Setzen Sie kritische Infrastrukturen einem Risiko aus?

30. März 2023
Henrik Smit
Direktor CyberOps
Setzen Sie kritische Infrastrukturen einem Risiko aus?

Die Gefahr, die Cybersicherheit in Ihrem Unternehmen zu übersehen

Im März 2021 blockierte das Frachtschiff Ever Given den Suezkanal fast eine Woche lang und verursachte enorme Auswirkungen auf die Container-Infrastruktur. Dies führte zu einer weltweiten Unterbrechung der Frachtlieferungen, da 10 % der Weltwirtschaft diesen Kanal passieren. In der gesamten Lieferinfrastrukturkette mag es wie eine kleine Unterbrechung erscheinen, dass der Suezkanal nicht passiert werden konnte, aber in Wirklichkeit hielt dieser eine Engpass bis zu 10 Milliarden Dollar an Fracht pro Tag auf.

Sie werden sich vielleicht fragen, was das mit Cybersicherheit und kritischen Infrastrukturen zu tun hat. Genau wie in einer Lieferkette ist die Cybersicherheit für kritische Infrastrukturen nur so stark wie ihr schwächstes Glied. Wir hören dieses Klischee ständig, aber haben Sie jemals daran gedacht, dass Sie das schwächste Glied in einer Kette kritischer Infrastrukturen sein könnten?

Es ist vielleicht nicht selbstverständlich, Ihr Unternehmen als Teil einer kritischen Infrastruktur zu betrachten. Die Chancen stehen jedoch gut, dass Sie ein Zulieferer und Teil einer großen Kette sind, die mit kritischen Infrastrukturen verbunden ist. Es mag noch schwieriger sein, sich selbst als das schwächste Glied in der Lieferkette zu sehen, aber Sie können sicher sein, dass Angreifer diese Analyse durchführen. Ziele mit hoher Sichtbarkeit sind in der Regel schwieriger anzugreifen, da ihre Cyber-Reife in der Regel sehr hoch ist. Daher werden Angreifer nach anderen Wegen suchen, um die Ziele mit hoher Sichtbarkeit zu erreichen, und Ihr Unternehmen könnte dazwischen liegen.

Welche Maßnahmen können Sie ergreifen, um sicherzustellen, dass Ihr Unternehmen nicht das schwächste Glied in der Kette der kritischen Infrastrukturen ist?  

In der Praxis haben wir festgestellt, dass sich viele Unternehmen stark auf ihre IT- und OT-Systeme verlassen, sich aber nicht sicher sind, ob sie die richtigen Indikatoren für einen Angriff überwachen. Folglich sind sie sich nicht bewusst, ob sie einen tatsächlichen Angriff erkennen können, und - was noch schlimmer ist - sie erkennen möglicherweise nicht, dass sie bereits kompromittiert wurden. Die erste Reaktion der Sicherheitsteams besteht daher darin, nach "MEHR" zu suchen: mehr Tools, mehr Überwachung, mehr Informationen und mehr Personal. Dieser Ansatz führt jedoch oft zu größerer Verwirrung, mehr Lärm und Burnout beim Personal. Es liegt auf der Hand, dass eine kosteneffizientere Entscheidungsfindung in Bezug auf Werkzeuge in Verbindung mit den vorhandenen Fähigkeiten erforderlich ist.  

Wir bei KPMG kennen die Herausforderungen, denen sich Unternehmen mit ihren bestehenden Fähigkeiten und zukünftigen Cyber-Zielen gegenübersehen. Deshalb haben wir unseren Effective Security Observability (ESO)-Ansatz entwickelt, der Sie dabei unterstützt, Schwachstellen zu erkennen, Ihre Verteidigung zu verstärken und Ihre Sicherheitslage zu verbessern - indem wir das Rätsel Ihres Sicherheitsbetriebs durch die Optimierung Ihrer Sicherheitslandschaft lösen. Wenn Sie mehr darüber erfahren möchten, wie Ihr Unternehmen von ESO profitieren und einen tieferen Einblick in Ihre Cybersicherheit gewinnen kann, laden Sie unser Whitepaper herunter und sprechen Sie mit einem unserer Spezialisten.

Einige dieser Spezialisten präsentierten auch Vectra AI und KPMG veranstalteten am 8. März gemeinsam ein Webinar, um das Bewusstsein für die laufenden Cyberangriffe zu schärfen, die kritische Infrastrukturen bedrohen. Die Diskussion befasste sich mit den Risiken, die Cyber-Bedrohungen für Organisationen und kritische Infrastrukturen darstellen, und zeigte auf, wie unser ESO-Ansatz, der von Vectra AI unterstützt wird, diesen Organisationen nützen kann. Das Webinar bot auch die Gelegenheit, mehr darüber zu erfahren, wie die Zuhörer die Bedrohungslandschaft und ihre Sicherheitslage wahrnehmen, und ihre gemeinsamen Probleme zu identifizieren. In diesem Blogbeitrag stellen wir die Ergebnisse des Webinars vor und erörtern die Implikationen der Erkenntnisse.

