Ein Black Swan Event ist ein Ereignis, das unerwartet eintritt und nicht vorhersehbar ist. Solche Vorkommnisse werden als «Black Swans» bezeichnet, wenn sie erhebliche Folgen haben. Es ist möglich, das Ereignis nachträglich zu erklären – aber nicht im Vorhinein. In komplexen Systemen wie Volkswirtschaften, Märkten und Wettersystemen gibt es oft mehrere Ursachen. Die Black Swan Theory ist ein weit verbreiteter Teil der erweiterten Ereignistheorie. Im Interview spricht Andrea Carcano, Co-Founder und CPO von Nozomi Networks, über die Folgen.
Andrea Carcano, Covid-19 ist im Stil eines klassischen Black Swan Event und wie aus dem Nichts, beispielsweise über den Öl- und Gasmarkt, hereingebrochen. Wir konnten quasi in Echtzeit beobachten, was ein biologisches Virus für den Ölpreis bedeuten kann. Können Sie sich ein ähnlich destruktives BlackSwan-Szenario im Cyberspace vorstellen? Eines, das die Marktbeobachter vielleicht noch nicht berücksichtigt oder in ihre Risikoprognosen eingearbeitet haben?
Wer sich mit Cybersicherheit beschäftigt, sieht sich ständig wachsenden und sich verändernden Bedrohungen ausgesetzt. Die beste Methode, sich dagegen zu wappnen, ist ein tiefgreifender Verteidigungsansatz, der die Cyber-Resilienz stärkt. Klassische Sicherheitsansätze gehen normalerweise nur gegen bekannte Bedrohungen vor. Es ist jedoch immens wichtig, Schutzmassnahmen zu implementieren, die im Falle eines Zero-Day-Angriffs, durch einen «neuartigen Virus», Resilienz bieten und die Auswirkungen begrenzen. Die aktuelle Situation mit Covid-19 hat durchaus Parallelen zu Malware-Vorfällen neueren Datums, die sich unter anderem gegen Maersk, Merc und den NHS richteten. Covid-19 nicht unähnlich, hat die einzelne Infektion in den meisten Fällen nicht unbedingt signifikante Auswirkungen. Treten die Probleme aber in grossem Massstab auf, haben wir mit schwerwiegenden Auswirkungen zu rechnen. Hierin liegt der eigentliche Risikofaktor von Cyber- Angriffen. Sie lassen sich vergleichsweise einfach skalieren und sind im stande, den kompletten Betrieb eines Unternehmens lahmzulegen oder die Kapazitäten eines Versorgers zu unterbrechen. Und das in einem Ausmass, das die Reaktionsfähigkeit und die Möglichkeiten zur Wiederherstellung einschränkt. Ungleich problematischer wird das Ganze, wenn ohnehin eine Art Ausnahmezustand herrscht. Würde heute ein ausufernder Malware-Befall eintreten, wie wir ihn in der Vergangenheit schon erlebt haben, besteht die Gefahr, dass Unternehmen nicht schnell genug in der Lage sind, darauf zu reagieren. Die Bewegungsfreiheit der Bürgerinnen und Bürger ist stark eingeschränkt und weitere Grundrechte mehr. Ein Krisenteam einzurichten, das rund um die Uhr daran arbeitet, kritische Systeme und Dienste wiederherzustellen, ist derzeit kaum möglich.
Können Sie uns Beispiele verraten?
Der dänische Industriegigant Maersk hatte unter einem bis dato beispiellosen HackerAngriff mit NotPetya zu leiden. Nach konservativen Schätzungen kostete der Angriff im Juni 2017 das Unternehmen mehrere hundert Millionen Dollar. Die Mitarbeiter waren gezwungen, zehn Tage grösstenteils analog zu arbeiten. Der vermeintliche Erpressungstrojaner hatte sich später als wahrscheinlich staatlich-organisierter Cyber-Terrorismus entpuppt. Die enormen Anstrengungen, die der Konzern unternommen hat, um sich durch die Krise zu manövrieren, wären aktuell nicht zu realisieren. Wir haben auch schon eine ausreichende Zahl von Cyber-Vorfällen erlebt, die Einrichtungen im Gesundheitswesen ins Visier genommen haben. In schwierigen Zeiten, in denen das Gesundheitssystem
ohnehin an der Belastungsgrenze steht, ist das keine beruhigende Vorstellung. Zudem weist das Windows-SMBv3-Protokoll eine Sicherheitslücke auf, die derjenigen ähnelt, die zur Verbreitung von WannaCry und NotPetya geführt hat. Mit einem stark eingeschränkten Stammpersonal, einer Belegschaft, die überwiegend Remote arbeitet, und drohenden Ausgangssperren, nebst Reiseverboten ist das routinemässige Patchen von Systemen kaum zu leisten. Eine Kombination von Faktoren, die ausserhalb des rein technologischen Aspekts von Cybersicherheit liegen, kann in Verbindung mit Zero-Day-Schwachstellen zu einem verheerenden Vorfall führen, einem echten Black Swan Event. Es gibt Indizien, die bestätigen, dass bekannte Bedrohungsakteure wie APT 36 und die mit der chinesischen Regierung in Verbindung stehende Hackergruppe Mustang Panda die gegenwärtige Situation ausnutzen, um Netzwerke und Systeme zu infiltrieren. Unternehmen sollten wenn möglich versuchen, verstärkt KI-basierte Technologien einzusetzen, damit RemoteMitarbeiter anomale Netzwerkaktivitäten schnell erkennen und gegebenenfalls Massnahmen ergreifen können.
