Wie schwerwiegend die Auswirkungen von Cyberangriffen sein können, zeigte sich unlängst beim Automobilhersteller Jaguar Land Rover. Um dem zu begegnen, braucht es neben Resilienz eines funktionalen Business Continuity Management. Wie KI bei solchen Problemen helfen kann und welche Rolle die Lieferkette dabei spielen kann, zeigten spannende Vorträge während der it-sa.
Ende August wurde der britische Automobilhersteller Jaguar Land Rover (JLR) gehackt. Die Produktion stand danach in drei britischen Werken wochenlang still. Die Schadenssumme soll sich auf mehrere Milliarden britische Pfund belaufen, auch Daten wurden gestohlen. Rund 33.000 Mitarbeiter produzieren bei JLR etwa 1000 Autos pro Tag, von denen nun viele nach Hause geschickt wurden. Auch bei den Zulieferern entwickelte sich die Situation dramatisch, viele mussten Mitarbeiter temporär suspendieren, einigen drohte Zahlungsunfähigkeit. Nach fünf Wochen bekam die Cyberattacke eine politische Dimension. Das Ausmaß führte dazu, dass sich das britische Parlament mit dem Vorfall beschäftigte. Dort wurde geschätzt, dass bei dem KFZ-Hersteller und seinen Zulieferern gut 200.000 Arbeitsplätze gefährdet sind. Daraufhin beschloss die britische Regierung, mit einer staatlichen Kreditgarantie über 1,5 Milliarden Pfund einzuspringen, um die Arbeitsplätze zu retten. Erst Anfang Oktober ist die Produktion wieder angelaufen, allerdings mit großen Einschränkungen. Bis das Unternehmen zum Normalbetrieb zurückkehren kann, dürften nochmals etliche Wochen vergehen, schätzten danach Experten. Laut einem Bericht der BBC sollen die Auswirkungen noch für circa sechs Monate anhalten.
Dieser dramatische Cyberangriff offenbart neben Sicherheitsdefiziten, die den Angreifern zum Erfolg verholfen haben, gleich mehrere Probleme. Hauptsächlich werden Mängel im Business Continuity Management (BCM) sowie Abhängigkeiten in der Lieferkette sichtbar. Diese Themen zählen zu den Top-Themen der diesjährigen it-sa. Sie wurden in zahlreichen Diskussionsrunden und Vorträgen behandelt. Weitere Vorträge zum Thema BCM zeigen wir Ihnen auf der it-sa Website.
Resilienz gegen folgenschwere Cyberangriffe
Allen voran das Thema Resilienz, also die Widerstandsfähigkeit gegenüber Störungen und externen Einflüssen. Es beschreibt die Fähigkeit eines Systems, bei Störungen und Ausfällen nicht vollständig zu versagen, wie es bei Jaguar Land Rover passiert ist. Mehr Resilienz soll verhindern, dass Ausfälle wie dieser zu katastrophalen Folgen führen. Dies kann beispielsweise mittels Redundanz erreicht werden, wodurch bei Ausfall eines IT-Systems ein anderes einspringen kann.
Doch Resilienz reicht weiter: „Resilienz ist sicherlich die grundsätzliche Voraussetzung, um selbstbestimmt handeln zu können. Also dass ich handlungsfähig bleibe, auch unter Einfluss von Angriffen oder Bedrohungen“, hieß es in einer Veranstaltung der Fachgruppe IT-Sicherheit des Bundesverbandes IT-Mittelstand (BITMi) während der dreitägigen Fachmesse. Den Vortrag können Sie auf der it-sa Website anschauen. Das korrespondiere mit digitaler Souveränität, die im letzten Beitrag zur diesjährigen it-sa behandelt wurde. Denn digitale Souveränität führe zu mehr Resilienz, meinten Vertreter der Fachgruppe, da damit beispielsweise Möglichkeiten zur Auswahl unter verschiedenen Anbietern verbunden sind, womit der Ausfall eines Anbieters leichter zu kompensieren sei. Weitere Informationen finden Sie im letzten Newsletter-Artikel auf der it-sa Website.
Doch wo Resilienz durch Redundanz hergestellt werden muss, wird es teuer. Deshalb bleibt eine umfassende Notfallvorsorge, also BCM, wichtig, um Vorfälle wie den eingangs dargestellten effektiv zu bewältigen.
Wesentlicher Punkt dabei sei die Priorisierung zeitkritischer Prozesse, betonte Silke Menzel vom Sicherheitsspezialisten HiScout in ihrem Vortrag zu diesem Thema. Hinzu kämen Notfallpläne, die Einrichtung von Notfallteams und eines Krisenstabs. Doch das alles nütze nur etwas, wen durch Übungen sichergestellt werde, dass Pläne und Teams auch funktionieren. „Wenn du im Ernstfall zum ersten Mal ein Backup einspielst, hast du ein Problem. Wenn du im Ernstfall erst die Nummer von deinem Chef suchen musst, weil du die nicht hast, hast du auch ein Problem. Also muss man das üben“, mahnt Uwe Klapproth. Er ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Abteilungsleiter Operative Cybersicherheit – Lage und CERT. Übungen gelten nicht umsonst als elementarer Bestandteil eines funktionalen BCM. Klapproth warnt: Viele Firmen hätten angegeben, dass sie super vorbereitet seien. Doch wenn man genauer hinschaue, stimme das oftmals nicht wirklich. Weitere Informationen finden Sie auf der it-sa Website.