Die Zunahme von Cyber-Bedrohungen, die auf kritische Infrastrukturen abzielen - was sind die größten Bedenken?

Unser erstes Ziel war es, herauszufinden, welche Art von Angriffen für das Publikum am besorgniserregendsten ist. Die am wenigsten besorgniserregenden Bedrohungen sind phishing Angriffe und Insider-Bedrohungen, was interessant ist, weil diese Angriffe oft miteinander verbunden sind und von Sicherheitstools allein nicht leicht erkannt werden können. So kann beispielsweise phishing als anfängliche Zugangsmethode verwendet werden, die möglicherweise zu einem Advanced Persistent Threat (APT) führt, der ransomware installiert. Es ist wichtig zu beachten, dass APTs und Insider-Bedrohungen Kategorien von cybercriminels darstellen, während phishing und ransomware eher angriffsbezogene Techniken sind. Dennoch sind ransomware und APTs die Angriffe, die am meisten Anlass zur Sorge geben: die Hälfte der Teilnehmer erwähnte diese.

Ein weiterer faszinierender Punkt ist, dass diese Angriffe zwar miteinander verwandt sind, aber unterschiedlich wahrgenommen werden. So können APTs beispielsweise phishing Angriffe oder sogar Insider-Bedrohungen nutzen, um sich zunächst Zugang zu verschaffen, und dann die Installation von ransomware als Endziel anstreben. APTs und ransomware können jedoch aufgrund ihrer größeren Auswirkungen als bedrohlicher für Unternehmen wahrgenommen werden. Außerdem entwickeln sie sich ständig weiter und können ohne die richtige Sichtbarkeit und die richtigen Tools leicht unbemerkt bleiben. Aus diesem Grund setzt ESO die Attack Signal IntelligenceTM von Vectra AI ein, die sich auf das Angriffsverhalten konzentriert: Sie erkennt unbekannte Angriffe, die sich in der Umgebung ausbreiten, und ist somit in der Lage, solche Bedrohungen zu erkennen und Bedenken zu zerstreuen. Gleichzeitig ermöglicht die KI-gesteuerte Triage und Priorisierung eine geringere Informationsflut und Konsolidierungsoptionen für Tools, die effizienter genutzt werden können.  

Um beim Thema Cyberangriffe zu bleiben, wollten wir wissen, ob unsere Zuhörer im letzten Jahr eine Zunahme der Häufigkeit von Angriffen beobachtet haben. Die Schlussfolgerung war eindeutig: Viele Personen, die in kritischen Infrastrukturen arbeiten, haben eine Zunahme von Cyber-Bedrohungen festgestellt, die auf ihre Umgebung abzielen. Es ist zwar wichtig, sich der sich entwickelnden Bedrohungslandschaft bewusst zu sein, aber das reicht nicht aus. Unternehmen müssen auch darauf vorbereitet sein, sich diesen Herausforderungen zu stellen - ein Thema, auf das wir später in diesem Blog näher eingehen werden.

Digitalisierung, Menschen und Sicherheitslage - wo stehen die Unternehmen?

Betrachtet man sowohl den Zweck als auch das Motiv von Cyberangriffen, so besteht eines der häufigsten Ziele darin, die Kontinuität eines Unternehmens zu stören, was häufig durch wirtschaftliche Anreize gefördert wird. Die Organisationen, die am stärksten von diesen Angriffen betroffen sind, stützen sich in der Regel stark auf digitalisierte Prozesse. Deshalb wollten wir herausfinden, inwieweit unser Publikum von der Digitalisierung abhängig ist.

Wir haben festgestellt, dass ein Großteil unseres Publikums auf digitalisierte Produktionsprozesse angewiesen ist. Die Digitalisierung ist sowohl für kritische als auch für nicht-kritische Infrastrukturen von entscheidender Bedeutung, insbesondere im Hinblick auf die fortschreitende digitale Transformation. Das Erkennen der Motive hinter Cyberangriffen kann Unternehmen helfen, potenzielle Bedrohungen besser zu verstehen und sich darauf vorzubereiten.

Bei KPMG und Vectra AI haben wir beobachtet, wie wichtig die Digitalisierung für unsere Kundeninstallationen ist. Dies hat uns dazu veranlasst, zu untersuchen, inwieweit die gesamte Organisation, nicht nur der Vorstand, in die Festlegung der Sicherheitsstrategie eingebunden ist. In der heutigen Landschaft sollten IT und Cybersicherheit für alle Mitglieder einer Organisation relevant sein, vom Vorstand bis zu den einzelnen Mitarbeitern, und sicherstellen, dass die Stimmen der CISOs und anderer Sicherheitsexperten im gesamten Unternehmen gehört und berücksichtigt werden.

