IT-Security in der Logistik

00:00:00
Andrea Goretzki: Hallo, wir begrüßen Sie herzlich zu einer neuen Episode von Logistics People Talk, dem offiziellen Rhenus Podcast für alle, die ebenfalls finden, dass Logistik die spannendste aller Branchen ist. Es begrüßen Sie Ihre Hosts

00:00:16
Gwen Dünner: Gwen Dünner

00:00:18
Andrea Goretzki: und Andrea Goretzki.

00:00:19
Gwen Dünner: Die Deutsche Leasing, die Bilstein-Gruppe, der Flughafen Hamburg oder Rheinmetall, neben zahlreichen anderen wurden diese Unternehmen 2023 Opfer von Cyber-Attacken. Diese ziehen sich quer durch alle Branchen und nehmen vor allem, seit dem Ausbruch des Ukrainekriegs, stetig zu. Die Folgen der Angriffe sind oftmals schwerwiegend. Verschiedene Dienste sind nicht erreichbar, es drohen Produktionsausfälle oder sensible Daten werden gestohlen. Diese Betriebsstörungen wiederum führen zu Umsatzeinbußen, hohen Kosten für die Datenwiederherstellung sowie Reputationsschäden. Unternehmen müssen sich also entsprechend wappnen. Welche Möglichkeiten es da gibt und was Unternehmen, speziell im Bereich Logistik, tun können, um sich vor Angriffen zu schützen, erfahren wir heute von unserem Gast Stefan Klopocki, Division Manager für Information Security und Quality Management bei der Rhenus Corporate IT. Herzlich willkommen, Stefan, bei Logistics People Talk. Schön, dass du da bist.

00:01:13
Stefan Klopocki: Ja, danke. Es freut mich, bei euch zu sein.

00:01:15
Andrea Goretzki: Schön, dass du da bist, Stefan. Wir wollen direkt in das Thema einsteigen. Die Medien sind ja derzeit voll von Berichterstattungen über Themen wie IT-Sicherheit, Ransomware-Angriffen oder Cyber-Krieg. Kannst du uns einen Überblick darüber geben, was derzeit an Bedrohungsszenarien auf uns einprasselt und wie sich das in der jüngsten Vergangenheit, auch durch den Krieg in der Ukraine, entwickelt hat?

00:01:39
Stefan Klopocki: Ja, selbstverständlich. Generell kann man sagen, dass sich die Cyber-Sicherheitslage über die letzten Jahre kontinuierlich verschärft hat. Das bedeutet, dass immer mehr Angriffe aus unterschiedlichsten Quellen auf Unternehmen einprasseln. Der Ukrainekrieg hat insofern dazu beigetragen, da innerhalb dieses Kriegsgeschehens natürlich auch verschiedene Akteure agieren. Russische, staatlich organisierte Gruppen greifen vornehmlich ukrainische Organisationen an und umgekehrt versuchen ukrainische IT-Security-Spezialisten, die Infrastruktur in Russland zu schädigen. Generell kann man unterschiedliche Akteurs-Gruppen unterscheiden. Es gibt die klassischen Cyber-Kriminellen, deren Zielsetzung Erpressung und Geldgewinnung sind. Es gibt sogenannte Hacktivisten, die nach speziellen Motiven Unternehmen oder auch Staaten angreifen, die nicht zu deren politischer Ideologie oder Agenda passen. Natürlich gibt es auch staatliche Akteure, die besonders in staatlichen Konflikten ein interessantes Thema sind. Die Zielsetzung staatlicher Akteuren ist es meist, Informationen auszuspähen oder Systeme zu attackieren und außer Gefecht zu setzen beziehungsweise zu löschen. Hier geht es nicht um die Szenarien Erpressung und Geldgewinnung, sondern es geht ganz klar darum, wie es in kriegerischen Auseinandersetzungen immer der Fall ist, die Oberhand zu gewinnen und dadurch einen Vorteil zu erlangen. Generell kann man sagen, ist unsere Branche, die Logistikbranche, nicht mehr oder spezieller im Fokus als andere Branchen. Oftmals werden wir von den klassischen Angriffen, vor allem der Cyber-Kriminellen, getroffen. Gezielte Angriffe gibt es speziell dort, wo man wichtige Logistikketten aufrechterhält. Diese sogenannten Supply-Chain-Angriffe sind Versuche, die Lieferketten gezielt zu unterbrechen. Das ist eigentlich der einzige Bereich, wo auch die Transportlogistik massiv im Fokus ist. Ansonsten trifft es eher Unternehmen, Thinktanks, staatliche Behörden und jegliche Art anderer wirtschaftlich erfolgreicher Unternehmen, wo man Lösegelder erpressen kann. Aber klassisch, wenn es nicht um Lösegeld geht, geht es wirklich in Richtung staatliche Organisationen, Informationsgewinnung und Datenabfluss. Denn auch die klassische Spionage wird heutzutage über IT realisiert.

00:04:16
Gwen Dünner: Das heißt, nicht nur die Häufigkeit der Angriffe hat sich geändert, sondern schlussendlich auch das, was die Angreifer damit bezwecken?

