beispielsweise tatsächlich ein lang anhaltender Stromausfall bewirkt wird und dadurch Tote entstehen. Schlimmstenfalls könnte dann auch der im NATO-Artikel 5 definierte Bündnisfall provoziert werden.
Security-Insider: Skizzieren Sie doch einmal so einen Fall!
Atug: Betrachten wir doch das konkrete Beispiel des KA-Sat-Falls. Hier sind die Angreifer über einen VPN-Zugang in die Bodenstation virtuell eingedrungen, haben das Terminal-Management-System manipuliert und circa 30.000 Satelliten-Modems lahmgelegt. Laut EU stand Russland hinter der Attacke. Ziel war es, die Kommunikation ukrainischer Militär- und Polizeibehörden zu stören.
Nebenbei sind damit aber auch 5.800 Windkraftsysteme in Deutschland offline gegangen; die produzierten zwar zunächst im Automatic Safety Mode weiter; die Modems mussten dennoch aufwändig getauscht oder aktualisiert werden. Hierzulande ebenfalls betroffen waren darüber hinaus einige so genannte Einsatzleitwagen 2 (ELW2) vom Katastrophenschutz. Als mobile Leitzentrale wäre das Fahrzeug im Katastrophenfall nur bedingt einsatzfähig gewesen.
Security-Insider: Ganz provokativ gefragt: Wie knapp sind wir damit schon an Toten oder einem V-Fall vorbeigeschrammt?
An der Stelle nicht wirklich knapp, das ist noch weit weg von irgendwelchen Toten und NATO-Vorfällen. So wie alle anderen Szenarien bisher auch. Sogar der Verfassungsschutz warnt einerseits zwar vor DDoS-Angriffen der russischen Gruppe Killnet, erwartet zugleich aber keine lang anhaltenden Ausfälle oder Auswirkungen. Es gab seit dem einzigen echten cyber-physischen Vorfall Stuxnet in 2010 keine weiteren ernsthaften Szenarien; alle anderen Fälle waren halt nicht katastrophal.
Security-Insider: Also geben Sie letztlich doch Entwarnung in Sachen Cyberangriffe?
Atug: Zumindest heute ist die Wahrscheinlichkeit eines lang anhaltenden und nachhaltigen Ausfalls sehr gering. Aber das ist kein Garant für die Zukunft.
Weil wir in kritischen Infrastrukturen einen langen und kontinuierlichen Wandel haben, können wir Systeme hier aber nicht mal eben von heute auf morgen updaten. Darum müssen wir uns jetzt schon Gedanken machen. Was wir heute in kritische Infrastrukturen bauen, soll auch in 20, 30, 40 Jahren noch sicher laufen können.
Statt Panik ist jetzt also Absicherung der Infrastrukturen für eine gesteigerte Cyberresilienz angesagt, um uns für die Zukunft zu wappnen – sonst sieht es übel aus.
Security-Insider: Herr Atug, vielen Dank für Ihre Zeit und das spannende Gespräch!
Zur Person:
Manuel Atug ist seit über 23 Jahren in der IT-Sicherheit tätig und verfügt über langjährige Erfahrung in technischer IT-Sicherheit und Auditierung, insbesondere in kritischen Infrastrukturen. Weitere Spezialthemen sind digitaler Katastrophenschutz, Hackback und Ethik.
Atug studierte Diplom-Informatik, hat einen Master in Applied IT Security und ist Ingenieur. Beim Beratungshaus HiSolutions AG fungiert er als Head of Business Development, im Netz ist er als @HonkHase aktiv.
Auf der ISX2022 IT-Security Conference präsentiert Manuel Atug am 6. Juli in Garching & Digital die Keynote „Cyber-Lage in Deutschland – werden KMU und KRITIS weggecybert?“. Jetzt noch schnell anmelden um dabei sein zu können!
:quality(80)/p7i.vogel.de/wcms/14/95/149520e747bfdc31feb4f749e1dcad7e/0105060930.jpeg "Der moderne IT-Markt bietet offenbar beides: Markige Buzzwords und echten Fortschritt für die Sicherheit. (Bild: Polarpx - stock.adobe.com)")
ISX 2022: Interview mit Keynote-Speaker Stefan Strobel
So wandelt sich der Security-Markt aktuell
(ID:48418458)
:quality(80)/p7i.vogel.de/wcms/5e/f4/5ef42dd611e13c634e6d04aac4d08075/0108873096.jpeg "0108873096 (Bild: GettyImages-482550126)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")