Anzeige

Bäume auf Münzstapeln

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für Hacker unter den kritischen Infrastrukturen (KRITIS). Das zeigt der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sich bestmöglich abzusichern, wird daher zur Pflicht. 

Warum IKT-Unternehmen dabei auf das Konzept Sustainable Cyber Resilience setzen sollten, erklärt Dirk Schrader, CISSP, CISM und ISO/IEC 27001 Practitioner bei Greenbone Networks.

Sustainable Cyber Resilience bedeutet nachhaltige Widerstandsfähigkeit gegen Cyberangriffe zu schaffen. Was heißt das genau? Unternehmen dürfen nicht länger nur reaktiv Maßnahmen ergreifen, um sich vor Hackern zu schützen. Sie müssen ihre Angriffsfläche von vornherein minimieren und gleichzeitig dafür sorgen, dass ihre Systeme auch bei einem Cyberangriff betriebsfähig bleiben. Das Konzept Sustainable Cyber Resilience geht also noch einen Schritt weiter als IT Security und umfasst sowohl technologische als auch strategische Maßnahmen. Auf technischer Seite ist es erforderlich, Risiken zu erkennen, zu bewerten und Schwachstellen zu schließen. Auf strategischer müssen Fach- und IT-Abteilung eng zusammenarbeiten und die Widerstandsfähigkeit von Geschäftsprozessen zur Chefsachen machen. Lesen Sie nachfolgend fünf Gründe, warum Sustainable Cyber Resilience für Telekommunikationsanbieter heute unverzichtbar ist.

1. Cyber-Angriffe auf IKT-Unternehmen häufen sich

Kritische Infrastrukturen sind ein attraktives Ziel für Hacker. Laut des BSI Berichts zur Lage der IT-Sicherheit in Deutschland 2018 wurden im Zeitraum von Juni 2017 bis Mai 2018 145 Vorfälle gemeldet. Die meisten davon betrafen die Sektoren IT und Telekommunikation. Im Sommer 2017 drangen unbekannte Hacker zum Beispiel in das Netz eines regionalen Telekommunikationsunternehmens ein, einer Tochterfirma eines Stromkonzerns. Der Betreiber bat das BSI um Unterstützung, das den Vorfall gemeinsam mit dem betroffenen Unternehmen bearbeitete. Zwar wurde die Telekommunikationsdienstleistung nicht beeinträchtigt, der Angriff zeigt aber wieder einmal, dass die Lage ernst ist: Zunehmend setzen Cyberkriminelle gerade im KRITIS-Bereich fortschrittliche, automatisierte Angriffstechniken ein und führen ihre Attacken systematisch und mit hohem Ressourcenaufwand durch.

2. Telekommunikation ist verbindendes Element aller KRITIS-Sektoren

Fällt die Telekommunikationsinfrastruktur aus, sind auch die anderen KRITIS-Sektoren betroffen. Ohne Informationsaustausch und Datenübertragung funktionieren viele Steuerungssysteme bei Energie- und Wasserversorgern nicht mehr. Das Finanzwesen steht still und auch die Gesundheitsversorgung braucht die Telekommunikation, um Wissen über Krankheit und Heilung zu teilen. Den IKT-Sektor widerstandsfähig gegen Cyberangriffe zu machen, ist also überlebenswichtig für die Gesellschaft.

3. Die Angriffsfläche von Telekommunikations-Infrastrukturen wird größer

Durch die Digitalisierung haben sich immer mehr Telekommunikationsdienste auf IP-Netze verlagert. Das klassische Festnetz hat ausgedient. Telefonie, Internet, Fernsehen und Videostreaming sind mittlerweile IP-basiert. Dadurch kommt es zu einer zunehmenden Vereinheitlichung von Kommunikationsnetzen und Serversystemen. Das bedeutet jedoch auch, dass Hacker mit einem Angriff auf das IP-Netz massiven Schaden anrichten können. Gleichzeitig wird mobile Kommunikation und Datennutzung immer wichtiger und die Vernetzung nimmt zu. Viele IoT-Geräte nutzen das Mobilfunknetz. Dadurch haben Cyberkriminelle immer mehr Angriffspunkte. Der neue Mobilfunkstandard 5G wird außerdem noch mehr technische Komplexität und neue Anforderungen an die IT-Sicherheit mit sich bringen.

4. Verschachtelte Verantwortlichkeiten erschweren die Absicherung

Häufig sind viele verschiedene Unternehmen und Subunternehmen an Telekommunikations-Infrastrukturen beteiligt. Teilweise befinden sich diese auch in verschiedenen Ländern. Das macht es schwer, für Sicherheit zu sorgen. Umso wichtiger ist es, mit einem Resilience-Konzept ein einheitliches, durchgängiges Schutzniveau zu etablieren.

5. Die EU-NIS-Richtlinie macht Resilience-Bausteine zur Pflicht

Seit Mai 2018 sind KRITIS-Unternehmen aus dem Telekommunikationssektor verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz vor Cyberkriminalität nach aktuellem Stand der Technik nachzuweisen. Das schreibt die EU-NIS-Richtlinie vor, die in Deutschland durch eine Erweiterung des IT-Sicherheitsgesetzes (IT-SIG) umgesetzt wurde. Als Orientierung für den „Stand der Technik“ kann zum Beispiel die ISO 27001-Zertifizierung dienen. Zu den darin geforderten Maßnahmen zählt unter anderem Vulnerability Management (deutsch: Schwachstellenmanagement). Dieses wiederum ist ein wichtiger Grundbaustein von Sustainable Cyber Resilience.

Fazit: Mit nachhaltiger Widerstandsfähigkeit Risiken minimieren

„Nicht umsonst sind Angriffe auf Telekommunikationsinfrastrukturen bei Hackern so beliebt. Sie finden hier eine wachsende, komplex abzusichernde Angriffsfläche, auf der sie großen Schaden anrichten können. IKT-Unternehmen sollten daher alles tun, um ihre Systeme nachhaltig widerstandsfähig zu machen“, erklärt Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks. Für ein umfassendes Konzept der Sustainable Cyber Resilience müssen IKT-Unternehmen die geeigneten technischen und organisatorischen Maßnahmen ergreifen. Dazu zählt unter anderem Vulnerability Management.

Mehr Informationen zum Thema Cyber Resilience im IKT-Sektor finden Sie im kostenlosen Whitepaper von Greenbone:

https://www.greenbone.net/whitepaper/ikt/

 

Dirk Schrader, CISSP, CISM und ISO/IEC 27001 Practitioner
Dirk Schrader
CISSP, CISM und ISO/IEC 27001 Practitioner, Greenbone Networks

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!