00:04:22
Stefan Klopocki: Prinzipiell kann man sagen, dass die klassischen Angriffsziele in der Vergangenheit hauptsächlich Erpressung und Gewinnung von Lösegeldern waren. Die Angriffsmethoden waren einfacher, teilweise sehr generisch und nicht hochkomplex. Das hat sich in den letzten Jahren massiv verändert, weil, wie die restliche IT-Landschaft, werden auch die Möglichkeiten der Angreifer deutlich besser. Das heißt, Angriffe werden technisch hochkomplex und sehr gut gemacht. Das heißt, man kann sie kaum noch von traditioneller, legitimer Kommunikation unterscheiden. Man kann zum Beispiel sagen, früher war es so ein Thema, es waren recht viele Rechtschreibfehler in Phishing-Mails drin. Das ist durch moderne Übersetzungsprogramme, durch Rechtschreibprüfungen, die natürlich auch diese Angreifer verwenden, heutzutage nicht mehr der Fall. Das heißt, die sind in der Regel in einwandfreier Landessprache geschrieben und lassen sich für den Endanwender eben schwer erkennen. Plus, wenn die Angreifer einen erfolgreichen Angriff durchgeführt haben, sehen sie sich natürlich auch um. Das heißt, sie nutzen die Login-Informationen auf den Systemen, die sie erfolgreich attackiert haben, lesen Informationen aus Programmen und aus E-Mails aus. Sie antworten sogar auf die Original-E-Mail-Kommunikation aus dem Postfach des Empfängers, um dadurch eine gewisse Legitimität zu erzeugen. Damit das Opfer auf der anderen Seite denkt, dass es sich um eine legitime E-Mail handelt, da sich diese auf ein Thema bezieht, worüber mit dem Betroffenen kommuniziert wurde und dadurch eher gewillt ist, Anhänge zu öffnen oder auf klassische Links zu klicken. Was man dazu sonst noch sagen kann, ist, dass wir auch von diesem prinzipiell einfachen nur Erpressen und Verschlüsseln weg sind. Klassisch war es so, dass der Angreifer ins Netz gekommen ist, Daten verschlüsselt hat und danach Erpressungsgeld für das Entschlüsseln der Daten gefordert hat. Bedingt durch die schnelle Internetanbindung exfiltriert der Angreifer heutzutage in der Regel auch Daten. Das heißt, er lädt sich Daten in die Cloud hoch, weil mittlerweile die meisten Unternehmen ein sehr gutes Backup haben. Das heißt, verschlüsselte Daten sind gar nicht mehr so interessant, weil man sie aus der Sicherung wiederherstellt. Aber exfiltrierte Daten können natürlich veröffentlicht werden. Hier sind besonders die Daten interessant, die spezielle, vertrauliche Informationen beinhalten. Das heißt, wenn sie im Netz sind, suchen sie auch nicht nach beliebigen Informationen und nehmen jedes Word-Dokument, sondern suchen nach Informationen von HR, Finance, Sales und gegebenenfalls Mergers & Acquisitions. Für sie ist es besonders interessant, vertrauliche Informationen des Unternehmens oder Produktionsskizzen und Schaltpläne des produzierenden Bereichs zu erlangen. Im Bereich Mobilfunk ist es zum Beispiel sehr beliebt, nicht nur das Unternehmen, das diese Daten hält, zu erpressen, sondern gegebenenfalls auch den Auftraggeber. Das sind die verschiedenen Angriffsmethoden, die erfolgen. Das bedeutet, dass man als Unternehmen für die Löschung der exfiltrieren Daten zahlt. Die Angreifer versuchen aber auch, die Kunden dieses Unternehmens, die ihre Daten dort gespeichert haben, wie zum Beispiel bei uns, zu erpressen, indem sie sagen: „Wir haben eure Daten bei Unternehmen XY erbeutet. Bitte zahlt, damit wir die nicht veröffentlichen.“ Oder es geht dann halt teilweise noch in weitere Szenarien rein, wo man dann sagt, es wird zusätzlich noch über hohe Netzwerklast probiert, die Unternehmen zusätzlich außer Gefecht zu setzen, dass die, selbst wenn so ein Angriff erfolgreich war, auch noch weitere Repression erfordern oder haben, im Vergleich, um sie einfach dazu zu nötigen, die Erpressungsgelder schneller zu zahlen.

00:08:13
Gwen Dünner: Andrea, wie nervös bist du schon?

00:08:14
Andrea Goretzki: Ja, schon ziemlich. Das hört sich wirklich nach einem sehr breiten Spektrum von Szenarien an, auf die ihr euch in der IT-Sicherheit vorbereiten müsst, um für das Unternehmen darauf reagieren zu können. Aber wie ist das, Stefan, gelten all diese Dinge eigentlich auch für Privatpersonen? Weil jeder von uns, der im Unternehmen in irgendeiner Form mit IT zu tun hat oder die Programme nutzt, ist ja auch als Privatperson online unterwegs. Sind das Dinge, die sich eins zu eins übertragen lassen? Ich frage für eine Freundin.

