SATW insights: Ein Jahres­rück­blick 2021 in Sachen Cybersecurity – unter erschwerten Bedingungen

6. Dezember 2021, 10:34
  • kolumne
  • satw
  • security
  • zero trust
image

Zu früh für einen Jahresrückblick? Schliesslich ist das Jahr noch gar nicht ganz zu Ende und es kann noch so einiges passieren. Was kann denn noch passieren?

Die globale Pandemie wütet noch immer und entwickelt immer mehr Potenzial, die Gesellschaft nachhaltig zu spalten. Krisenmanagement und Antizipation auf Basis wissenschaftlicher Fakten sind offenbar immer noch etwas diffizil. Die Lieferketten schwächeln. Die Börse hat dennoch Höhenflüge. Und die Cyberattacken werden nicht weniger, sondern immer mehr. Subjektiv entsteht der Eindruck, dass die (bekannten) Cyberattacken auf Schweizer Unternehmen und Organisationen im letzten Drittel des Jahres von "monatliche Zeitungsmeldung" zu "wöchentliche" oder gar "tägliche" geworden sind. Ein Blick in die Statistiken des Nationalen Zentrum für Cybersicherheit (NCSC) offenbart, dass die Meldungen – auch dank einer vereinfachten Eingabemöglichkeit mit Formular – in der Tat stark zugenommen haben.

Viele Angriffe – hohe Dunkelziffer

Wird nun besser hingeschaut, oder erfolgen effektiv mehr Angriffe? Ein "Bonmot", das unter Sicherheitsverantwortlichen oft fällt, ist "eigentlich müsste viel mehr passieren beim desolaten Security-Zustand, den wir haben". Die Befürchtung ist entsprechend, dass wir in den Angriffen und der Zunahme der Frequenz in der Tat erst den Anfang einer noch länger andauernden Welle sehen – zumal die Dunkelziffer hoch sein dürfte, da längst nicht alle Angriffe gemeldet werden. Dennoch sind die Zahlen eindrücklich – zwischen 200 und 800 Meldungen erfolgen pro Woche (!), allein in der Woche 46 (also vom 15. bis 21. November) waren es rund 360 Meldungen unter anderem wegen Betrug und Phishing,.

Angriffe auf Lieferketten – mit gravierenden Folgen

Eine weitere Bedrohung, vor der in der Security-Branche schon seit einigen Jahren gewarnt wird, hat sich spät 2020 und auch 2021 unmissverständlich manifestiert – Angriffe über die Versorgungskette. Im Dezember 2020 wurde bekannt, dass Angreifer beim Hersteller SolarWinds – bekannt für Tools zum Verwalten und Fernsteuern von IT-Systemen – eine ausgeklügelte Hintertür eingebaut hatten. Alle Kunden, die den kompromittierten Software-Patch für ihr Produkt von SolarWinds geladen hatten, konnten von den Angreifern ausspioniert werden. Der nächste grosse Angriff fand anschliessend im Mai 2021 statt, als die IT-Systeme des US-amerikanischen Öl-Pipeline-Betreibers "Colonial Pipeline" durch Ransomware attackiert wurden. Zwar gelang es dem FBI anschliessend, einen beträchtlichen Teil des erpressten Lösegelds wieder zurückzuholen, doch war die Benzinversorgung der US-Ostküste für ein paar Tage mit grossen wirtschaftlichen und gesellschaftlichen Folgen stark eingeschränkt. Übrigens wurden nicht die Versorgungs- und Pipeline-Systeme selbst kompromittiert – der Betreiber hat sich lediglich entschlossen, den Transport der Brennstoffe einzustellen, da er ohne IT keine Übersicht hatte, wohin wieviel Brennstoff transportiert wurde. In diesem Fall zeigte sich auch, dass die Angreiferseite inzwischen vorsichtiger agiert – man will kommerzielle Firmen erpressen, sich aber nach Möglichkeit nicht mit den grossen Nachrichtendiensten anlegen.
Ebenfalls in bleibender Erinnerung dürfte die Schwachstelle im Mailserver Microsoft Exchange bleiben, die im März 2021 durch Microsoft gepatched wurde. Trotz schneller Reaktion durch Microsoft blieben abertausende Systeme während Tagen und Wochen den massiven Angriffswellen ausgeliefert, die sich dem hochwertigen Ziel "MS Exchange" gewidmet hatten. Insbesondere kleineren und mittleren Unternehmen, die nicht über die notwendigen Kapazitäten verfügen, sofort auf solche Schwachstellen zu reagieren, wurde daraufhin empfohlen, sich gut zu überlegen, ob ein on-premise Betrieb von E-Mail-Systemen weiterhin zweckmässig ist – Cloud Services sind diesbezüglich für Kunden ohne vertiefte eigene IT-Kenntnisse und IT-Ressourcen vorteilhafter, da der Cloud Service Provider im ureigensten Interesse diese exponierten Systeme sofort patchen muss.

