Cyber-Sicherheit: Die Risiken nehmen zu

Seit April 2018 ist Sascha Dubovy Director Information Security im Geschäftsbereich Transportation von Thales Deutschland. In dieser Funktion ist er verantwortlich für die Implementierung und den Betrieb eines Managementsystems für Informationssicherheit (ISMS) nach DIN/ISO 27001. Im Interview mit NETWORK erläutert der Diplom-Informatiker, warum die Risiken von Cyber-Attacken zunehmen und warum Unternehmen umdenken müssen.

NETWORK: Gibt es 100% Informations- und IT-Sicherheit?

Sascha Dubovy: Nein, die gibt es nicht. Durch ständig wechselnde Bedrohungslagen, neue Technologien und Techniken sowie der Zeit, die benötigt wird, Maßnahmen zur Beseitigung aufgetretener Sicherheitsschwachstellen zu ergreifen, bleibt dem potentiellen Angreifer immer eine Chance. Trotzdem muss es das Ziel sein, durch technische und organisatorische Maßnahmen die Informationssicherheit kontinuierlich auf einem von allen Seiten akzeptierten Stand zu halten.

NETWORK: Wie hoch ist das Risiko?

Sascha Dubovy: Im Unterschied zur funktionalen Sicherheit (Safety) sind quantitative Aussagen in der IT- und Informationssicherheit nicht verlässlich möglich. Die Wahrscheinlichkeit in der Safety ist eine erfahrungsbasierte, statistische oder analytisch ermittelte Größe. Dies ist so auf die Security mit ihrer sich ständig ändernden Bedrohungslage nicht übertragbar. In einer IT-Sicherheitsrisiko-Analyse werden systematisch alle relevanten Bedrohungen identifiziert und analysiert und daraus Maßnahmen abgeleitet. Zudem muss man unterscheiden zwischen dem hoch-kritischen Bereich der Bahnfahrweg- und Zugsicherungsanlagen und den weniger kritischen Bereichen der Disposition, der Fahrgastinformation und dem Ticketing. Eine durchgeführte Malware-Analyse in den weniger kritischen Bereichen zeigte, dass bis zu zehn Prozent der Systeme im Netz sogenannte IoC-Alarme (Indicator of Compromise) anzeigten. Diese müssen nicht in jedem Fall einen kritischen Angriff bedeuten, sie liefern aber Hinweise. Zukünftig werden auch im Steuerungsbereich Systeme mit Internetzugang zum Einsatz kommen, so dass sich das Risiko von Cyber-Attacken auch für diesen Bereich erhöhen wird.

NETWORK: Was wären die schlimmsten Folgen einer Cyber-Attacke?

Sascha Dubovy: Hier steht in erster Linie die Beeinträchtigung der Zuverlässigkeit und Verfügbarkeit des Bahnsystems im Vordergrund. Ein Angreifer könnte gezielt Teile des Eisenbahnnetzes für unbestimmte Zeit lahmlegen oder versuchen, Sicherheitssysteme auszuhebeln. Neben diesen „realen“ Beeinträchtigungen wird natürlich im Falle eines erfolgreichen Angriffs auch die Vertrauenswürdigkeit und Reputation eines Unternehmens negativ beeinflusst.

NETWORK: Senken Cloud-Lösungen die Informationssicherheit?

Sascha Dubovy: Das kommt ganz auf den Cloud-Betreiber an. Der Anbieter muss die IT-Sicherheit nicht nur ernst nehmen, sondern seine Lösung auch fortlaufend den technischen Veränderungen anpassen. Aktuelle Malware-Analysen haben ergeben, dass die Cloud-Lösungen selten das Einfallstor für Angriffe oder Einbringung von Malware in das Unternehmensnetz sind. Die Gründe für die steigende Zahl von Cyber-Attacken liegen eher in unsicheren Wartungsschnittstellen, im unkontrollierten Umgang mit externen Speichermedien, wie zum Beispiel USB-Sticks, und in der Unachtsamkeit oder mangelnder Sensibilisierung der Mitarbeiter.

NETWORK: Was kann man tun?

Sascha Dubovy: Es muss hier ein Umdenken stattfinden. Die Bahninfrastruktur wurde in der Vergangenheit überwiegend isoliert betrachtet und die Betriebssicherheit stand im Vordergrund. ICS (Industrial Control Systems)/SCADA-Systeme wurden früher meist nicht als sicherheitskritische Einheiten betrachtet. Das Gefahrenpotential durch die ansteigende Digitalisierung und die historisch gewachsenen internen Netze wurde schleichend größer, ohne dass entsprechende Gegenmaßnahmen getroffen wurden. Ein ISMS hilft hier, Kontrolle über Assets, Risiken und Sicherheitsmaßnahmen zu bewahren und Mitarbeiter für die Thematik zu sensibilisieren. Nach dem „Plan-Do-Check-Act“-Zyklus werden kritische Bereiche und Risiken erkannt und es kann durch geeignete Sicherheitsmaßnahmen technischer und organisatorischer Art ein Schutz der Systeme vor Angriffen aufgebaut werden. Um der Schnelllebigkeit Rechnung zu tragen, müssen diese Maßnahmen kontinuierlich angepasst werden.

#safejourney #cyber