00:08:59
Stefan Klopocki: Ja. Man kann generell schon sagen, dass sich ein ganzer Teil übertragen lässt. Für die Privatperson gibt es natürlich ähnliche Angriffsszenarien. Es gibt die klassischen Phishing-Mails oder den Enkeltrick, den jeder kennt, mit WhatsApp-Meldungen wie: „Mama, ich habe ein neues Handy.“ Das ist die klassische Meldung, die versendet wird. Das heißt, dass auch im privaten Bereich versucht wird, Gewinne über dieselben Methoden zu erzielen, weil es den Cyber-Kriminellen darum geht. Die wollen damit Geld verdienen. Weil im privaten Bereich nicht das große Geld zu verdienen ist, muss man es über die Masse realisieren. Hier spricht man über ein paar, in Anführungsstrichen, Euro, die man von den Leuten erbeuten kann. Während man bei Unternehmen sehr schnell bei Erpressungsgeldforderungen im Hunderttausender- und Millionenbereich ist. Deshalb sind gerade Unternehmen für die Angreifer natürlich interessant. Wir sprechen auch bei Hackern nicht mehr von dem klassischen IT-Nerd, der irgendwo im Keller sitzt und als Einzelperson irgendwelche Unternehmen angreift oder attackiert. Das sind hochprofessionell organisierte Unternehmen, die auch wie Unternehmen agieren. Die haben eine HR-Abteilung und sourcen ihre Mitarbeiter, ähnlich wie wir, über Stellenanzeigen, sogar in den jeweiligen Ländern. Denn es gibt durchaus Länder, wo das nicht strafverfolgt wird. Die haben auch Teamstrukturen mit Teamleitung und eine Support-Struktur. Das heißt auch, dass es bei jedem Angriff auch eine Support-Hotline oder eine Support-Adresse gibt, die man kontaktieren kann, wo einem dann auch wirklich geholfen wird. Weil das Ziel des Angreifers ist es natürlich, nicht in der Presse zu landen, mit Aussagen wie: „Wir haben gezahlt, haben aber die Daten nicht zurückbekommen.“ Sondern die setzen schon viel dran, dass man die Daten danach auch zurückbekommt beziehungsweise diese gelöscht werden. Denn sonst ist es selbstverständlich nicht sehr lukrativ für deren Geschäft, wenn klar wird, dass die Gruppierung XY die Daten trotzdem veröffentlicht, obwohl das Geld bezahlt wurde. Es lässt sich also eins zu eins übertragen. Was auch oftmals passiert, ist, dass die Angreifer nicht zwischen Privatpersonen und geschäftlicher Personen unterscheiden. Das bedeutet, wenn die erkennen, dass es hier den Mitarbeiter Max Mustermann gibt und dieser, IT-seitig, hohe Rechte im Unternehmen hat, suchen die auch nach privaten Kontaktmöglichkeiten. Daher sind auch manche Attacken in der Vergangenheit so gelaufen, dass private Systeme kompromittiert und von privaten Systemen teilweise berufliche Informationen extrahiert wurden. Teilweise werden im Privaten auch die gleichen Passwörter wie im beruflichen Kontext verwendet. Das ist für den Angreifer auch sehr schön, das einfach weiternutzen zu können. Das sind prinzipiell die Dinge, wo man sagen kann, dass diese klassische Grenze, nur privat und rein geschäftlich, verschwimmt. Daher lässt sich alles, was man im Kontext der Security Awareness lernt, meist auch eins zu eins in den privaten Bereich übertragen.

00:11:56
Andrea Goretzki: Ja.

00:11:56
Gwen Dünner: Da sprechen wir auch schon das Thema an, die Sicherheitsschulung. Die muss ich auch noch absolvieren.

00:12:02
Andrea Goretzki: Es sind ja relativ neue Strukturen, oder es ist relativ neu, dass sich die Angreifer dahingehend so professionalisiert haben. Ist das aus deiner Sicht auch der Grund, Stefan, was sie so gefährlich macht? Oder gibt es darüber hinaus noch Weiteres?

