Eine Cybercrime-Krise in der Wasserversorgung kann derzeit keiner gebrauchen!

​veröffentlicht am 29. Mai 2020

Derzeit überschlagen sich die Meldungen in den Gazetten auf Ebene der IT- und Cyber-Sicherheit. Waren bislang eher der Mittelstand oder Finanzdienstleister im Fokus von Cyberkriminellen, gelangen nun auch Vertreter der (Wasser-)Versorgungsbranche zunehmend in den Fokus. Nachdenklich stimmende Meldungen aus Ludwigshafen oder Langenfeld zeigen einen deutlichen Trend. Und gerade in der jetzigen Zeit sollte kein zusätzliches Problem die Angst um Versorgungssicherheit schüren.

Die Facetten von Cybercrime sind so mannigfaltig wie die Kriminalität in der analogen Welt. Jede Schwäche wird ausgenutzt. Jeder wird getäuscht. Viele werden erpresst. Was ist also zu tun, in dieser Zeit des Umbruchs von analoger in die digitale Welt?

Um Schwachstellen beseitigen zu können, muss man diese erst kennen. Dazu kann ein Cybersecurity Rating dienen. Ein solches Instrument analysiert die Art und Weise, wie sich ein Unternehmen im öffentlichen Internet präsentiert, verhält und welche Sicherheitsmaßnahmen, die üblicherweise erwartet werden können, vorliegen. Im Gegensatz zu einem sogenannten Penetrationstest versucht ein Cybersecurity Ratingsystem nicht, die Schwachstellen auszunutzen und die Sicherheitsmechanismen zu umgehen. Es werden dabei lediglich öffentlich verfügbare Informationen in der Art ausgewertet, welche einen Rückschluss auf die Sicherheitsresilienz des Unternehmens zulassen.

Wie soll das gehen? Ebenso wie jeder Anwender, der durch die Nutzung von Diensten und Services Spuren im Netz hinterlässt, ist auch ein Unternehmen mit seinen Endgeräten und Servern im Netz nicht unbekannt. Es hat einen Web-Auftritt und bei jedem Besuch einer Webseite werden Basis-Informationen ausgetauscht. I.d.R. handelt es sich hierbei um Informationen, die notwendig sind, um einen reibungslosen Besuch der Website zu gewährleisten. Sie sind daher öffentlich verfügbar. Darin sind üblicherweise Informationen enthalten, nach welchen Sicherheitsstandards der Server der Website kommunizieren möchte. Sind sie veraltet, stellt das eine Sicherheitslücke dar. Ebenso verhalten sich Server für die E-Mail-Kommunikation, Server für mobile Applikationen etc.

Die sog. Risikovektoren (z.B. Verschlüsselung), die aus den öffentlichen Daten und Informationen zu gewinnen sind, lassen sich grob in drei wesentliche Risiko-Kategorien einteilen:
 

• Kompromittierte Systeme: Ist erkennbar, dass Endgeräte oder Server aus dem eigenen Unternehmen mit bekannten Botnetzen kommunizieren und somit das eigenen System kompromittiert wird? Werden Endgeräte oder Server für Spam-Mails missbraucht? Werden eigene Systeme missbraucht, um Schadsoftware zu verteilen? 
• Anwenderverhalten: Kommunizieren Endgeräte über Kommunikationsprotokolle mit Dritten oder als gefährlich einzustufende Server (Tauschserver etc.) außerhalb des eigenen Unternehmens? Liegt somit der Verdacht nahe, dass eigene Anweisungen und Regelungen missachtet werden? Ist die Gefahr gegeben, dass Daten und Informationen auf diesem Weg weitergeleitet werden? Gibt es in einschlägigen Datenbanken von Sicherheitsinstitutionen Informationen, dass Userkennungen offengelegt wurden?
• Sorgfältiger Betrieb von Systemen: Sind die Systeme und Endgeräte, die offiziell mit Dritten kommunizieren (E-Mail-Server, etc.) so eingerichtet, dass auf einen sicheren oder eher unsicheren Betrieb geschlossen werden kann? Werden Best-Practice-Sicherheitsmechanismen (Verschlüsselung, Vermeidung von Man-in-the-Middle etc.), die bei Protokollen erkennbar sind, verwendet?

Aus dem Rating lassen sich wertvolle Informationen über die Resilienz des eigenen Security-Öko-Systems (also der eigenen IT, der IT von Tochterunternehmen, von Dienstleistern und Rechenzentren, etc.) gegenüber diversen Angriffsszenarien ableiten. In der Konsequenz lassen sich gezielte Maßnahmen definieren, um damit für die Informationssicherheit essenzielle Fragen verbindlich zu beantworten. Dazu zählen unter anderem:

• Wie wirksam ist unser genutzter Virenschutz?
• Sind die Abwehrmaßnahmen der Firewall „in place”?
• Sind Schutzmaßnahmen zu Abwehr von unlauteren Webseiten, E-Mail-Eingängen etc. funktionsfähig

Unser Angebot für Sie

Auch wir leisten für die Sicherheit unserer Mandanten einen Beitrag. Daher stellen wir das Instrument des Cybersecurity Ratings bis zum Jahresende 2020 zu besonderen Konditionen zur Verfügung.

Bitte senden Sie uns hierzu mit dem Stichwort „Cybersecurity Rating 2020” eine entsprechende E-Mail. Wir setzen uns unverzüglich mit Ihnen in Verbindung.