Schutz vor hybriden Angriffen : Warum Cybersicherheit und physischer Schutz zusammengehören

Grundsätzlich geht es bei Sicherheit darum zu verhindern, dass sich Risiken materialisieren und konkreten Schaden verursachen oder den entstehenden Schaden im Sinne der Resilienz zu reduzieren. Aufgrund einer Vielzahl von Risiken spaltet sich Sicherheit in verschiedene Disziplinen und Ebenen auf. Bei hybriden Angriffen kombiniert ein Angreifer gezielt unterschiedliche Mittel und Taktiken, etwa physische Angriffe und Cyberattacken, um gleichzeitig mehrere Ebenen seines Ziels zu beeinträchtigen und so nachhaltigen Schaden zu verursachen. Beim Schutz vor hybriden Angriffen spielen für Unternehmen vor allem Cybersicherheit und physische Sicherheit eine Rolle. Beide hängen unweigerlich voneinander ab und sollten nicht getrennt voneinander betrachtet werden.

Beispielsweise muss ein Rechenzentrum mit hochkritischer IT-Infrastruktur im Ernstfall gleichsam gegen physische und Cyberangriffe geschützt sein. Auch viele physische Sicherheitssysteme kommen heute nicht mehr ohne IT-Komponenten aus und Schwachstellen in diesen haben kritische Auswirkungen. Sicherheit, vor allem vor hybriden Angriffen, erfordert ein Zusammenspiel aller Disziplinen. Diese Erkenntnisse sind nicht neu. Bereits die Nationale Sicherheitsstrategie Deutschlands sagt: „Integrierte Sicherheit bedeutet, alle Themen und Instrumente zusammenzubringen, die für unsere Sicherheit vor Bedrohungen von außen relevant sind. “Auch Regularien wie DORA (für den Finanzsektor) und NIS-2 (für kritische Infrastruktur und wesentliche Dienste) legen den Fokus auf IT-Sicherheit, aber betrachten auch andere Dimensionen wie physische Sicherheit und den Schutz vor Umweltgefahren.

Bemerkenswert ist, dass dieser wichtige Punkt in Gesetzgebungen und Strategien von Unternehmen oft folgerichtig benannt wird. Die Umsetzung erfolgt jedoch meist in kleinteiligen Projekten, denen die Einordnung in ein Gesamtbild fehlt. Wie gelingt es Unternehmen dennoch sich ganzheitlich auf hybride Angriffe vorzubereiten und dabei physische Sicherheit und Cybersicherheit in Einklang bringen?

Silos aufbrechen

Integrierte Sicherheitsorganisationen sind der zentrale Faktor. Oftmals spalten Unternehmen verschiedene Sicherheitsthemen wie physische Sicherheit und Cybersicherheit in unterschiedliche Organisationseinheiten auf. Andere Kulturen, Führungen und Aufgabenfelder führen dazu, dass es selten zu einem Austausch zwischen Teams verschiedener Disziplinen kommt. Dadurch entstehen Schwachstellen, vor allem bei Schnittstellenthemen, wie im obigen Beispiel des Rechenzentrums benannt. Nur wenn Silos zwischen den Teams aufgebrochen werden und Kollaboration aktiv gefördert und gefordert wird, ist es möglich, ein Unternehmen gegen hybride Angriffe sicher aufzustellen. Ohne diese Voraussetzung ist die Wirkung weiterer Maßnahmen wesentlich vermindert.

Reaktionszeiten sind eine der wichtigsten Kennzahlen. Natürlich werden Angriffe im Idealfall unmöglich gemacht. Eine hundertprozentige Sicherheit ist jedoch nicht erreichbar. Daher wird es unentwegt zu (teils) erfolgreichen Angriffen kommen. Angriffe müssen sowohl erkannt als auch mit einer entsprechenden Reaktion beantwortet werden. Sind Sicherheitsmaßnahmen und -personal nicht in der Lage, einen Angriff zu erkennen und zu stoppen, bevor er einen wesentlichen Schaden anrichtet, bieten sie einen unzureichenden Schutz. Das Ziel muss es sein, Maßnahmen zu definieren und zu implementieren, die verschiedene Angriffsarten wie Cyberangriffe, Sabotage, Einbruch oder auch Lauschangriffe erkennen sowie zeitnah eine entsprechende Reaktion auslösen. Oftmals finden sich in der physischen Sicherheit sowie in der Cybersicherheit Erkennungsmaßnahmen wie Videokameras oder Endpoint-Überwachungslösungen, die zwar einen Angriff erkennen und einen Alarm auslösen, aber nicht entsprechend in Reaktionsmaßnahmen eingebunden sind. So tragen diese Maßnahmen nicht zur Sicherheit, sondern nur zur Beweissicherung bei.