00:12:23
Stefan Klopocki: Definitiv. Man kann sagen, dass die Angreifer auch mit dem aktuellen Stand der Technologie mithalten. Es ist wie bei klassischer Kriminalität, auch die entwickelt sich, ein ganz normaler Sektor. Gerade wenn man in den Bereich der staatlichen Akteure geht, sind die meist natürlich sogar vor dem Stand der normalen Technik, um Informationen auszuspähen. Aber auch die klassischen Angreifer nutzen moderne Technologien. Das heißt, ein sehr großer aktueller Trend ist die Nutzung von generativen künstlichen Intelligenzen, um zum Beispiel gewisse Informationen generieren zu lassen. Man kann darüber Schadcodes generieren lassen, wenn man ein bisschen trickst, obwohl das diese Systeme eigentlich nicht so ohne Weiteres erlauben. Man kann sich aber auch E-Mails schreiben lassen. Zum Beispiel kann ich sagen: „Schreibe als lokale Bank eine E-Mail an meinen Kunden, um seine Kontoinformationen zu verifizieren.“ Dann schreibt diese KI, ähnlich wie sie normale Texte generieren kann, Texte, die man sehr schön dazu verwenden kann, um beispielsweise Phishing zu machen. Auch das nutzen Angreifer, um ihre Angriffe schnell zu optimieren und die Angriffsszenarien schnell zu wechseln. Weil, sobald sie eine gewisse Zeit lang denselben Angriff durchführen, wird er eben erkannt und durch Schutzsysteme auch verhindert. Aber normalerweise können die ersten Angriffe, wenn eine komplett neue Angriffsmethode hereinkommt oder eine neue Schwachstelle veröffentlicht wird, für einen gewissen Zeitraum erfolgreich durchgeführt werden. Dann beginnt ein Wettlauf. Denn sobald die Informationen in die Öffentlichkeit gelangen, ist der Wettlauf da. Kann das Unternehmen das System schneller aktualisieren oder ist der Angreifer schneller, die Schwachstelle auszunutzen? In der Regel fangen, sobald eine Schwachstelle veröffentlicht wird, bereits kurze Zeit später die Scans im Internet an, die diese Schwachstelle suchen und ausnutzen wollen.

00:14:12
Gwen Dünner: Okay, jetzt wird es mir auch gruselig. Wobei, das ist ja bekannt. Aber wenn man sich vorstellt, wo überall man all seine Daten veröffentlicht.

00:14:20
Andrea Goretzki: Ja, man schiebt das immer so ein bisschen weg.

00:14:23
Gwen Dünner: Ja.

00:14:24
Andrea Goretzki: Das ist so.

00:14:24
Gwen Dünner: Du, vor allem, weil du es ja online nicht nutzt.

00:14:26
Andrea Goretzki: So gar nicht, kann man jetzt auch nicht sagen. Das halte ich für ein Gerücht.

00:14:33
Gwen Dünner: Also da, wo man muss.

00:14:34
Andrea Goretzki: Aber ich bin schon vorsichtig, aus genau den genannten Gründen, und weil ich mich schon öfter mit Stefan über das Thema unterhalten habe.

00:14:43
Gwen Dünner: Aber wenn wir jetzt noch einmal zurückkommen auf die Rhenus Gruppe. Wir stehen diesen Bedrohungen aus dem Netz nun nicht ganz hilflos gegenüber. Was tut Rhenus konkret, um sich vor diesen Angriffen zu schützen? Sind wir schon einmal im Visier dieser Angreifer gewesen? Das ist eine Fangfrage, weil ich weiß, dass das schon einmal war.

00:15:00
Stefan Klopocki: Ja, ich glaube, dass jedes Unternehmen im Visier der Angreifer ist. Ich habe bereits gesagt, dass lukrative Unternehmen für Angreifer besonders interessant sind, weil die Aussicht besteht, entsprechende Lösegelder zu erzielen. Wir, in der Rhenus, haben das Risiko schon seit einigen Jahren erkannt und in den Fokus genommen. Wirklich massiv fokussiert haben wir es ab 2018. Davor haben wir durchaus verteilt mit Ressourcen gearbeitet. Seit 2018 haben wir gesagt, dass wir zentrale Ressourcen aufbauen wollen. Oder haben verschiedene Maßnahmen technischer und organisatorischer Natur getroffen, mit denen wir versuchen, die Angriffe abzuwehren. Technisch sind das zumeist mehrstufige Sicherheitssysteme, die E-Mails analysieren, Links in E-Mails analysieren, ob dort, wenn die geklickt werden, potenziell ein gefährliches System aufgerufen wird und das gegebenenfalls blockieren. Das sind die klassischen Maßnahmen, die jedes Unternehmen in irgendeiner Form implementiert hat, die den aktuellen Trends aber auch immer etwas hinterherhinken. Das heißt, hier gibt es einen gewissen Zeitversatz. Das bedeutet normalerweise, dass die neuen Angriffe in den ersten Stunden meistens durchkommen. Das ist auch die nächste Schiene. Organisatorisch ist hier ein sehr wichtiger Teilbereich, der oftmals vergessen wird. Rein technisch kann man einen Teil der Angriffe mit Sicherheit vermeiden, besonders wenn sie bekannt sind. Organisatorisch erhält man danach eine bessere Unterstützung, und zwar durch den Endanwender, den man aktiviert. Das ist eigentlich ein zentraler Punkt, hier die Awareness zu schaffen und dort die Leute zu sensibilisieren. Weil die Angriffe auch gar nicht klassisch nur über die IT erfolgen müssen. Angriffe können genauso über das Telefon erfolgen, wenn Nachrichten erfragt werden. Wir hatten sogar Papierdokumente, die manipuliert worden sind. Rechnungen, die den Anschein erweckten, dass sie legitim seien, um Gelder und Überweisungen zu veranlassen. Es muss also nicht immer nur rein IT-seitig sein. Klassische Angriffe, die außerhalb der IT stattfinden, lassen sich über technische Maßnahmen jedoch nur ganz schwer unterbinden. Daher führen wir regelmäßige Awareness-Maßnahmen bei unseren Mitarbeitern durch. Damit diese, so hoffen wir, die schadhaften E-Mails erkennen und melden, sodass wir sie analysieren, blocken und Gegenmaßnahmen einleiten können. Das sind eigentlich die Hauptaspekte, die wir dort versuchen umzusetzen. Zudem haben wir in der Rhenus angefangen, ein unternehmensweites Informationssicherheitsmanagementsystem aufzubauen, das ist ein klassischer Begriff in diesem Bereich, damit wir eine unternehmensweite Organisationsstruktur haben, mit der wir in Notfällen kommunizieren können und Ansprechpartner haben. Wenn beispielsweise in unserem Standort in den USA etwas passiert, wissen wir, wen wir ansprechen können und mit wem wir dort agieren können. Diese Organisation setzt sich auch regelmäßig zusammen und diskutiert die neuen Richtlinien, die wir im Unternehmen erlassen. Wie soll zum Beispiel ein Server sicher konfiguriert sein und was gibt es dabei zu beachten? Denn ohne Richtlinien wird natürlich jeder nach eigenem Ermessen sagen: „So gehe ich vor.“ Deshalb gibt es dieses Gremium, um wirklich diese objektiv formulierten Richtlinien zu haben. So weiß jeder: „Ich muss an meinem System das und das konfigurieren, um aktuell sicher unterwegs zu sein.“

