Nach dem Willen des Bundesregierung sollen in Zukunft bei massiven IT-Angriffen auf Behörden und Unternehmen mobile Experten-Einheiten erste Hilfe leisten. Dabei sollen die IT-Spezialisten aus der Privatwirtschaft kommen und ähnlich einer freiwilligen Feuerwehr operieren.
Neben der bereits bestehenden Cybercrime-Landespolizeibehörde soll zukünftig auch durch sogenannte Mobile Incident Response Teams (MIRTs) eine Art "Cyber-Feuerwehr" geschaffen werden. Dabei sollen Unternehmen ihre IT-Experten an den Staat ausleihen, um Hackerangriffe zu bekämpfen. Die Koordination soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernehmen. Die Pläne für die Cyber-Feuerwehr sind bereits im Oktober 2016 bekannt geworden und Teil der am 9. November 2016 von der Bundesregierung beschlossenen "Cyber-Sicherheitsstrategie für Deutschland 2016".
Eine Cyber-Feuerwehr soll kritische Infrastrukturen künftig vor Hackerangriffen schützen. Foto: Arisha Ray Singh - shutterstock.com
Cyberattacken in der letzten Zeit hätten dabei gezeigt, dass neue, institutionalisierte staatliche Strukturen geschaffen werden müssten. Deshalb sollen neben den MIRTs weitere staatliche Eingreiftruppen etwa beim Bundesamt für Verfassungsschutz ("Mobile Cyber-Teams"), dem Bundeskriminalamt ("Quick Reaction Force") oder der Bundeswehr ("Incident Response Teams") eingerichtet oder weiter ausgebaut werden. Ziel ist dabei die Cybersicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informations-Infrastrukturen angemessenen Niveau zu gewährleisten. Dazu soll unter Umständen auch aktiv gegen Hackerangriffe vorgegangen werden dürfen - zumindest wenn es nach dem Verfassungsschutzpräsidenten Hans-Georg Maaßen geht.
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
NIS-Richtlinie
Damit die Behörden jedoch tatsächlich tätig werden können, müssen diese erst die rechtlichen Kompetenzen zum Einschreiten erhalten. Die Rechtsgrundlage für den Einsatz der MIRTs soll das Gesetz zur Umsetzung der europäischen Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) bringen. Einen Gesetzesentwurf dazu hat das Bundeskabinett am 25. Januar 2017 auf den Weg gebracht.
Die NIS-Richtlinie muss bis Mai 2018 in nationales Recht umgewandelt werden. Diese europäische Regelung zur IT-Sicherheit soll ein EU-weit einheitliches und hohes Sicherheitsniveau von IT-Systemen sicherstellen und die Kooperation zwischen den Ländern fördern. Allerdings ist ein großer Teil der geforderten Maßnahmen in Deutschland schon durch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz abgedeckt. Denn seitdem gelten für Betreiber sogenannter "kritischer Infrastrukturen" erhöhte und gesetzlich explizit geregelte Anforderungen an die IT-Sicherheit. Unternehmen fallen bisher in den Anwendungsbereich des IT-Sicherheitsgesetzes, wenn sie in einem der neun benannten Sektoren (Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen) tätig sind und ihre Einrichtungen oder Anlagen von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Das ist allgemein immer dann der Fall, wenn durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder eine Gefährdung der öffentlichen Sicherheit eintreten würde. Konkrete Schwellenwerte liefert für einige Sektoren bereits eine Rechtsverordnung zum IT-Sicherheitsgesetz, deren zweiter Teil für die übrigen Sektoren im Frühjahr 2017 in Kraft treten soll.
Bisher noch nicht vom IT-Sicherheitsgesetz erfasst waren Anbieter "digitaler Dienste". Vor allem diese sollen nun aber zur Umsetzung der NIS-Richtlinie ebenfalls unter das IT-Sicherheitsgesetz fallen. Einbezogen werden damit sowohl Online-Marktplätze und Online-Suchmaschinen als auch Anbieter von Cloud-Computing-Diensten. Das Bundesministerium des Innern (BMI) schätzt, dass von den geplanten Regelungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Unternehmen betroffen sein werden.
