Attack Path Management Cybersicherheit in der internationalen Schifffahrt

Autor / Redakteur: Tilman Epha / Peter Schmitz

COVID-19 brachte einen dramatischen Rückgang des Luftverkehrs und eine enorme Zunahme der Seeschifffahrt mit sich. Das eröffnete einerseits den Reedereien eine große Chance, ihr Geschäft auszubauen, rückte sie aber damit auch in den Fokus der Cyberkriminellen

Firmen zum Thema

Hacker, Cyberkriminelle und andere Bedrohungsakteure sind clever – deshalb müssen Reedereien noch cleverer sein.
Hacker, Cyberkriminelle und andere Bedrohungsakteure sind clever – deshalb müssen Reedereien noch cleverer sein.
(© donvictori0 - stock.adobe.com)

Das moderne Schlachtfeld der Cybersicherheit stellt Staat und Wirtschaft vor neue Herausforderungen. Beide Sektoren stellen fest, dass der Schutz ihrer wichtigsten Ressourcen schwieriger und komplexer geworden ist als je zuvor. Das bedeutet höhere Kosten und ein größeres Risiko durch gravierende Bedrohungen der nationalen Sicherheit. Sogar verheerende Schäden an kritischer nationaler Infrastruktur und/oder Gefahren für Leib und Leben stehen als Schreckgespenster im Raum.

Die COVID-19-Pandemie brachte einen dramatischen Rückgang des Luftverkehrs mit sich und zugleich eine enorme Zunahme der Seeschifffahrt. Das eröffnete einerseits den Reedereien eine große Chance, ihr Geschäft auszubauen. Andererseits machte es die Weltwirtschaft aber auch stark von der Lieferkette in den Seeschifffahrtsrouten abhängig.

Während diese einzigartige Situation ein großes Wachstumspotenzial für Schifffahrtsunternehmen birgt, blieb sie auch den Cyberkriminellen und deren Gruppierungen nicht verborgen, die Unternehmen dieser Art als leichte Opfer für gezielte Angriffe betrachten:

  • 1. Viele Reedereien sind in hohem Maß auf E-Business-Prozesse angewiesen, um sich selbst, ihre Kunden sowie die Zulieferer in einem gemeinsamen digitalen Marktplatz zu vernetzen.
  • 2. Moderne Schiffe und Container sind mit einer umfassenden Palette an Technologien ausgerüstet – für Steuerung, Navigation, Nachverfolgung, Sicherheit, Kühlung und vieles mehr. Diese Arten von Technologien sind aber nicht darauf ausgelegt, Cyberattacken standzuhalten und schon gar nicht raffinierten Angriffen.
  • 3. Reedereien haben sich lange nicht als „digitale“ Unternehmen gesehen und deshalb nur wenig in die Cybersicherheit investiert. Die Angriffe auf Maersk und CMA CGM haben Cyberkriminellen jedoch offenbar demonstriert, dass ein Angriff auf die Schifffahrtsbranche ausgesprochen lohnend sein kann.

Cyberkriminelle Gruppen und staatliche Akteure verfügen über eine Vielzahl fortschrittlicher Tools, Techniken und Verfahren, um effektive Cyberangriffe auf potenzielle Ziele zu starten und durchzuführen.

Die meisten Unternehmen sind schlecht dafür aufgestellt, solche Angriffe zu verhindern oder abzuwehren. Warum? Weil ihnen der unerlässliche Überblick über ihre Angriffsoberfläche fehlt und sie deshalb nicht wissen, wie Angreifer bestehende Schwachstellen ausnutzen, um in ihre Netzwerke einzudringen und anschließend die wichtigsten Assets zu kompromittieren.

Warum kommt die Cybersicherheit in Unternehmen immer noch zu kurz?

Der Kampf um die Cybersicherheit ist ein ungleicher. Die Angreifer haben alle Vorteile und Voraussetzungen, um erfolgreich zu sein. Sie können den passenden Zeitpunkt, das passende Ziel und die Angriffsart wählen und vor allem auch Verschleierungs­techniken für glaubhaften Dementis einsetzen – was gerade für staatliche Akteure wichtig ist.

Umgekehrt haben die Verteidiger sämtliche Nachteile auf ihrer Seite. Sie müssen rund um die Uhr tätig sein, um den geschäftlichen Anforderungen gerecht zu werden. Zudem müssen sie dafür sorgen, dass ihre Systeme keine Schwachstellen oder Sicherheitslücken aufweisen, über die Angreifer eindringen könnten. Sie müssen 24/7 auf Anomalien und verdächtige Ereignisse achten und bereit sein, auf jeden Angriffsversuch sofort zu reagieren.

Zu diesen grundsätzlichen Nachteilen kommt noch hinzu, dass die Sicherheits- und IT-Teams in der Regel unterbesetzt sind und es oft an Spezialisten und wichtigen Qualifikationen für Cybersicherheit mangelt. Angesichts dessen überrascht es nicht, wenn Unternehmen bei der Sicherheit schlecht abschneiden.

Hackerstrategien durchleuchten

Um sich effektiv schützen zu können, müssen Unternehmen mit ihren Gegnern auf Augenhöhe operieren. Dazu müssen sie die Perspektive der Angreifer einnehmen, um Einblick in die Techniken zu erhalten, die Cyberangreifer wahrscheinlich anwenden werden, um in ihre Netzwerke einzudringen. Man stelle sich eine Schachpartie vor, bei der man den nächsten Zug des Gegners bereits kennt und deshalb die Angriffsstrategien leicht vorhersehen und abwehren kann, um den eigenen König zu schützen. Genau diesen Vorteil verschafft einem eine sognenanntes Attack Path Management. Damit haben Unternehmen ein hochentwickeltes Tool an der Hand, um in die Offensive zu gehen, indem sie defensiv spielen, die Initiative ergreifen und mit den Angreifern gleichziehen.

