Die IT- und OT-System und deren Anwendungen wird immer löchriger.

Die schlechte Nachricht ist, dass die IT- und OT-Systeme, welche im digitalen Zeitalter die Grundlage für fast alle Bereiche bilden, immer unsicherer werden bzw. sich nur sehr umständlich absichern lassen. Für diesen beunruhigenden nachweislichen Trend gibt es mehrere Gründe. Erstens werden die Systeme auf Grund der zu langsamen Weiterentwicklung oder der stetigen Rückwärtskompatibilität technologisch immer schwächer. Praktisch niemand schreibt mehr Code oder entwickelt "Apps" von Grund auf. Bei nahezu allen Technologien verlassen sich die Institutionen immer noch auf viele der Kernprotokolle, die in den 1970er und 80er Jahren entwickelt wurden. In den 1970er und 80er Jahren wurden diese Protokolle entwickelt, um unter der Premisse "offen" zu sein, nicht um sicher zu sein. Aktuelle Angriefe gehen genau auf diese Kernelemente des Internets zurück und nutzen immer neuentdeckte Schwachstellen gezielt aus. Im Umkehrschluss bedeutet dies, insofern neue Funktionen in bestehende Lösungen oder Infrastrukturen integriert werden, müssen die bereits bekannten Schwachstellen der Lösung bzw. Infrastruktur einfach zu den bestehenden und wachsenden Schwachstellen hinzugefügt werden, auf denen sie aufbauen. Die Realität sieht so aus, dass das Internet und die angebotenen Cloud-Lösungen mit Schwachstellen übersät sind. Hinzu kommt, dass Schwachstellen in vielen Open-Source-Codes, die seit Jahren weit verbreitet sind, immer deutlicher zutage treten und von modernen "Zero-Day"-Angriffen ausgenutzt werden und das Patching von Anwendungen und Systemen, auf das wir uns zur Behebung verlassen haben, kaum noch nicht Schritt halten kann. Große Schwachstellen wie Heartbleed und Shellshock existierten seit Jahren im Open-Source-Code und wurden erst vor einigen Jahren aufgedeckt. Jedoch innerhalb weniger Stunden nach dem Bekanntwerden der Heartbleed-Schwachstelle gab es einen Ansturm von Angreifern, die diese ausnutzen wollten. Viele können sich noch sehr gut an die Herausforderungen durch die Sicherheitslücke Spectre oder die Sicherheitslücken rund um Microsoft Exchange in diesem Jahr erinnern. Die Angreifer nutzten die neu aufgedeckte Sicherheitslücke somit viel schneller aus, als die Hersteller die Lücke patchen konnten. Dieses Verhalten kann auch in 2021 als ein stetig wachsender Trend nachgewiesen werden.

Die Angreifer werden immer besser und rafinierter.

Kurz nach der Jahrtausendwende prägte die NSA den Begriff "APT". Dieser Stand für "Advanced Persistent Threat". APT steht für hochentwickelte Cyberangriffsmethoden, welche von fortschrittlichen nationalen Akteuren durchgeführt werden. Insbesondere zeichneten sich diese Angriffe dadurch aus,

dass die Angriffe meist auf bestimmte Personen und nicht auf Netzwerke abzielten, dass sie sich ständig weiterentwickelten und dass die Angreifer mit cleveren Social Engineering-Taktiken arbeiteten.

Bei einem APT-Angriff handelte es sich nicht um "Hacker" und "Script-Kiddies", sondern es sind Profis am Werk, für die Cyberangriffe zum normalen Tagesgeschäft gehören. Ein weiterer Aspekt eines APT-Angriffes ist es, dass sich dieser durch ihre Fähigkeit auszeichnet, praktisch jedes beliebige Ziel zu kompromittieren. APTs kompromittierten routinemäßig alle Antivirensoftware zur Erkennung von Eindringlingen und Best Practices. APTs machen die Perimeterverteidigung überflüssig.