Änderungen am IT-Sicherheitsgesetz
Neben der Einbeziehung von Anbietern digitaler Dienste soll der Gesetzesentwurf weitere Änderungen des IT-Sicherheitsgesetzes mit sich bringen. So sollen etwa die Befugnisse des BSI zur Überprüfung der Einhaltung technisch-organisatorischer Maßnahmen sowie die Melde- und Nachweispflichten der Betreiber kritischer Infrastrukturen erweitert werden. Aber auch die Rechtsgrundlage für die angesprochene Cyber-Feuerwehr soll durch Einfügung des § 5a BSIG gewährleistet werden. Zwar kann das BSI auf Einwilligungsbasis und nach allgemeinem Datenschutzrecht bereits jetzt bei Hackerattacken und Cyberangriffen unterstützend und beratend tätig werden, allerdings bedarf es für Maßnahmen, die etwa mit Eingriffen in das Fernmeldegeheimnis verbunden sind, einer ausdrücklichen rechtlichen Grundlage. Das Fernmeldegeheimnis kann beispielsweise berührt sein, wenn zur Wiederherstellung der betroffenen Systeme der Netzwerkverkehr der betroffenen Einrichtungen analysiert werden muss.
Zukünftig soll durch § 5a BSIG Absatz 1 das BSI mit MIRTs verstärkt auch operative Unterstützung bei der Bewältigung von Sicherheitsvorfällen bei Stellen des Bundes und bei Betreibern kritischer Infrastrukturen leisten können. Dazu ist erforderlich, dass die betroffene Einrichtung um Unterstützung des BSI bittet und es sich um einen herausgehobenen Fall handelt. Ein solcher kann in einem sogenannten DDoS-Angriff liegen, der mit einer außergewöhnlichen Bandbreite oder Technik ausgeführt wird oder wenn beispielsweise eine Chemieanlage angegriffen wird, von der potenzielle Gefahren für die Bevölkerung ausgehen könnten. Wegen des zunehmenden Bedrohungspotenzials und des damit verbundenen, herausragenden öffentlichen Interesses an der Sicherheit werden zudem erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort für die Betroffenen nicht kostenpflichtig sein. Dadurch soll gewährleistet werden, dass von einem Hilfeersuchen an das BSI nicht aus Kostengründen abgesehen wird.
Hochbezahlte Fachleute kostenlos ausleihen?
Auch wenn das Konzept der Cyber-Feuerwehr vielversprechend klingt, sind noch einige wichtige Fragen offen. Denn wenn der Betroffene die kurzfristige IT-Expertise nicht bezahlen muss, wer entschädigt dann das Unternehmen, das seine Mitarbeiter freistellt? In der noch nicht endgültigen "Kooperationsvereinbarung Cyberwehr" ist eine Vergütung durch staatliche Stellen jedenfalls noch nicht vorgesehen. Vielmehr verpflichten sich die Unternehmen, dass sie den "Feuerwehreinsatz" ihrer Angestellten als Arbeitszeit verbuchen und diese für die Leihdauer weiterbezahlen. Anders als bei der "normalen" freiwilligen Feuerwehr, sollen sich Arbeitgeber (bisher) nicht den Lohnausfall teilweise vom Staat erstatten lassen können. Dies liegt unter Umständen auch daran, dass die gesuchten IT-Experten teuer sind. Von der Antwort auf diese Frage könnte letztlich abhängen, ob die Idee Erfolg haben wird.
Offen ist außerdem, wie damit umgegangen wird, wenn die IT-Experten aus unterschiedlichen Unternehmen im Rahmen einer Cyber-Feuerwehr zusammenarbeiten und dabei potenziell kritisches Know-how eines Wettbewerbers erlangen. Hier könnten strafbewehrte Vertraulichkeitsregelungen helfen, internes Wissen zu schützen.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
IT-Sicherheit stärken
Obwohl Betreiber kritischer Infrastrukturen seit Juli 2015 verpflichtet sind, schwere Attacken auf ihre Computer-Systeme dem BSI zu melden, scheuen sich Unternehmen zum Teil einen Angriff zu melden. Teilweise aus der Angst heraus, der Ruf könnte geschädigt oder firmeninterne Daten könnten preisgegeben werden. Das geplante Netzwerk von mobilen Eingreifteams soll schnelle und hochqualifizierte Reaktionen auf Hackerangriffe ermöglichen und so Vertrauen schaffen, damit Unternehmen bei einem Angriff auf die IT-Sicherheit aktiv Hilfe rufen. Mit den geplanten Neuregelungen wird der kooperative Ansatz zur Zusammenarbeit von Experten aus der Wirtschaft und staatlicher Stellen in der IT-Sicherheit weiter vorangetrieben. IT-Sicherheit bleibt damit auch 2017 ein spannendes Thema in Wirtschaft und Politik. (fm)
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten