Archiv für den Monat: Mai 2019

Studie: Cybersicherheit ist grosse Herausforderung für europäischen Finanzsektor

Der Finanzsektor in Europa steht vor grossen Herausforderungen bei der IT-Sicherheit – das ergab eine Studie von Trend Micro. Wie der IT-Sicherheitsanbieter herausfand, haben 61 Prozent der IT-Entscheider im Finanzwesen den Eindruck, dass die Cyberbedrohungen für ihr Unternehmen im vergangenen Jahr zugenommen haben. Fast die Hälfte von ihnen (45 Prozent) gaben darüber hinaus Probleme an, mit den Bedrohungen Schritt zu halten.

Für die Untersuchung wurden über 1.000 IT- und IT-Sicherheitsentscheider in Europa befragt, von denen 344 im Finanzsektor tätig sind. Ein Drittel der Befragten aus dem Finanzwesen gab an, Probleme dabei zu haben, mit ihrem Budget wirkungsvoll für Cybersicherheit zu sorgen. Das bleibt nicht ohne Folgen: 34 Prozent berichteten, dass ihre Zufriedenheit am Arbeitsplatz im vergangenen Jahr gesunken ist.

„Datenschutz war noch nie wichtiger. Besonders Finanzdienstleister stehen vor nicht zu unterschätzenden Herausforderungen bei der Umsetzung neuer Vorgaben wie der DSGVO (EU-Datenschutzgrundverordnung) und PSD2 (Payment Services Directive 2)“, sagt Richard Werner, Business Consultant bei Trend Micro. „Der gesamte Sektor steht bereits unter hohem Druck. Berücksichtigt man zudem die steigende Häufigkeit von immer raffinierteren Cyberangriffen, wird deutlich, dass die Verantwortlichen viel zu tun haben.“

Schlupflöcher in Geschäftsprozessen

Eine Bedrohung, die den Befragten besonders gefährlich erscheint, ist Business Process Compromise (BPC). Dabei suchen Angreifer nach Schlupflöchern in Geschäftsprozessen, verwundbaren Systemen und angreifbaren Handlungsweisen. Wird eine Schwachstelle entdeckt, verändern die Angreifer den entsprechenden Prozess, ohne dass das betroffene Unternehmen oder seine Kunden etwas davon bemerken. Zwei Drittel (66 Prozent) der Befragten aus dem Finanzwesen stufen diese Angriffe als herausragende Bedrohung für ihr Unternehmen ein. Die Hälfte (50 Prozent) von ihnen geht zudem davon aus, dass sie sich keine Lösegeldzahlungen leisten könnten, falls Daten gestohlen oder verschlüsselt würden.

Obwohl eine Mehrheit (65 Prozent) erwartet, dass ein BPC-Angriff signifikante Auswirkungen auf den Geschäftsbetrieb hätte, gesteht knapp über die Hälfte (51 Prozent) ein, dass es in ihrer Geschäftsführung eine mangelnde Awareness hinsichtlich dieser Angriffsmethode gibt. Dabei stehen sie vor einer Herausforderung: 41 Prozent gaben an, Schwierigkeiten dabei zu haben, die Folgen eines Angriffs gegenüber der Unternehmensleitung zu kommunizieren. Gleichzeitig ist bei einem Drittel (34 Prozent) der Finanzunternehmen das Thema Cybersicherheit nicht auf Geschäftsführerebene vertreten.

„BPC-Angriffe sind für Cyberkriminelle aufwändig, versprechen aber auch grosse Gewinne. Indem sie sich längere Zeit unerkannt in der Infrastruktur eines Unternehmens aufhalten, können sie mit der Zeit die nötigen Informationen sammeln, um grössere Geldbeträge abfliessen zu lassen. Das war beispielsweise beim Angriff auf die Bangladesh Bank im Jahr 2016 der Fall“, so Werner weiter.