Was ist jedoch das perfide daran? Die APT-Angriffsmethoden, die früher nur von hochentwickelten Nationalstaaten angewandt wurden, stehen mittlerweile auch gewöhnlichen Kriminellen zur Verfügung und werden von diesen aktiv genutzt. Angetrieben durch die enormen Gewinne werden die Angriffe zunehmend professioneller und raffinierter. Durch die stetige Prefessionalisierung ist offensichtlich, dass sich die Angreifer nicht darauf verlassen werden, die gleichen alten Methoden stets weiter zu verwenden. Stattdessen investieren Angreifer, wie jede kluge, erfolgreiche und wachsende Institution in Forschung und Entwicklung sowie in die Personalbeschaffung. Angreifer versuchen ihr Geschäft auszubauen, indem sie neue Schwachstellen in älteren Infrastrukturen finden und so die Angriffsfläche um weitere Vektoren vergrößern.

Die Wirtschaftlichkeit der Cybersicherheit begünstigt die Angreifer.

Praktisch jeder kann eine Internetsuche durchführen und Anbieter finden, die Angriffsmethoden für eine vergleichsweise geringe Investition anbieten. Die Geschäftspläne der Angreifer sind weitreichend und die Gewinnspannen äußerst großzügig. Mehrere Berichte gehen von Hunderten von Milliarden Dollar an kriminellen Cybereinnahmen pro Jahr aus.

Die Verteidung gegen Cyberangriffe hinkt den Angreifern in der Regel eine Generation hinterher, da es extrem schwierig ist, die Angriffsmethoden und -punkte vorherzusehen. Des Weiteren ist es aus rein wirtschaftlicher Sicht schwierig, die Investitionsrentabilität (ROI) für verhinderte Angriffe durch den CISO und den Verantwortlichen für den Betrieb von Absicherungsinfrastrukturen nachzuweisen. Der ROI stellt somit eine Herausforderungen für eine angemessene Finanzierung von Maßnahmen dar. Ein weitere Punkt ist, die Strafverfolgung ist so gut wie nicht existent (weniger als 2 % der Cyberkriminellen werden erfolgreich verfolgt). Durch die nicht immer vorhandene Sensibilität für die eigenen Daten und den Daten der Institution, neigen die meisten Nutzer/Benutzer dazu, den Nutzen von Anwendungen und deren Funktion der Sicherheit vorzuziehen. Im Umkehrschluss hält es Investoren und Softwareentwickler davon ab, Systeme und Anwendungen mit zusätzlicher Sicherheit auszustatten. Denn wenn deren Implementierung nicht stringend in der Konzeptionierungsphase mit bedacht wurde, führen Sicherheitsmerkmale oft zu einer Verlangsamung oder Einschränkung von Funktionen oder Einschränkung der Benutzbarkeit.

Dieses wenig verständliche Ungleichgewicht der wirtschaftlichen Anreize wird durch die Tatsache verschärft, dass viele der Technologien und Geschäftspraktiken, die in letzter Zeit das Wachstum, die Innovation und die Rentabilität von Institutionen vorangetrieben hat automatisch auch die Cybersicherheit untergrub.

Technologien wie VoIP oder Cloud Computing (IaaS, PaaS, SaaS, FaaS, etc.) bringen enorme Kostenvorteile mit sich, erschweren aber die Sicherheit erheblich. Die Geschäftsführung einer Institution steht vor dem Dilemma, dass sie die Technologie nutzen muss, um das geforderte Wachstum der Institution zu sichern, ohne dabei die Kronjuwelen der Institution oder das hart erkämpfte Vertrauen der Partner und der Öffentlichkeit zu riskieren. Hinzu kommt, dass die Ängste und potenziellen Verluste(Auswirkungen) durch Cyberangriffe eher spekulativ und zukunftsorientiert wahrgenommen bzw. dargestellt wird.

Fazit

Das Cybersicherheitsproblem ist äußerst ernst und wird immer ernster für jede Institution. Ein inhärent unsicheres System oder Anwendung wird immer schwächer. Die Angreifer werden immer raffinierter und genießen massive wirtschaftliche Anreize gegenüber den Verteidigern in der Institution. Die etablierten und meist traditionellen Methoden zur Bekämpfung krimineller Aktivitäten sind nicht ausgereift, um dieser Bedrohung zu begegnen und sind möglicherweise ungeeignet, um der Dynamik der Angriffsmethodiken und deren Evolutionsgeschwindigkeit gerecht zu werden.