Erfolgreiche Angriffe als Weckruf

Leider sieht es bezüglich "Supply Chain Security / Supply Chain Riskmanagement" bei vielen Unternehmen noch nicht allzu fortgeschritten aus – oft begnügt man sich bei vertraglichen Vereinbarungen auf kurze, sehr generell gehaltene Anforderungen zu Sicherheit und Datenschutz, und reagiert auch auf Angriffe nur punktuell und ohne einen zusammenhängenden Plan. Eine gründliche, vertiefte und insbesondere regelmässige, auf Belegen basierte Prüfung findet selten statt – die Procurement-/Einkaufs-Abteilungen verfügen nicht über das notwendige Know-how und die Security-Officer, sofern vorhanden und mit genügenden Kompetenzen und Mitteln ausgestattet, werden nicht immer bei Beschaffungen involviert. Die erwähnten erfolgreichen Angriffe dürfen entsprechend als Weckruf verstanden werden. 
Ein etwas unglücklicheres Händchen als beim Exchange-Loch hatte Microsoft übrigens bei der Schwachstelle genannt "PrintNightmare", bei der einige Patches (bzw. Patches der Patches) notwendig waren, um das Problem nachhaltig in den Griff zu bekommen.

Berichte von Marktbeobachtern über die wichtigsten Themen

Um sich einen Überblick zu verschaffen, was gerade im Trend liegt und wie die nächsten Monate sich entwickeln, lohnt sich sicherlich der Blick in verschiedene Berichte der Marktbeobachter. Der "Swisscom Threat Radar 2020/2021" zeigt auf dem Bedrohungsradar, welche Themen das Lagebild der Schweiz prägen. Brennpunkte sind momentan die "Infrastructure Integrity", "5G Security", "Workplace Heterogenity" und leider auch der "Security Job Market". Für uns Security-Spezialisten ist es zwar angenehm, dass die Löhne momentan (und wohl auch in den nächsten Jahren) in eine Richtung gehen – steil nach oben –, aber zufriedenstellend und für Unternehmen nachhaltig ist diese Entwicklung nicht. Es fehlen nach wie vor zu viele Spezialistinnen und Spezialisten, und verschiedene grosse Unternehmen haben die Fähigkeiten und insbesondere auch die finanziellen Mittel, den Markt zu "kaufen". Insbesondere für kleine und mittlere Unternehmen bleibt damit das Nachsehen, wobei auch grössere Unternehmen mit der Lohnspirale nicht unbedingt mithalten können. Zudem werden Sicherheitsmassnahmen – seien sie technischer oder organisatorischer Art – oft nur halbherzig und "der Not gehorchend" ausgeführt.
Gemäss dem Halbjahresbericht 2021-1 des NCSC liegen die Fokus-Themen in den Bereichen Schwachstellen-Management und Zunahme von Betrugsformen, Ransomware und Phishing. Im Editorial fordert Marcel Zumbühl, CISO der Post und Co-Präsident ISSS, eine stärkere und institutionalisiertere Vernetzung in Sachen Cybersecurity – genannt partizipative Sicherheit. Diese Forderung möchten wir mit Nachdruck unterstützen, denn nur zusammen können wir zumindest den bestens organisierten, kommerziell agierenden Angreifern die Stirn bieten – gegen gezielte Angriffe durch Nachrichtendienste müssen andere Massnahmen diskutiert und ergriffen werden. Nicht zuletzt kann man durch Vernetzung und aktiven Informationsaustausch aber immer viel voneinander lernen – bei der Umsetzung von Cybersecurity und der Bekämpfung von Angriffen schliessen sich auch kommerziell konkurrierende Unternehmen dementsprechend immer mehr zusammen, um wirkungsvoll aufzutreten.