Schwachstelle Lieferkette: Ein Einfallstor für Attacken
Notfallpläne sollten auch die Lieferkette berücksichtigen, denn sie ist mitentscheidend für die Resilienz eines Unternehmens. Klapproth sieht hier deutlichen Handlungsbedarf: Je weiter man heruntergehe in der Lieferkette, desto mehr offenbarten sich Schwachstellen. Angreifer hätten es oft leicht, das schwächste Glied zu finden, sich dort einzunisten und von da aus Schaden anzurichten.
Dabei passen sich kriminelle Gruppen sehr schnell an Veränderungen in der Lieferkette an. Florian Hartmann, Senior Sales Engineer bei Crowdstrike, berichtete, wie sich Angreifergruppen zunehmend in Richtung Software-as-a-Service (SaaS), also cloudbasierte Dienste, orientieren. Auf der it-sa Website sehen Sie den ganzen Vortrag.
„Angriffe gehen dort hin, wo die Daten liegen. Wenn wir überlegen, wie viele Unternehmen heutzutage Salesforce, Workday und viele, viele weitere Anwendungen nutzen“, offenbarten sich zahlreiche problematische Szenarien. „Das heißt, der Trend von Onprem über Cloud, über SaaS-Applikationen, den die Unternehmen mitmachen, adaptieren also auch die Angreifergruppen und gehen natürlich dahin, wo die Daten der Kunden liegen“, so Hartmann. Es sei daher nicht verwunderlich, dass im September sehr prominent zwei große Angriffe auf Salesforce für Schlagzeilen sorgten.
Hinzu käme, dass Sicherheitsverantwortliche und CISOs heute stark unter Druck stünden, gibt Michael Schröder, Leiter des Produktmarketings bei ESET in Deutschland, zu bedenken. Regulatorische Anforderungen, Personalmangel und technologische Überforderung ergeben eine Problemlage, die wenig Spielräume bietet. Er beschrieb die Situation als „Überforderung durch Komplexität“. Die Aufzeichnung dazu finden Sie auf der it-sa Website.
Dem stimmt Kevin Ott von NVISIO zu und ergänzt, dass Lieferkettenangriffe hochkomplex und gleichzeitig schwer erkennbar seien. Dadurch könnten sie besonders verheerend wirken, auch weil Angreifer sich dadurch bereits im Netz befänden und von dort aus agieren könnten. Sein SANS-Team hat deshalb eine Methode entwickelt, wie „Red Teams“ bei Sicherheitstests solche Angriffe simulieren können. Den ganzen Talk sehen Sie auf der it-sa Website.
Mit Künstlicher Intelligenz gegen steigende Komplexität
Der Überforderung durch zu hohe Komplexität lässt sich effizient mit KI begegnen. Das macht Vectra bereits seit 2011. Christoph Riese, SE Director bei Vectra, betont in seinem Beitrag aber, dass klassische Anomalieerkennung – das Standardeinsatzgebiet für KI – heute nicht mehr ausreicht. „KI ist Bestandteil des modernen Angreiferarsenals“, erläuterte er. Weitere Informationen entdecken Sie dazu auf der it-sa Website.
Kriminelle würden mittels KI so viel unterschiedlichen Traffic im Netz erzeugen, dass der eigene ausgefeilte Angriff darin untergehe. Deshalb habe sich Vectra darauf spezialisiert, dass Verhalten der Angreifer zu analysieren. Wie dieses Verhalten von Angreifern aussieht, beschreibt Michael Veit, der als Technology Evangelist bei Sophos tätig ist. Inzwischen gäbe es Malware, die ihre eigene KI mitbringe, sagt er. Eine nennt sich „Prompt.log“, sie prüfe auf infizierten Systemen eigenständig, wie sie sich im Netz weiter ausbreiten kann. Den ganzen Vortrag sehen Sie auf der it-sa Website.
Doch KI-Systeme können selbst zum Ziel von Angriffen werden, wie Marco Di Filippo, Senior Cyber Security Engineer bei Whitelisthackers vorführt.
Er demonstriert darin eindrucksvoll, wie man KI-Sprachmodelle dazu bringen kann, eingebaute Schutzmechanismen zu umgehen und sie dazu bringt, Ergebnisse zu liefern, die eigentlich nicht ausgegeben werden sollten, beispielsweise Schadcode. Die allgegenwärtige Präsenz von KI spiegelt sich auch in zahlreichen anderen Vorträgen wider. Dazu zählen unter anderem der Einsatz im SOC zur besseren Filterung von Meldungen und Alarmen sowie das Auffinden von Schwachstellen im Schwachstellen-Management.
