Markus Winkler/unsplash

Wie komplexe Systeme Hackersafe gemacht werden

Mobility, Banking, Public Health – drei Risiko-Angriffspunkte und wie sie ihre sensiblen Daten schützen

Alles wird digital. Mobile Banking, Online-Shopping, Smart Services sind nur drei Beispiele in dieser Revolution. Während sich unser Leben zunehmend digitalisiert, verlagern sich auch die Angriffspunkte von Unternehmen ins Netz. Denn die Basis einer digitalen Infrastruktur sind Daten.

41 Prozent der Unternehmen mit über zehn Beschäftigten in Deutschland erlebten im letzen Jahr mindestens einen Cyberangriff, das geht aus der Umfrage des kriminologischen Forschungsinstituts Niedersachsen hervor. Vor allem kleine und mittlere Unternehmen sind davon betroffen – insbesondere, wenn sie national und weltweit mit mehreren Standorten vertreten sind. Besonders bedrohlich sind diese Angriffe, wenn sie kritische Infrastruktur wie Energie, Gesundheit oder Telekommunikation betreffen. Genauso gehören Finanzen und Versicherung oder Mobilität zu den gefährlichen Angriffspunkten. Wie lassen sich Sicherheitsrelevante Daten also schützen? Ein Einblick.

Mobility

Geht es um Mobilität, ist vor allem die zunehmende Vernetzung ein Lockmittel für Kriminelle. »Interessante Ziele für Angreifer*innen sind dabei die Daten, die zwischen Einsatzzentralen und Fahrzeugen, beziehungsweise Fahrzeugen untereinander ausgetauscht werden«, erklärt Axel Lange, der beim TÜV im Bereich Marketing und Sales arbeitet. Die Angreifenden wollen so zum Beispiel Fahrtrouten ausspionieren und kriminell ausnutzen oder ganze Mobilitätsströme manipulieren. Deshalb sei bei vernetzten Fahrzeugen zusätzlich zur fehlerfreien Funktion des Autos (Safety) auch die IT-Sicherheit (Security) ein wichtiger Punkt. Damit diese gewährt wird, müssen Sicherheitssysteme wie Firewalls oder hochsichere Verschlüsselungsverfahren auch auf mobile IT-Systeme übertragen werden.

Axel Lange ist noch ein weiterer Aspekt wichtig: »Ist ein Fahrzeug einmal einem*einer Besitzer*in zugeordnet oder befinden sich Insassen im Fahrzeug, fallen automatisch personenbezogene Daten an. Der Fahrzeugnutzende sollte daher individuell und zu jedem Zeitpunkt entscheiden, welche Daten das Fahrzeug verlassen, an wen sie fließen und wer spezifische Daten in ein Fahrzeug übertragen darf.« Deshalb müssen alle vernetzten Systeme die Datenschutzanforderungen gemäß der DSGVO erfüllen. Zusätzlich prüfen und zertifizieren Prüfdienstleister wie der TÜV die implementierten Systeme in Fahrzeugen. »Dies ist ein enormer Hebel für mehr Security und geradezu die Voraussetzung für die Digitalisierung im Mobilitätsumfeld«, so Lange.

Banking

Im Bereich Banking sind die Gefahren zwar andere, die Effekte aber mindestens genauso bedrohlich. Nicht vorzustellen, wenn es zu Störungen im Bankwesen kommt und plötzlich kein Handel mehr möglich ist oder große Geldsummen veruntreut werden. Dass es gar nicht so weit kommt, dafür setzen sich beispielsweise IT-Sicherheitsmanager*innen wie Martin Franz ein, der bei der Deutschen Bank den Bereich Kryptographie leitet. Er erklärt: »Zum Schutz vor Cyberkriminalität investieren Banken viel in aktuelle Technik, sichere Anwendungen und Verbindungen, aber auch in neue Wege der Verschlüsselung.«

Jedoch spielt noch ein ganz anderer Faktor eine entscheidende Rolle, wenn es um Cyber Security geht: Der Mensch selbst. »Wichtig ist daher aus unserer Sicht, dass Unternehmen ihre Mitarbeiter*innen und Kund*innen schulen und für die Gefahren aus dem Netz oder dem Bereich Social Engineering sensibilisieren«, so der Experte. Außerdem betont er, wie wichtig der Schutz der Daten jedes einzelnen Kunden*Kundin ist. Damit diese unabhängig von Ort und Kanal auf ihre Bankdaten zugreifen können, müssen Verfügbarkeit, Vertraulichkeit und Integrität jederzeit gewährleistet werden. Eine Lösung bietet in diesem Bereich zum Beispiel die Zwei-Faktor-Authentifizierung, bei der die Identität des*der Nutzer*in nicht nur durch ein Passwort oder TAN-Verfahren abgefragt wird, sondern zusätzlich durch ein zweites, beispielsweise biometrisches Kriterium, das stimmen muss. Mit Blick in die Zukunft werden auch schon heute Mechanismen für aufkommende kryptographische Bedrohungen von Quantencomputern entwickelt.

Public Health

»Grundsätzlich wird es immer wichtiger, eine Sicherheitsinfrastruktur zu haben«, sagt Christian Zink, Teamleiter des Security Operation Centers bei der Deutschen Rentenversicherung. »Man geht nicht mehr davon aus, dass Standardsysteme, die man einmal einrichtet, einen für alle Ewigkeit schützen.« Deswegen kümmern sich bei der Deutschen Rentenversicherung verschiedene Teams mit unterschiedlichen Zuständigkeiten um die IT-Sicherheit: Begonnen bei einzelnen Systemadministrator*innen über ein Sicherheitsmanagement, das Richtlinien aufstellt und überprüft oder das Security Operation Center, das aktiv nach Bedrohungen sucht, bis zu Sicherheitsbeauftragten, die Freigabeprozesse betreuen.

Außerdem gibt es nur bestimmte Ein- und Ausgänge zum Netz und strenge Internetrichtlinien. Das sei ein Vorteil des öffentlichen Dienstes, da sich private Unternehmen diese Verbote oft nicht leisten können, so Zink, und Browsing grundsätzlich zu den großen Gefahren zähle. Trotz aller Vorsicht ist es aber beinahe unmöglich, Angriffe komplett zu verhindern. Zink vergleicht es mit der Feuerwehr: »Man kann versuchen, durch Brandschutz vorzusorgen, aber man muss immer davon ausgehen, dass es trotzdem mal brennt. Dann braucht es geschultes Personal und genaue Ablaufpläne, damit man schnell reagieren kann.«


Anzeige

Anzeige