Unsere Ergebnisse zeigen, dass der Vorstand immer an der Festlegung der Sicherheitsstrategie der Organisationen unserer Teilnehmer beteiligt ist, allerdings in unterschiedlichem Maße. In einem von drei Fällen ist die Beteiligung des Vorstands an diesen Entscheidungen jedoch begrenzt. Die Einbindung des Vorstands in Entscheidungen zur Cybersicherheit wird noch wichtiger, wenn man die kommenden Verordnungen und Richtlinien wie NIS2 und DORA berücksichtigt. Cybersicherheit sollte sowohl für den Vorstand als auch für die Sicherheitsteams oberste Priorität haben, um einen robusten und umfassenden Ansatz für die Sicherheitslage des Unternehmens zu gewährleisten.

Kommende Verordnungen und Richtlinien unterstreichen die Notwendigkeit umfassender Cybersicherheitsstrategien und -richtlinien. Dies kann nur durch die aktive Beteiligung der gesamten Organisation, einschließlich des Vorstands, erreicht werden. Die umfassende Einbindung des Vorstands in Entscheidungen zur Cybersicherheit trägt dazu bei, eine solidere Sicherheitslage zu schaffen und die Einhaltung der sich entwickelnden gesetzlichen Anforderungen zu demonstrieren.

Wenn wir uns die möglichen Folgen eines erfolgreichen Cyberangriffs wie ransomware vor Augen führen, ist es für die Unternehmensführung von entscheidender Bedeutung, sich mit den wichtigsten Fragen zu befassen, darunter: Was sind die nächsten Schritte nach einem Angriff? Ist die Organisation bereit, das Lösegeld zu zahlen? Wenn ja, wie viel, und wer ist befugt, darüber zu verhandeln? Wie viel Risiko ist die Organisation bereit zu akzeptieren, und wo ziehen Sie die Grenze?

Um beim Thema Menschen zu bleiben, haben wir uns auch gefragt, wie sich die Arbeitsbelastung der Sicherheits- und IT-Fachleute im vergangenen Jahr verändert hat und ob sich dies auf die Sicherheitslage der Unternehmen ausgewirkt hat. Die Mehrheit der Befragten gab an, dass die Arbeitsbelastung der Sicherheits- und IT-Fachleute zugenommen hat. Dies ist problematisch, da eine höhere Arbeitsbelastung in der Regel zu Sicherheitslücken und/oder Ermüdung der Mitarbeiter führt. Nur einige wenige Unternehmen stellten fest, dass die Arbeitsbelastung in etwa gleich geblieben ist, ohne dass dies Auswirkungen auf die Sicherheitslage hatte, und keines von ihnen meldete einen Rückgang.  

Der Schwerpunkt der Organisationen sollte darauf liegen, die Arbeit des Sicherheitsteams effizienter zu gestalten und somit die Arbeitsbelastung zu verringern, was in keinem dieser Fälle geschieht. Unser Ziel mit Vectra AI und ESO ist es, die Erkennungsprozesse effektiver zu gestalten und sich auf die Einsparung von Zeit und Kosten zu konzentrieren. Für Unternehmen ist es wichtig zu wissen, worauf sie sich konzentrieren und welche Änderungen sie an ihren Prozessen vornehmen müssen, um eine bessere Sicherheitslage zu erreichen - und genau das unterstützen wir mit unserem ESO-Ansatz.  

Cyber-Bedrohungen - sind Organisationen darauf vorbereitet?

Um unseren Ansatz für Unternehmen umzusetzen, müssen wir zunächst deren aktuelle Fähigkeiten verstehen. Um die allgemeine Sicherheitslage des Publikums zu bewerten, haben wir mit der Frage nach der Effektivität der Organisation bei der Reaktion auf Cyber-Bedrohungen gefragt: Wissen Sie, wie effektiv Ihre Organisation auf Cyber-Bedrohungen reagiert?  

Mit dieser Frage im Hinterkopf stellten wir fest, dass die am Webinar teilnehmenden Organisationen erkannten, dass ihre Fähigkeit, auf bestimmte Angriffe zu reagieren, Lücken aufweisen kann. Dies ist zu erwarten, da es schwierig ist, auf unbekannte Angriffe vorbereitet zu sein, da die Umgebung eines Unternehmens nicht transparent ist und Lücken aufweist. Darüber hinaus antwortete keiner der Befragten, dass er nicht vorbereitet sei, was zeigt, dass sich alle der Cyber-Bedrohungen bewusst sind und Maßnahmen ergreifen müssen.  

