Cyberangriffe kommen immer näher: Automatisierung und NIS2 als Retter

Cyberattacken sorgen immer häufiger für Schlagzeilen in den Medien. Egal ob das KaDeWe, Varta oder zuletzt der Hackerangriff auf Krankenhäuser im Kreis Soest, Deutschland wird immer häufiger das Ziel von Angriffen. Cybersicherheit ist also längst zur Pflicht geworden. Und auch auf Seiten der Gesetzgeber wird das Thema immer bedeutender. Künftig sollte das Haupt-Augenmerk auf automatisierte und auf KI-basierende Lösungen gerichtet werden, um die steigende Anzahl von potenziellen Sicherheitsbedrohungen zu verhindern. Gergely Lesku, beschreibt die aktuelle Sicherheitslage in Deutschland und zeigt, wie die Sicherheit durch Automatisierung gesteigert werden kann.

Zwischen Krieg & Erpressung: Gesundheitswesen als neues Target?

Kliniken und Gesundheitseinrichtungen rücken immer mehr in den Fokus von Angreifer:innen. „Warum?“, fragt man sich. Zunächst der aktuelle, offensichtliche Grund: Nicht zuletzt mit dem Ukraine-Krieg sind Krankenhäuser hochattraktive Ziele nicht nur für physische Attacken, sondern auch Cyberangriffe geworden. Kliniken sind als offene, für alle Bürger:innen zu erreichende, möglichst barrierefreie Einrichtungen mit großem Publikumsverkehr und zahlreichen Patienten-Daten und lebenserhaltenden Geräten in besonderem Maße verwundbar. Darüber hinaus attackieren Hacker vor allem deshalb vermehrt Kliniken, weil hier der Druck hoch ist, schnell wieder normal arbeiten zu können. Die Chance, mit der Erpressung erfolgreich zu sein und Lösegeld zu erhalten, ist hoch. Ein weiterer Anreiz für Hacker: die erlangten Daten von Gesundheitseinrichtungen und Kliniken sind äußerst wertvoll und werden im Darknet sehr teuer gehandelt.

RPA & SOAR: Wenn jede Minute zählt

Kommt es zu einem sicherheitsrelevanten Ereignis, müssen die Security-Teams so schnell wie möglich handeln und die richtigen Schritte zur Abwehr einleiten. Dabei kann Automatisierung einen wichtigen Beitrag leisten. Sie kommt dann zu Einsatz, wenn repetitive Prozesse Kapazitäten beanspruchen und so nicht nur für Verzögerungen, sondern zusätzlich für Frust sorgen. Übergibt man diese Aufgaben nun an die „Maschine“, imitiert sie das menschliche Verhalten. Dieses klassische Verfahren nennt sich RPA (Robotic process automation).

Auch ein SOAR nutzt zunächst ähnliche Techniken, wendet diese jedoch auf typische Prozesse im Cybersecurity-Bereich an. Insbesondere Incident-Response-Methoden werden durch den Einsatz eines SOARs bereichert. Darin liegt enormes Potenzial, da bei der Reaktion oft jede Minute entscheidend ist. Löst das System beispielsweise einen Alarm aus, wird automatisch ein Ticket erstellt und der Analyst kann sofort mit der Triage der Daten beginnen. Handelt es sich dabei tatsächlich um einen bösartigen Angreifer:innen, kann das Sicherheitsteam automatisierte Vorgänge starten, bei denen andere Systeme während der Analyse den schädlichen Account sperren oder eine IP-Adresse blocken. Die Security-Teams verschwenden also keine Zeit mit repetitiven Aufgaben, sondern sind direkt in der Lage, die Alarme zu bewerten, die richtigen, komplexeren Schritte einzuleiten und den Schaden somit zu minimieren oder gänzlich zu verhindern.

Deep dive Automatisierung: Mehr Abwehrkraft dank Automatisierung und KI

Viele Security-Unternehmen, insbesondere Startups, machen sich die Fähigkeiten von KI zunutze. Dadurch, dass sie häufig schneller reagiert als der Mensch und 24/7 im Einsatz ist, betrachten sie viele als möglichen Ausweg in Zeiten von Fachkräftemangel in der IT-Branche. So wird klassisch Endpoint Protection Platform immer häufiger zu Endpoint-oder Extended Detection & Response (EDR und XDR) umgebaut. Der Vorteil: Selbst kleinste Auffälligkeiten im Verhalten lassen sich durch KI erkennen. Und das nicht nur basierend auf Signaturen, sondern u.a. durch Arbeitsspeicher-Daten und Betriebssystem-Hintergrundservices. Dies ist insbesondere deshalb wichtig, da Angreifer:innen sich immer öfter in Systeme einschleichen, dort aber nicht direkt zuschlagen, sondern zunächst abwarten und Informationen sammeln. Für klassische Antivirus-Lösungen waren die Angreifer:innen so keine Bedrohung.

Auch die Aufgaben von Red- und Blue-Teams vollziehen sich zunehmend automatisiert. Dies gilt insbesondere für staatliche Sicherheitssysteme. „State related Hacker“ sind oft die Speerspitze neuer Angriffsmethoden. Gerade öffentliche Netzwerke müssen daher immer auf dem neuesten Stand gehalten werden. Umso kritischer ist die Tatsache, dass gerade in Deutschland viele öffentliche Netzwerke veraltet sind. Das zeigen die erfolgreichen Ransomware-Attacken auf öffentliche Netzwerke. Nicht umsonst warnt das BKA eindringlich vor den Gefahren durch Cyberangriffe.

NIS2 zwingt (endlich) zu Maßnahmen – doch Unternehmen müssen nachbessern!

Was passiert, wenn ein Unternehmen Opfer eines Cyberangriffs wird? Neben offensichtlichen Schäden gilt es, das Problem behördlich zu melden. Doch viele Unternehmen sind sich nicht darüber im Klaren, was der Gesetzgeber der Europäischen Union im Falle eines Angriffs vorschreibt. Die neue NIS-2-Richtlinie soll hier für Klarheit und mehr Cybersicherheit in der ganzen EU sorgen. NIS2 könnte hier ein Hoffnungsschimmer sein, um sich nachhaltig sicher aufzustellen. Die neue Richtlinie legt fest, dass Unternehmen ein angemessenes Risikomanagement für ihre IT-Systeme und -Netzwerke implementieren müssen. Dazu gehören u.a. Maßnahmen wie die Identifizierung und Bewertung von Risiken, Verschlüsselung sensibler Daten, regelmäßige Sicherheitsaudits sowie die Einrichtung eines Notfallplans für den Fall eines Cyberangriffs und Konsequenzen bei Nichteinhaltung. Unternehmen, die die NIS2-Richtlinie nicht einhalten, können mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes belegt werden.

Hacker nutzen in der Regel Sicherheitslücken in der IT-Infrastruktur aus, um in die IT-Systeme einzudringen. Darüber hinaus ist der Mensch nach wie vor eine große Schwachstelle: Viele Angriffe erfolgen meist niederschwellig: Hacker verschicken zum Beispiel E-Mails an Mitarbeiter:innen, die auf Links klicken, arglos Anhänge öffnen oder auch manipulierte Webseiten ansteuern. Der technologische Ansatz ist also nur eine Seite der Medaille, schädliche Mails wird man in Zukunft nur dauerhaft beikommen können, wenn die Mitarbeiter:innen richtig geschult werden, um entsprechendes Phishing zu erkennen. Darüber hinaus erfordert die NIS2 Richtlinie auch Schulungen des Managements, die sicherlich zu neuen internen Regelungen und sogar zu einem Kulturwandel in deutschen Organisationen führen werden.