„Um diesen Bedrohungen zu begegnen, sollten Finanzdienstleister die Cybersicherheit zur Chefsache machen. So können Sicherheitsverantwortliche ihre Bedeutung besser innerhalb der gesamten Organisation kommunizieren. Schliesslich muss Security für das gesamte Unternehmen zur Geisteshaltung werden – vom Vorstand über die Buchhaltung bis hin zur Personalabteilung. Nur so kann es gelingen, diese immer raffinierteren Angriffe abzuwehren.“

Über die Studie

Von Opinium durchgeführte Studie im Auftrag von Trend Micro. Befragt wurden 1.022 IT- und Sicherheitsentscheider in Deutschland, dem Vereinigten Königreich, Spanien, Italien, Schweden, Finnland, Frankreich, den Niederlanden, Polen, Belgien und der Tschechischen Republik.

Die Schattenseite der IT/OT-Konvergenz

Udo Schneider, Security Evangelist bei Trend Micro

Die digitale Transformation hat die Geschäftswelt fest im Griff. Vom Gesundheitswesen bis hin zum Finanzsektor gibt es wohl keinen CIO, der nicht damit beauftragt wäre, mittels neuer Technologien die Innovationsfähigkeit und Agilität seines Unternehmens zu steigern. Unglücklicherweise bringt die gesteigerte Konnektivität für viele dieser Unternehmen einen unangenehmen Nebeneffekt mit sich –ihre Anfälligkeit für Cyber-Risiken steigt an.

Eine kürzlich veröffentlichte Untersuchung von Trend Micro zeigt eine bedeutende Schwachstelle für die Sicherheit im industriellen Umfeld: Sicherheitslücken in Funkfernsteuerungen könnten für Millionen von industriellen Anlagen weltweit ein Angriffsrisiko darstellen. Das Ergebnis wären finanzielle Verluste und Imageschäden aufgrund von Erpressung, Sabotage oder Diebstahl.

Auf dem Weg zur Digitalisierung
Betreiber von schweren Maschinen in der Fertigung, der Baubranche, der Logistik und anderen Bereichen investieren aktuell massiv in die Vernetzung ihrer Anlagen. Cloud-Computing und IoT-Systeme versprechen schlankere und automatisierte Prozesse, Kosteneinsparungen und die Minimierung manueller Fehlerquellen. Intelligente Sensoren können Anlagen auf ihre Funktion hin überwachen und melden, wenn diese gewartet oder ausgetauscht werden müssen. So lassen sich Ausfallzeiten reduzieren. IoT-Systeme können auch die Steuerung von Mobilkranen verbessern, Bergbaugeräte auf gefährliche Emissionen hin überwachen, mit digitalen Plänen den Bau effizienter gestalten oder die Präzision von Containerterminals und anderen Logistikanlagen erhöhen. In vielen Fällen können sie Arbeitskräfte ersetzen oder zumindest dafür sorgen, dass schweres Gerät ferngesteuert werden kann.

Laut Berechnungen des Weltwirtschaftsforums könnte zwischen 2016 und 2025 durch die Digitalisierung im Bergbau ein Wertschöpfungspotenzial von bis zu 784 Milliarden US-Dollar entstehen. Der Marktwert des gesamten Industrial IoT (IIoT) soll bis 2025 sogar auf fast 934 Milliarden US-Dollar steigen.

Trotz aller Vorzüge bringt das IIoT für IT-Manager zusätzliche Risiken und gesteigerte Komplexität mit sich. Betriebstechnologie (Operational Technology, OT) zu vernetzen, die mit Safety (funktionale Sicherheit) und nicht Security (Informationssicherheit) im Fokus konstruiert wurde, kann eine große Herausforderung darstellen. Die eingangs erwähnten Funkfernsteuerungen verdeutlichen dabei den Kern des Problems: Sie basieren in der Regel nicht auf standardisierten Wireless-Technologien, sondern auf unsicheren proprietären Protokollen, die oftmals schon jahrzehntealt sind.

Solches, von „Security-by-Obscurity“ geprägtes Denken, herrscht noch immer in vielen IT-Abteilungen in der Industrie vor. Anlagen werden oftmals nicht gepatcht, weil dies sehr schwierig oder sogar unmöglich ist, oder weil sie zu wichtig für den Betriebsablauf sind oder nur mit hohen Kosten vom Netz genommen werden können. Die langen Austauschzyklen solcher Maschinen erhöhen zudem das Risiko.

Leider mussten wir entdecken, dass Funkfernsteuerungen in diesen sicherheitskritischen Bereichen in vielen Fällen einfacher zu hacken sind, als übliche Garagentoröffner.

Zahlreiche Verwundbarkeiten
Forscher von Trend Micro untersuchten die Technik von sieben der meistverbreiteten Hersteller von Funkfernsteuerungen und fanden dabei drei grundlegende Sicherheitsversäumnisse: Kein Rolling-Code, keine oder nur schwache Verschlüsselung und kein Softwareschutz.

Indem sie diese Schwachstellen ausnutzen, könnten Hacker Replay-Angriffe und Befehls-Injektion durchführen und so die Kontrolle über eine Maschine übernehmen. Durch die Imitation legitimer Befehle besteht zudem die Möglichkeit, die Notaus-Funktion zu missbrauchen und eine Anlage damit dauerhaft lahmzulegen. Bösartiges Re-Pairing würde es einem Angreifer erlauben, eine Steuerung oder ihre Funktionalität zu klonen und damit die Maschine zu steuern. Alle diese Angriffsszenarien könnten von außerhalb des Betriebsgeländes, aber innerhalb der Funkreichweite, mit Hilfe eines nur münzgroßen Geräts ausgeführt werden. Ein weiterer Angriffstyp nimmt die Software der Steuerungen ins Visier, wobei die Firmware mittels Reverse Engineering rekonstruiert und verändert wird. Dadurch werden auch entfernte, andauernde Angriffe möglich.

Angreifer mit diesen Fähigkeiten könnten zum Beispiel dafür engagiert werden, den Betriebsablauf bei Wettbewerbern zu stören, Unternehmen zu erpressen oder gar physische Güter zu stehlen. Durch die Fernsteuerung von Ladekranen in Hafenanlagen wäre es beispielsweise möglich, dass Kriminelle Container auf ihre eigenen Fahrzeuge verladen und schnell abtransportieren.

Was tun?
Diese Bedrohungen könnten großen Einfluss auf Geschäftsergebnisse, den Ruf eines Unternehmens oder sogar die physische Sicherheit von Mitarbeitern haben. Wie also sollte die Branche damit umgehen? Der erste Schritt zur Lösung eines Problems ist das Verständnis für dessen Umfang. Mit weiterer Forschung in diesem Bereich werden die Betreiber von IIoT-Anlagen ebenso wie die Hersteller, Systemintegratoren und andere Stakeholder hoffentlich erkennen, was auf dem Spiel steht.

Zudem müssen die Hersteller dieser Geräte sichere Firmware-Upgrades für bestehende Anlagen bereitstellen. Diese sollten Rolling-Code beinhalten, um Replay-Attacken zu verhindern und vor Reverse Engineering geschützt sein. Zukünftig sollten sie ihre Systeme außerdem auf sicheren standardisierten Protokollen wie Bluetooth Low Energy aufbauen. Systemintegratoren sollten ihren Teil dazu beitragen, indem sie sicherstellen, dass programmierbare Fernsteuerungen entweder durch einen „Air Gap“ gesichert oder wie ein sicherer Endpunkt geschützt sind. Zudem sollten sie in Erwägung ziehen, sicherere und auf Standards basierende Produkte der nächsten Generation einzusetzen.

Solange Security nur als Anhängsel betrachtet wird, droht weiter Ungemach. Doch wenn sich industrielle Betreiber zukünftig an Best Practices für Security-by-Design orientieren, bleiben die dargestellten Angriffsszenarien hoffentlich nur Theorie. Auf der HITBSecConf präsentieren Marco Balduzzi und Federico Maggi von Trend Micro ebenfalls die Ergebnisse ihrer Forschung und zeigen im Detail die Probleme im IIoT auf.