Um beim Thema des neuartigen Coronavirus zu bleiben: Die Auswirkungen waren enorm. Sie werden unweigerlich dazu führen, dass zum Beispiel die Energiewirtschaft ihre Ausgaben wieder stärker kontrollieren wird. Wie sollen Unternehmen Ihrer Meinung nach Cybersicherheits-Risiken mit begrenzten Ressourcen managen – sowohl finanziell als auch im Hinblick auf den Fachkräftemangel?
Verlässliche und taugliche Cybersicherheit muss den unternehmerischen Kontext berücksichtigen. Es ist natürlich unsinnig, ein umfangreiches Programm zur Behebung von Cyber-Risiken zu starten, auf die Gefahr hin, die Lebensfähigkeit des Unternehmens zu beeinträchtigen. Cybersicherheit steht in direktem Zusammenhang zur unternehmerischen und betrieblichen Kontinuität sowie zum Risikomanagement.
Kostet solch eine Strategie nicht viel Geld?
Gute Cybersicherheit muss nicht zwangsläufig in enorme Investitionen münden. Cybersicherheit umfasst Menschen, Prozesse und Technologien. Wenn, wie jetzt, die Mittel nicht ohne Weiteres zur Verfügung stehen, müssen Unternehmen ihre Budgets umso weitsichtiger zuweisen. Aber man kann durch die Implementierung von Prozessen und Verfahren ein verbessertes Bewusstsein für Cybersicherheit und das Einhalten empfehlenswerter Praktiken Risiken senken. In Zeiten wie diesen ist es wichtig, diese kombinierten Risiken effizient zu analysieren und wirksame Kontrollen einzuziehen. Es gibt Möglichkeiten, Netzwerke präzise zu überwachen und so Risiken besser zu quantifizieren und mittels Angriffserkennung zeitnah zu reagieren. Zum Beispiel, wenn man eine neue Schwachstelle entdeckt hat, die als «kritisch» einzustufen ist. Durch Mapping des Datenverkehrs kann man den Gefährdungsgrad der jeweiligen Systeme genau bestimmen. Das Programm, das die Fehler beheben soll, konzentriert sich dann zunächst auf die vermutlich eher kleinere Zahl kritischer Systeme mit einem besonders hohen Expositionsgrad. Das minimiert die Auswirkungen auf die laufende Produktion und erlaubt es, die übrigen Systeme beim nächsten routinemässigen Wartungsfenster zu patchen.
Das Risiko eines Cyber-Angriffs ist für Unternehmen entlang der gesamten Wertschöpfungskette ständig präsent. Gehen Richtlinien wie die britischen
Vorgaben zur Gewährleistung eines hohen Grades an Netzwerk- und Informationssicherheit (NIS-Richtlinie) in die richtige Richtung?
Richtlinien wie die britische NIS umreissen eine Reihe von Prinzipien, die bei der Entscheidungsfindung helfen, einen hohen Grad an Netzwerk- und Informationssicherheit zu erreichen und auch aufrechtzuerhalten. Im Gegensatz zu einem auf Compliance basierenden Ansatz mit einem vorgeschriebenen Regelwerk schreibt die NIS-Richtlinie Unternehmen, die in ihren Geltungsbereich fallen, wie etwa der Energiesektor, einen vorausschauenden risikobasierten Cybersicherheits-Ansatz zwingend vor. Wie wirksam Richtlinien dieser Art in der Praxis dann tatsächlich sind, darüber wird vielfach diskutiert. Zumindest bieten sie Unternehmen eine solide Grundlage, auf der diese Sicherheitskontrollen entwickeln können, die für eine spezifische Umgebung geeignet und angemessen sind. Inwieweit das gelungen ist, lässt sich messen und im Sinne von Best Practices umsetzen.
Richtlinien wie die britische NIS sind unter anderem deswegen mit Nachdruck
vorangetrieben worden, um das Risiko schwerer Vorfälle aufgrund von CyberAngriffen zu verringern. Vorfälle wie der TRITON-Malware-Angriff im Jahr 2018 zielen auf das sicherheitstechnische System einer industriellen Infrastruktur ab. Welche Erkenntnisse lassen sich aus diesem Vorfall ziehen und auf die Energieinfrastruktur übertragen?
Die wichtigste Erkenntnis aus dem TRITON- Angriff ist relativ banal. Der Vorfall belegt eindeutig, dass böswillige Akteure aktiv versuchen, Schwachstellen in kritischen Sicherheitssystemen auszunutzen. Auch wenn die tatsächlichen Absichten der Angreifer noch immer ungeklärt sind, handelte es sich um einen Versuch, physischen Schaden anzurichten und Menschen zu schädigen. Einige Erklärungsmodelle gehen davon aus, dass TRITON lediglich ein Experiment oder ein «Proof of Concept» sein sollte, um das Machbare zu erforschen. Ein beängstigender Gedanke, verbunden mit der Erkenntnis, dass traditionelle Malware-Erkennung und -Bekämpfung bei avancierten Gegnern an ihre Grenzen stösst.
Was zeichnet solche Gruppen aus, die auf solch einem hohen Niveau ihre Angriffe starten?
Diese Gruppen sind hoch motiviert, qualifiziert und ausreichend finanziell ausgestattet, um hochgradig zielgerichtete Angriffe zu entwickeln, zu implementieren und einzusetzen. Man braucht also zwangsläufig robuste Abwehrmechanismen, die kritische Systeme besser schützen. Es gibt bereits Technologien, die sich auch in diesem Bereich die KI-gesteuerte Erkennung von Anomalien zusätzlich zunutze machen. Sie versprechen, Bedrohungen in einer industriellen Umgebung schnell zu erkennen und darauf reagieren zu können. Zusätzlich lassen sich Risiken vorausschauend erkennen, nachvollziehen und in der Folge auch senken