Predictive Analytics – die nächste Generation der Cyberabwehr

Eine Attack Path Management Plattform nutzt hochentwickelte Algorithmen für prädiktive Analysen. So kann sie prognostizieren, wie ein Angreifer in ein Netzwerk eindringen wird, und den mehrstufigen Angriffsvektor zu den kritischen Assets/Kronjuwelen eines Unternehmens offenlegen. Die Plattform erkennt automatisch riskante Benutzeraktivitäten, Fehlkonfigurationen in den IT-Systemen, ausnutzbare Sicherheitslücken und zu großzügige angelegte Berechtigungen. Das sind die Probleme, die Angreifer ausnutzen können: Sie können dann eine Attacke starten, sich lateral durchs Netzwerk bewegen und alle vorhandenen Schwachstellen ausnutzen, um schließlich das kritische Asset zu kompromittieren.

Die heutige Angriffsfläche visualisieren

Die Angriffsfläche wird immer größer: Mittlerweile umfasst sie auch Remote-Benutzer und -Mitarbeiter, Verbindungen zu Drittanbietern, Cloud-Instanzen, Serverless Computing und vieles mehr. Die Anfälligkeit für menschliches Versagen und Fehlkonfigurationen ist heute höher denn je, was es Angreifern leicht macht, in Systeme einzudringen (wie etwa bei der Datenpanne bei Capital One im Jahr 2019, die durch einen simplen Konfigurationsfehler ermöglicht wurde).

Eine Attack Path Management Plattform bietet eine gute Übersicht über die Angriffsoberfläche und sämtliche Angriffsvektoren, die ein Angreifer nutzen und ausführen könnte. Im Optimalfall stützt sich eine solche Plattform auf eine ausgefeilte offensive Cyber Intelligence und ein fundiertes Verständnis der vorhandenen Schwachstellen, die ausgenutzt werden könnten.

Sobald eine Attack Path Management Plattform bereitgestellt ist und die kritischen Assets definiert sind, ermittelt sie kontinuierlich alle Bewegungen, die Angreifer im Netzwerk möglicherweise ausführen könnten. Dabei geht sie vom kontextbezogenen Zustand der Netzwerksegmentierung aus, von der Qualität der IT-Hygiene, den Benutzeraktivitäten und den vorhandenen Schwachstellen. So erhalten die Verteidiger erstmals einen verlässlichen Überblick darüber, wie Angreifer in ihre anvisierten Netzwerke gelangen können.

Risiken eliminieren – ohne Mühe

Manch einer mag behaupten, dass ein Unternehmen sicher und geschützt bleibt, wenn es nur sämtliche Schwachstellen patcht, alle Systeme abhärtet und jede Aktivität überwacht. Tatsache ist jedoch, dass kein Unternehmen dies bewerkstelligen kann. Im Geschäftsleben sind Änderungen, Fehlkonfigurationen und enge Fenster für Wartungsarbeiten und das Änderungsmanagement gang und gäbe. Das bedeutet, dass die Sicherheits- und IT-Teams in der Regel nur rund fünf Prozent der Assets patchen und absichern können, die geschützt werden müssten. Wie aber will man herausfinden, welche fünf Prozent der Korrekturmaßnahmen 95 Prozent des Risikos ausräumen werden?

Die Antwort liefert das Attack Path Management

Battleground Ansicht.
Battleground Ansicht.
(Bild: XM Cyber)

Eine solche Plattform zeigt auf, welche Abhilfemaßnahmen ergriffen werden müssen und wie diese Maßnahmen das Gesamtrisiko verringern. Darüber hinaus können Korrekturen an bestimmten Punkten, die ein Angreifer passieren muss (sogenannte „Chokepoints“ oder „kritische Abschnitte“), die Gesamtbedrohung durch einen Angriffsvektor ausräumen. Dies verringert enorm den Aufwand, den die IT-Teams betreiben müssen, um großes Schadenspotenzial zu beseitigen.

Der Unternehmensleitung veranschaulichen, wie hoch das Geschäftsrisiko wirklich ist

Mit einer entsprechenden Attack Path Management Plattform können Unternehmen die Höhe ihres Cybersicherheitsrisikos visuell darstellen. Die Plattform zeigt die Risikoentwicklung im Zeitverlauf und die Fortschritte bei der Problembehebung. So kann die Unternehmensleitung den Zusammenhang zwischen Investitionen in die Sicherheit, ihren Verhaltensweisen und dem dadurch eingegangenen Risiko verstehen. Zudem bietet eine solche Plattform Entscheidungshilfen für zahlreiche Mitarbeiter und Teams im Unternehmen: Sie gibt Empfehlungen zur Priorisierung von Abhilfemaßnahmen, zeigt die relative Bedeutung jedes Schritts auf und veranschaulicht, wie Angreifer Änderungen im Netzwerk ausnutzen können. Zugleich werden die potenziellen Risikoauswirkungen detailliert dargestellt.

Fazit

Besonders Reedereien, die IT- und OT-Technologien einsetzen, einschließlich Kommunikationsstacks wie SATCOM, RF und IP, müssen ihr Netzwerk und ihre kritischen Systeme unbedingt aus einer ganzheitlichen Perspektive betrachten. Eine Attack Path Management Plattform befähigt Reedereien, ihr Cyberrisiko präzise einzuschätzen und präventive Maßnahmen zu ergreifen, bevor sie das nächste Opfer im Cyberkrieg werden.

Über den Autor: Tilman Epha ist Sales Director DACH bei XM Cyber.

(ID:47739375)