Denken ist jedoch nicht gleichbedeutend mit Beweisen - was uns zu der Frage führt, wie Unternehmen die Effektivität ihrer Sicherheitsexperten bei der Bewältigung von Cyber-Bedrohungen quantifizieren können.

Unsere Umfrage zeigt, dass jedes vierte Unternehmen die Effektivität seiner Prozesse bei der Bewältigung von Cyber-Bedrohungen nicht misst, was bedeutet, dass es seine Sicherheitslage nicht genau einschätzen kann. Das ist ein ärgerliches Ergebnis, denn es bestätigt unseren Gedanken, dass die Annahme, effektiv zu sein, nicht bedeutet, dass man dies auch beweisen kann.  

Schließlich wollten wir herausfinden, wie die Zuhörer die Veränderungen in der Bedrohungslandschaft für kritische Infrastrukturen im letzten Jahr wahrnehmen. Das Publikum teilt unsere Besorgnis über Angriffe auf kritische Infrastrukturen und erkennt an, dass sie ein echtes Ziel für Cyberangriffe darstellen. Implizit sind sie sich bewusst, dass sie auf solche Angriffe vorbereitet sein müssen, aber wie bereits gezeigt, bedeutet dies nicht, dass sie es auch sind.  

Verbessern Sie Ihre Sicherheitslage mit ESO und Vectra AI

Betrachtet man alle Antworten, so lässt sich bei diesen Organisationen ein allgemeiner Trend feststellen, der mit unseren Erwartungen übereinstimmt: Die Organisationen sind sich zwar der Bedrohungen bewusst, mit denen sie konfrontiert sein könnten, doch die meisten von ihnen erkennen, dass ihre Fähigkeit, darauf zu reagieren, lückenhaft ist. Auch die Erhöhung der Arbeitsbelastung von Sicherheits- und IT-Fachleuten scheint ein gängiger Ansatz zu sein, aber wie bereits erwähnt, ist dies weitgehend ineffektiv und führt in den meisten Fällen nicht zu einer Verbesserung der Sicherheitslage. Daher stellt sich die Frage: Wie lassen sich diese Lücken am besten schließen?  

Unser Ansatz zur Bewältigung dieser Probleme ist Effective Security Observability (ESO). Dank ESO erhalten Unternehmen den richtigen Einblick in ihre IT-Umgebung und können ihre Prozesse effektiver gestalten, da sie wissen, worauf sie sich konzentrieren müssen. Die Plattform Vectra AI passt perfekt zu den ESO-Zielen mit ihrer branchenführenden Attack Signal IntelligenceTM (ASI), die darauf ausgelegt ist, Bedrohungen zu erkennen, die an herkömmlichen Sicherheitslösungen vorbeigehen. Mit Vectra AI's ASI, ESO ermöglicht:

  1. Angriffsflächenabdeckung - Auslöschung unbekannter Bedrohungen in vier der fünf Angriffsflächen - Cloud, SaaS, Identität und Netzwerke - ohne die Notwendigkeit von Agenten.
  2. Klarheit mit Attack Signal Intelligence - KI-gesteuerte Erkennung, um wie ein Angreifer zu denken, KI-gesteuerte Triage, um zu erkennen, was bösartig ist, und KI-gesteuerte Priorisierung, um zu wissen, was dringend ist.
  3. Intelligente Steuerung mit KI-gesteuerten Abläufen - Optimierung der Investitionen Ihres Unternehmens in Tools, Prozesse und Playbooks zur Steigerung der Effizienz und Effektivität des SOC.

Die Einführung von ESO in Ihrem Unternehmen erfordert fünf wichtige Schritte:

  1. Vision - Einblick in die Geschäftsanforderungen und Definition der SOC-Strategie.
  2. Validierung - Definition des ESO-Zielbetriebsmodells und der technologischen Anforderungen.
  3. Konstruieren - Definition von Anwendungsfällen, Arbeitsabläufen, Lösungsarchitektur und Integrationen.
  4. Einführung - Implementierung der Technologie und der Arbeitsmethoden in Ihrem Unternehmen.
  5. Entwickeln Sie sich weiter - realisieren Sie den Wert der ESO, indem Sie einen stabilen Zustand und kontinuierliche Verbesserungen schaffen.

In nur wenigen Tagen erhalten Sie Klarheit über die Sicherheitsbedrohungen in Ihrer Umgebung - so sind Sie besser auf die Angriffe vorbereitet, die Ihre Umgebung bedrohen, verringern die Arbeitsbelastung Ihrer Mitarbeiter und schließen Ihre Lücken.  

Häufig gestellte Fragen