00:18:42
Andrea Goretzki: Mir ist gerade noch eine Frage in den Kopf gekommen. Wir sind ja wirklich global tätig und weltweit vertreten. Könnt ihr feststellen, dass sich Angriffe in bestimmten Regionen und zu bestimmten Zeitpunkten häufen? Oder ist es wirklich so, dass das gleichermaßen gut verteilt ist, über die Zeit?

00:19:04
Stefan Klopocki: Generell kann man sagen, dass es verteilt ist. Natürlich gibt es auch Schwerpunkte für irgendwelche Angriffskampagnen, wo gesagt wird, dass speziell Deutschland mit einer speziellen Masche fokussiert wird. Aber eigentlich haben wir weltweit immer ähnliche Angriffsmuster, die über Phishing-Mails gehen und zum Beispiel gegen spezielle Positionen gerichtet sind. Wir hatten einmal ein Szenario, wo, weltweit verteilt, speziell fünf höhere Funktionen im Finance-Bereich angeschrieben worden sind. Aber auch nur diese fünf Leute und deren E-Mail-Adressen. Mit dem klassischen Hinweis: „Bist du verfügbar für eine vertrauliche Transaktion?“ Das ist immer die klassische Einleitung, mit der ein Angreifer herausfindet, ob das Opfer antwortet. Das kann also passieren. In der Regel sprechen wir aktuell von zwischen drei und 400 Angriffen pro Monat, die wir alleine auf dem Endgerät sehen und mit unseren Security-Maßnahmen detektieren. Dort sind aber nicht alle Angriffe auf unsere externe Infrastruktur enthalten, denn dann wären es noch deutlich mehr. Weil: Scans auf Sicherheitslücken passieren prinzipiell, binnen Sekunden, immer wieder. Wir haben es auch einmal schön durchgespielt. Wenn man zum Beispiel ein System ins Internet bringt, wo man eine Remote-Anmeldung ermöglicht, sieht man in wenigen Minuten, dass dort massiv versucht wird, sich anzumelden und mit Kennwörter-Raten in diese Systeme hineinzukommen.

00:20:36
Andrea Goretzki: Das ist echt eine Menge. Kannst du aus deiner Erfahrung bestätigen, dass unsere Zahlen die Zahlen, die man in den Medien derzeit liest, widerspiegeln? Sind wir also in der Häufung der Anfragen ähnlich betroffen, über die letzten Monate und Jahre?

00:20:56
Stefan Klopocki: Ja, auf jeden Fall. Es ist, glaube ich, schon so, dass manche Branchen oder staatliche Behörden teilweise noch mehr im Fokus stehen. Aber der allgemeine Trend ist auch bei uns klar ersichtlich. Definitiv sehen wir deutlich mehr Angriffe, deutlich professionellere Angriffe und auch modernere Faktoren. Wir haben ja durchgängig eine Multifaktor-Authentifizierung eingeführt, damit nicht nur der Verlust von Benutzername und Passwort ausreicht. Denn das passiert eben immer wieder, dass ein Benutzer irgendeine Phishing-Mail nicht erkennt und den Benutzernamen und das Kennwort irgendwo eingibt. Daher haben wir noch weitere Sicherheitsebenen mit einem zusätzlichen Faktor, die das Ganze absichern. Man sieht eben auch, dass das Trends sind, die übergeordnet passieren, und dass die Angreifer jetzt natürlich versuchen, diese zweite Sicherheitsebene auch auszuhebeln, um weiterhin an die Informationen zu kommen. Man sieht diesen Wettlauf immer sehr schön. Es wird eine neue Sicherheitshürde implementiert oder es kommen neue Angriffe. Das ist dieses Henne-Ei-Prinzip. Was ist zuerst da? Die andere Seite reagiert dann und versucht eben, Gegenmaßnahmen beziehungsweise Maßnahmen zu ergreifen, wie man diese Sicherheitssysteme wieder aushebeln kann.