«Die Verantwortung liegt nicht nur beim Cloud-Anbieter»

Aus dem Dossier kompakt in Kooperation mit Trend Micro & Netzwoche*

Michael Unterschweiger, ­Regional Director Schweiz & Österreich bei Trend Micro

Wer muss sich darum kümmern, dass die Daten in der Cloud sicher sind? Der, der die Cloud ­betreibt, oder der, der seine Daten in die Cloud schob? Beide, sagt Michael Unterschweiger, ­Regional Director Schweiz & Österreich bei Trend Micro. Interview: Coen Kaat

Wer trägt die Verantwortung, wenn die Daten in der Cloud liegen? Der Kunde oder der Cloud-Dienstleister?
Michael Unterschweiger: Zur Klärung dieser Frage hat sich für Public und Hybrid Clouds das Shared-Responsibility-Modell durchgesetzt. Das bedeutet, dass sich Kunde und Cloud-Service-Provider die Zuständigkeit für die Sicherheit teilen: Der Cloud-Service-Provider ist für die Sicherheit der Cloud selbst verantwortlich. Dazu gehört ausser der physikalischen Sicherheit der Hardware auch die grundlegende Sicherheit der Software von Computing- und Storage-Workloads auf der Virtualisierungsebene. Der Kunde trägt hingegen die Verantwortung für die Sicherheit innerhalb der Cloud, also etwa für den Schutz von Anwendungen, Updates und Patching von Gastbetriebssystemen, für die Authentifizierung, die Verschlüsselung von Daten oder die Konfiguration von Firewalls.

Das Shared-Responsibility-Modell klingt schön und gut. Aber ist das in der Praxis auch so klar abgegrenzt?
Die Abgrenzung funktioniert in der Regel sehr gut. Dies liegt nicht zuletzt daran, dass die grossen Cloud-Anbieter es ihren Kunden möglichst einfach machen wollen, ihre Anwendungen und Daten zu schützen. So können Kunden zeitgemässe, Cloud-native Sicherheitslösungen wie Trend Micro Deep Security direkt aus den Marketplaces der Dienstleister beziehen und sehr einfach ausrollen und nutzen.

Wie sicher sind die Daten in der Cloud?
Gerade die Clouds der grossen Dienstleister sind sehr sicher. Es liegt im eigenen Interesse dieser Anbieter, ein hohes Schutzniveau aufrechtzuerhalten und strenge Sicherheitsrichtlinien zu erfüllen. Insofern ist die oftmals noch vorhandene Angst vor der Public Cloud unbegründet. Doch auch Private Clouds lassen sich sicher gestalten. Mit modernen Sicherheitslösungen für On-Premise-Infrastrukturen können diese ebenso wirkungsvoll abgesichert werden.

Wie unterscheiden sich Public- und Hybrid-Cloud-Lösungen in Bezug auf die Sicherheit?
Während in der Public Cloud geteilte Verantwortlichkeiten gelten, sind die Betreiber von On-Premise-Infrastrukturen selbst für deren Sicherheit verantwortlich. Davon abgesehen lassen sich heutige Cloud-Sicherheitslösungen nahtlos über hybride Infrastrukturen ausrollen und flexibel an die aktuellen Work­loads anpassen. Dabei ist für den Kunden kein Unterschied spürbar. Ein Vorteil der hybriden Cloud besteht zudem in der Möglichkeit, sensible Daten und Anwendungen im eigenen Rechenzentrum zu behalten, etwa um Compliance-Vorgaben zu erfüllen. Gleichzeitig können andere Prozesse von der grösseren Flexibilität der Public Cloud profitieren.

Was sollte ein Nutzer unternehmen, um seine Daten und Prozesse in der Cloud abzusichern?
Die wichtigste Regel ist, sich überhaupt mit der Sicherheit zu beschäftigen. Der grösste Fehler ist, der leider noch immer häufig gemacht wird, die Verantwortung allein beim Cloud-Dienstleister zu sehen. Die Annahme, eine Public oder Hybrid Cloud sei ein Rundum-Sorglos-Paket, ist schlicht falsch. Zunächst sollte der eigene Sicherheitsbedarf ermittelt und ein Sicherheitskonzept erstellt werden, das sowohl den eigenen Verantwortungsbereich als auch den des Cloud-Providers beinhaltet. Dabei müssen auch die branchen- und unternehmensspezifischen Compliance-Vorgaben beachtet werden. Das Ausrollen der Sicherheit geht dann mit modernen Lösungen vergleichsweise einfach. Bei allen Schritten kann ein Partner, etwa ein Systemhaus oder Managed Service Provider, wertvolle Unterstützung bieten.

*Dieser Beitrag erschien am 17. April in der Netzwoche.