Desaster Recovery und Failover dienen dazu, einen entstehenden Schaden zu mindern, wenn Angriffe nicht rechtzeitig gestoppt werden. Fehlerhaft ist es anzunehmen, dass ein Angriff beendet ist, sobald ein Backupsystem aktiviert wird. Sowohl im physischen Bereich als auch bei Cyberangriffen sind Angreifer durchaus in der Lage, Backupsysteme nach der Inbetriebnahme oder sogar davor zu beschädigen. Daher gilt es auch für diese Systeme Maßnahmen zu treffen, die eine Erkennung und entsprechende Reaktion auf Angriffe ermöglichen. Umso mehr, wenn es keine weiteren Fallbacks gibt.

Tests durch szenarienbasierte Tabletop-Übungen

Realitätsnahe Tests sind ein wirksamer Weg, die Resilienz gegen hybride Angriffe zu überprüfen. Dafür müssen Tests auch hybride Angriffsszenarien widerspiegeln. In vielen Red Teams werden bereits physische Angriffsszenarien betrachtet. Oftmals beschränken sich die Szenarien aber auf Social Engineering oder einfache Einbruchsversuche. Angriffe unter Verwendung von Drohnen, die Nutzung von Werkzeugen oder gar Sprengstoff oder Schusswaffen werden dabei aufgrund des entstehenden Schadens nicht betrachtet. Daher ist es sinnvoll, Tests durch szenarienbasierte Tabletop-Übungen oder Assessments in jenen Bereichen zu ergänzen. Auch Desaster Recovery und Failover Maßnahmen sollten in Tests einbezogen werden, sowohl die Durchführung der Maßnahmen als auch Angriffe gegen diese Systeme. Bei allen Tests und Übungen geht es nicht primär darum, sie zu „bestehen“, sondern ein ehrliches Bild der aktuellen Lage zu erhalten und bestehende Lücken zu identifizieren.

Eine integrierte Strategie bringt die einzelnen Bestandteile zusammen. Um ganzheitliche Sicherheit und Resilienz zu erreichen, ist es erforderlich, dass Unternehmen ihre Bedrohungslage verstehen. Welche Assets gilt es zu schützen und wo befinden sie sich? Was passiert im Falle eines Angriffs oder einer Betriebsunterbrechung? Wer sind potenzielle Angreifer? Dieses Verständnis muss sowohl auf der Managementebene als auch im operativen Teil der Organisation vorhanden sein und regelmäßig aktualisiert sowie abgestimmt werden. Das erlangte Verständnis informiert die Bestandsaufnahme der tatsächlichen Resilienz durch Tests. Die durch Tests identifizierten Lücken bieten die Grundlage zur Verbesserung der Sicherheit. Dabei sollte es nicht primär um das Abarbeiten einzelner Lücken gehen, sondern darum, die Gründe für Probleme zu verstehen und Maßnahmen zu identifizieren, die eine möglichst große Zahl von Problemen adressieren.

Die Sicherheit eines Unternehmens ist mehr als die Summe der einzelnen Sicherheitsmaßnahmen, sofern die Maßnahmen aufeinander abgestimmt sind. Ein reaktives Vorgehen, das einzelne Lücken adressiert, ohne das Gesamtbild zu verstehen, führt kurzfristig scheinbar zu Kosteneinsparungen. Langfristig aber entsteht ein Flickenteppich aus Maßnahmen, der Sicherheit nur vorspielt und somit zu höheren Kosten führt. Sei es aufgrund von entstehenden Schäden oder durch verschleppte oder doppelte Investitionen. Die genannten Maßnahmen sind kein einmaliges Unterfangen. Sie müssen kontinuierlich durchgeführt und in der Organisation verankert werden. Dies benötigt eine integrierte Strategie, die sich der Bedrohungslage anpasst und durch klare Prozesse und Richtlinien in die operative Ebene übersetzt wird.

Der bekundete Wille nach integrierter Sicherheit erfordert strukturiertes, interdisziplinäres und langfristiges Handeln. Entscheidend ist, dass Verantwortlichkeiten, Prozesse und Informationsflüsse über physische und Cybersicherheit hinweg klar definiert und gelebt werden. Nur so entsteht aus einzelnen Maßnahmen integrierte Sicherheit.

Paul Zenker ist Cybersicherheitsberater bei KPMG. Dieser Beitrag gibt die private Meinung des Autors wieder.