 

image
Hannes Lubich

"Zero Trust" als Lösung

Doch fürchtet euch nicht – die Security-Branche hat ein neues Schlagwort erkoren, dass Rettung verspricht. Nichts weniger als "Zero Trust" soll uns in Zukunft die lang ersehnte Sicherheit bringen. Das Konzept ist bestechend simpel und effektiv – Vertrauen als Grundlage von Sicherheit wird eliminiert und durch eine quasi-permanente Neuüberprüfung der Zugriffsrechte auf Systeme, Daten und Anwendungen ersetzt, wie die Bezeichnung "Zero Trust" suggeriert. Das ist ein guter Ansatz – in der praktischen Umsetzung sind dann allerdings doch noch einige Hürden zu nehmen, bis wir uns an umfassenden und übergreifenden "Zero Trust"-Implementationen erfreuen können. Ein paar Hausaufgaben – lückenloses Identitäts-Management, eine Homogenisierung der Infrastruktur, die aktive Beseitigung von "Legacy"-Umgebungen und ein aktuelles, vollständiges Asset Inventory von Hardware, Software, Applikationen (Container, virtuellen Systemen, Cloud Systeme, Systeme bei Geschäftspartnern, Kunden und Lieferanten etc etc etc) sind wichtige Voraussetzungen für ein auch nur ansatzweise funktionierendes "Zero Trust", und erfordern entsprechende Investitionen.
In diesem Sinne – auch für die nächsten Jahre wird uns in Sachen Cybersecurity die Arbeit nicht ausgehen – umso wichtiger, aus den bisherigen Erfahrungen zu lernen, um der dunklen Seite immer einen Schritt voraus zu sein.

Über die Autoren:

Hannes Lubich beschäftigt sich seit mehr als 25 Jahren mit IT-Systemen, Netzwerken und IT-Sicherheit. An der ETH Zürich arbeitete er als Forscher und Dozent - zudem war er in massgeblich am Aufbau des Internet und des Internet-Sicherheits-Teams (CERT) in der Schweiz beteiligt. Während 13 Jahren war er als CISO der Bank Julius Bär und als Strategieberater bei Computer Associates und British Telecom tätig. Von 2009 bis 2019 war er Professor für IT System & Service Management an der FHNW, zudem lehrte er an der ETH Zürich. Hannes Lubich ist Mitglied im Advisory Board Cybersecurity der Schweizerischen Akademie für Technische Wissenschaften SATW.
Umberto Annino, eidg. dipl. ICT-Security Expert und Wirtschaftsinformatiker, ist als Principal Cyber Security Consultant bei InfoGuard tätig und engagiert sich nebenbei als Dozent für Cybersecurity. Seit 2021 präsidiert er das Advisory Board Cybersecurity der Schweizerischen Akademie für Technische Wissenschaften SATW. Davor amtete Umberto Annino mehrere Jahre im Vorstand von ISACA Switzerland Chapter, als Präsident der ISSS Information Security Society Switzerland sowie als Mitglied der Cybersecurity-Kommission von ICTswitzerland.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Log4Shell wird weiter angegriffen

Weiterhin existieren Systeme, in denen die Sicherheitslücke nicht geschlossen wurde. Hacker wissen dies und nutzen es aus.

publiziert am 27.6.2022
image

IT-Woche: Wirds jetzt kritisch?

Ist uns die Sperrung des Schweizer Luftraums eine Lehre und wenn ja, welche? Die Angriffe aufs Gesundheitswesen hören nicht auf.

publiziert am 24.6.2022
image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022