00:22:11
Andrea Goretzki: Bei dieser rasanten Entwicklung, Stefan, wie blickst du denn in die Zukunft? Wird das jetzt immer schlimmer?

00:22:18
Stefan Klopocki: Da es immer noch ein extrem lukrativer Markt ist, wird die Entwicklung daher auch weiterhin anhalten. Man muss sich dessen bewusst sein, dass Hacker oder die Unternehmen, die hacken, damit richtig viel Geld verdienen und massiv expandieren. Es ist ähnlich wie die Frage nach klassischer Kriminalität. Wird klassische Kriminalität je verschwinden? Solange Leute damit Geld verdienen und gutes Geld damit verdienen, glaube ich nicht, dass es sich massiv ändern wird. Vor allen Dingen hat man hier ja auch noch die sehr geringe Hemmschwelle. Man kann diese Angriffe aus jedem Staat der Welt durchführen und muss keine räumliche Nähe haben. Beim klassischen Diebstahl muss ich normalerweise in der Nähe meines Opfers sein. Oder wenn ich ein Geldinstitut berauben will, muss ich in der Regel in dieses Geldinstitut auch erst einmal hinein. Bei Cyber-Attacken kann ich das aber von jedem Ort der Welt machen und habe ein relativ geringes Einmal-Investment, würde ich sagen. Ich brauche ein bisschen IT-Equipment und brauche Know-how, das ich mir aber auch einkaufen kann. Auch hier gibt es Modelle, Schad-Software einzukaufen. Es gibt auch Anbieter, die das in einem Franchise-System offiziell vertreiben und dann Anteile von den erfolgreich erpressten Lösegeldern bekommen. Es ist also ein komplett eigener Wirtschaftszweig. Von daher sehe ich nicht, dass der irgendwie zum Erliegen kommt. Was teilweise dazu beiträgt, es ein bisschen zum Erliegen zu bringen, sind gesetzliche Versuche, manche Dinge zu unterbinden oder zu regeln. In den USA gibt es zum Beispiel Initiativen, die Zahlung von Ransom, also Erpressungsgeldern, unter Strafe zu stellen, mit der Hoffnung, dass die Unternehmen dann auch nicht zahlen. Das sind Initiativen, mit denen man versucht, das zu regulieren. Man muss sehen, wie erfolgreich die sind. Weil für das jeweilige Unternehmen ist es natürlich von Interesse, wenn es im Zeitraum eines Cyber-Angriffs, wo es nicht arbeiten kann, möglichst schnell wieder zum normalen Arbeitsalltag zurückzukommen, auch wenn es Geld kostet, das gegebenenfalls bezahlt wird.

00:24:29
Gwen Dünner: Krass. Das ist also die gleiche Entwicklung, wie bei diesen ganzen früheren, illegalen Streaming-Angeboten und man im Endeffekt auch die Nutzer verfolgt, damit diese Plattformen dann auch kein Standbein mehr haben.

00:24:43
Stefan Klopocki: Ja, das ist prinzipiell vergleichbar. Auch da gibt es natürlich jede Menge ähnlicher Themen. Netflix ist immer wieder aktiv, in der Multi-Nutzung von Accounts.

00:24:52
Gwen Dünner: Ja.

00:24:53
Stefan Klopocki: Natürlich, das sind ähnliche Themenbereiche, wo man eben versucht, Regularien zu schaffen oder über technische Mittel zu unterbinden. Das ist aber sehr schwierig. Gerade wenn man sich überlegt, dass eben nicht nur der Bereich Cyber-Kriminalität besteht, sondern auch die Informationsgewinnung. Klar gibt es noch die klassische Spionage. Aber sehr viel Spionage erfolgt mittlerweile über IT. Das heißt, es werden Leute angegriffen, es wird im Hintergrund eine Schad-Software auf dem Telefon installiert, um Informationen von Politikern, von Leuten, die in der Forschung aktiv sind, abzugreifen. Die natürlich im besonderen Interesse von meist staatlichen Gruppierungen stehen, um Informationen darüber zu gewinnen, was ein Staat gerade plant, was vielleicht ein Unternehmen gerade plant oder um vielleicht sogar an Patente von Unternehmen heranzukommen.

00:25:47
Gwen Dünner: Das sind ja keine besonders rosigen Aussichten, wenn man darüber nachdenkt. So wollten wir auf jeden Fall nicht aus diesem Podcast aussteigen. Unternehmen stehen ja zum Glück nicht alleine da, bei diesem Kampf gegen diese Cyber-Attacken. Verstärkung kommt zum Beispiel auch von der Europäischen Union, die auf die stark zunehmenden Angriffe reagiert, die gesellschaftlich besonders relevante Einrichtungen oder Organisationen bedrohen. Die Anfang des Jahres in Kraft getretene NIS-2-Richtlinie besagt, dass Unternehmen, etwa aus den Branchen Gesundheit, Energie und Wasserversorgung, Informationstechnik und Telekommunikation, aber auch Transport und Verkehr, bestimmte Cyber-Security-Pflichten verbindlich umsetzen müssen. Welche sind das und sind wir da bereits dran?

00:26:29
Stefan Klopocki: Ja, es gibt natürlich verschiedene staatliche Initiativen. Das ist jetzt eine der neuesten Initiativen, auf Basis der Europäischen Union. Dort wurde eine Richtlinie zum Thema, wie stärke ich das Thema Cyber Security beziehungsweise wie bringe ich ein einheitliches Niveau in das Thema Cyber Security, erlassen. Das Ganze muss jetzt noch in nationales Recht umgesetzt werden, was generell bei EU-Vorschriften oftmals der Fall ist. Das heißt, bis Oktober 2024 muss das jedes Land in nationales Recht überführen. In Deutschland gibt es da jetzt die ersten Referentenentwürfe zu dem Thema, die sind jetzt im April veröffentlicht worden. Das ist ein 240 Seiten starkes Dokument, das die Bundesregierung hier plant. Welche Gesetze will sie ändern und was will sie aktualisieren? Es gab innerhalb von Deutschland auch in der Vergangenheit bereits Gesetze zum Thema Information Security. Da ist zum Beispiel ein BSI-Gesetz. Hier werden durch diese NIS-2-Initiative Änderungen an diesem Gesetz durchgeführt. Die generelle Idee ist es, Unternehmen zu klassifizieren. Man sagt, dass es kritische Unternehmen, besonders wichtige Unternehmen und wichtige Unternehmen gibt. Es gibt also verschiedene Größenordnungen. Das bedeutet somit aber auch, dass wahrscheinlich fast jedes Unternehmen in irgendeine dieser Klassen fallen wird. Es sei denn, wir sprechen von ganz kleinen Unternehmen, mit einer Handvoll Mitarbeitern, die das vielleicht nicht betrifft. Aber alle größeren Unternehmen, auch aus dem Sektor Transport, werden dort hineinfallen und müssen sich dann mit Maßnahmen auseinandersetzen, die in diesem Dokument gefordert werden. Es geht hauptsächlich um das Thema Risikoabschätzung und darum, Maßnahmen gegen Risiken zu treffen. Es werden speziell zehn Kategorien genannt. Zum Beispiel, ein Konzept für die Risikoanalyse zu haben, ein definiertes Vorgehen für Sicherheitsvorfälle und klare Ideen dafür, wie man seinen Betrieb aufrechterhält. Wie mache ich Back-ups? Aber auch, wie sichere ich meine Lieferkette ab? Diese klassischen Supply-Chain-Attacken erfolgen nicht unbedingt auf mich selbst, sondern teilweise auch auf Produkte, die ich einsetze, und auch auf die Beschaffungsprozesse an sich. Das heißt, auch wenn ich irgendeine Software beschaffe, muss ich schon früh betrachten, wie das Thema Sicherheit aussieht. Hat dieser Software-Anbieter die entsprechende Sicherheit bereits in seinen Produkten implementiert? Wie reagiert er auf Schwachstellen? Wie schnell behebt er Schwachstellen? Es ist auch ein Thema, dass, wenn er eine Schwachstelle bekommt, nicht gesagt wird: „Ja gut, die habe ich jetzt und in ein paar Monaten aktualisiere ich meine Software.“ Das sind Forderungen. Die Forderung geht auch in Richtung Mitarbeiterschulung. Eine ganz klare Forderung, die dort genannt wird, ist, dass es Awareness-Maßnahmen und Schulungen im Bereich Cyber-Sicherheit geben muss. Dann kommen natürlich noch klassische Themen wie Kryptografie und Verschlüsselung hinzu, die bereits seit Jahren immer wieder im Fokus stehen, und die zusätzliche Absicherung über Multifaktor. Ich glaube, zusammenfassend kann man sagen, wir halten ja eine ISO-27001-Zertifizierung. Das ist seit 2011 eine Zertifizierung für Informationssicherheit. Das bedeutet, wir haben uns seither auch mit den Security-Themen auseinandergesetzt, die oftmals auch die klassischen Themen sind, die dort gefordert werden. Das heißt, wir sind in sehr vielen Bereichen bereits sehr gut unterwegs und haben Maßnahmen implementiert und dem neuen Gesetz auch Genüge getan, wie ich glaube. Man muss jetzt einmal hineinsehen, wenn es im Detail verabschiedet wird, wo man vielleicht noch nachsteuern muss. Was mit Sicherheit eine Herausforderung wird. Es gibt dort kürzere Meldefristen, was bedeutet, dass man Sicherheitsvorfälle binnen 24 Stunden nach Auftreten melden muss. Das ist in manchen Situationen durchaus eine Herausforderung. Die Änderungen sollen zum Anfang Oktober 2024 in Kraft treten. Dann muss man sehen, was in der Detailausprägung des Gesetzes oder der Änderung steht, in welche Kategorie wir als Rhenus fallen und welche Maßnahmen wir zusätzlich dann vielleicht noch ergreifen müssen.

00:30:40
Andrea Goretzki: Es klingt beruhigend, wenn wir auf einem guten Weg sind, aber eben auch, wenn das Ganze gesetzlich auf ein entsprechendes Fundament gestellt wird. Wenn alle diese Maßnahmen einfach flächendeckend umsetzen und entsprechend aufgestellt sind, dann wird es wahrscheinlich auch den Angreifern durchaus schwerer gemacht, noch entsprechende Ansatzpunkte zu finden. Das ist zumindest zu hoffen. Stefan, du beschäftigst dich beruflich die ganze Zeit damit, wie gefährlich es sein kann, im Netz unterwegs zu sein. Darf ich dir eine persönliche Frage stellen?

00:31:16
Stefan Klopocki: Ja, klar.

00:31:17
Andrea Goretzki: Bist du privat eigentlich, angesichts all dieser Gefahren, überhaupt jemals online? Oder bist du dadurch eher zum digitalen Abstinenzler geworden?

00:31:27
Stefan Klopocki: Privat nutze ich sehr viele Online-Dienste. Ich glaube, heutzutage kommt man auch nicht mehr drumherum. Zu sagen, ich lebe komplett offline, ist unrealistisch. Hier auch wieder der Vergleich zu Unternehmen, dass das Unternehmen ein nichtkonnektiertes System ist, wird in der Praxis nicht funktionieren. Genauso sehe ich es im privaten Alltag. Das heißt, man nutzt natürlich Streaming-Services, Online-Banking und irgendwelche Einkaufsplattformen. Ich denke, auch da ist es einfach wichtig, sich bewusst zu sein, was ich nutze und was ich vielleicht für Unternehmen nicht nutze. Auf irgendwelchen komisch aussehenden Webseiten gebe ich vielleicht nicht unbedingt meine Kreditkarteninformationen ein, sondern sehe mir schon an, wem ich meine Daten gebe, wo ich meine Daten speichere und welche Informationen ich auch in den Medien teile. Weil natürlich auch so etwas gegen einen verwendet werden kann. Teile ich da Geburtsdaten, Namen von Haustieren und Familienmitgliedern? Auch das hilft dem Angreifer, die Passwörter vielleicht zu erraten, weil viele Leute dazu tendieren, daraus Passwörter zu bauen. Aber das sind Sachen, die ich im Hinterkopf habe. Aber ich nutze schon ganz normal, wie jeder andere auch, alles, was es online gibt. Ich glaube, es ist halt wichtig, gerade auch in dem Themenbereich nicht zu paranoid zu sein. Ja, es kann immer überall ein Risiko sein. Ich kann in jedem Gerät vermuten, dass dort irgendwer etwas manipuliert hat, eingebaut hat. Aber wenn ich so durch den Alltag gehen würde, ist, glaube ich, einfach auch der Spaß am Alltag nicht mehr wirklich da. Ich glaube, es ist auch nicht unbedingt so realistisch, zu sagen, dass überall etwas Verdächtiges ist. Von daher denke ich, kann man durchaus positiv in die Zukunft blicken. Ich kann alle nur ermutigen und sagen, mit einer passenden Awareness kann man alles nutzen, was da ist.

00:33:24
Gwen Dünner: Gott sei Dank haben wir zum Abschluss doch noch eine positive Wendung hinbekommen. Ich dachte schon: „Oh, nein.“ Aber es stimmt, einfach Augen auf im Netz, das ist, glaube ich, immer die beste Devise – oder auch überall. Dann sieht es gar nicht so düster aus und man kann sich vielleicht doch weiter online betätigen oder bewegen.

00:33:48
Andrea Goretzki: Ich nehme mir auf jeden Fall den Tipp von Stefan mit: „Wach sein, aber nicht paranoid.“

00:33:53
Gwen Dünner: Genau, Andrea. Lieber Stefan, vielen Dank, dass du heute beim Logistics People Talk dabei warst. Es war wirklich ein sehr lehrreiches und ich glaube nicht nur im Logistik-Bezug, sondern auch für jeden Zuhörer ein sehr spannendes Gespräch. Danke noch einmal dafür.

00:34:16
Stefan Klopocki: Ja, vielen Dank auch euch für die Chance, gerade meine Themen hier vorzustellen. Weil ich glaube, dass es natürlich ein wichtiges und großes Thema ist. Von daher freut es mich. Gerne wieder.

00:34:30
Gwen Dünner: Sicherheitsprüfung bestanden, Andrea.

00:34:33
Andrea Goretzki: Ja, genau. Auch von meiner Seite vielen Dank. Bedanken möchten wir uns auch bei unseren Zuhörern und Zuhörerinnen, und wir sagen: „Bleiben Sie stets wachsam, nicht nur im Netz.“ Wie immer an dieser Stelle die Bitte, bewerten, teilen und kommentieren Sie Logistics People Talk gerne auf Spotify, Google und Apple Podcast sowie auf unserem Experten-Blog Logistics People Community. Wir hoffen, Sie sind auch beim nächsten Mal wieder mit von der Partie. Es grüßen Ihre

00:35:01
Gwen Dünner: Gwen Dünner

00:35:02
Andrea Goretzki: und Andrea Goretzki.