Sichere Reisen: Eine geschäftskritische Aufgabe für die Transportation Security Administration

Von:

20. Oktober 2021

Oft beenden wir unsere Gespräche mit Kollegen mit den Worten „Gute Reise“, und nun, da wir offenbar in die nächste Phase der Pandemie eingetreten sind, machen sich Geschäftsreisende wieder auf den Weg. Doch aufgrund der jüngsten Cybersicherheitsinitiative der US-amerikanischen Transportation Security Administration hat der Begriff „sichere Reise“ eine neue Bedeutung erhalten. 

Die Richtlinie, die in diesem Monat von Alejandro Mayorkas, dem Minister für innere Sicherheit, angekündigt wurde, soll noch vor Ende 2021 erlassen werden. Sie konzentriert sich auf Eisenbahn- und Nahverkehrssysteme sowie den Flugverkehr, einschließlich der Betreiber von Flughäfen sowie von Verkehrs- und Frachtflugzeugen. Die Richtlinie wird Betreiber von Nahverkehr, Eisenbahn und Flugverkehr verpflichten, einen Ansprechpartner für Cybersicherheitsfragen zu benennen und Pläne zur Reaktion auf Vorfälle zu entwickeln – noch bevor ein Cyberangriff stattfindet. Außerdem wird sie vorschreiben, dass der Regierung gemeldet werden muss, wenn Systeme angegriffen werden.

Diese Anforderungen kommen gerade recht, da der Oktober zum „Monat der Cybersicherheitsaufklärung“ erklärt wurde. Sie spiegeln zudem Vorschriften wider, die für eine andere Branche – die Energiewirtschaft – gelten. Der Ransomware-Angriff auf Colonial Pipeline Anfang dieses Jahres führte dazu, dass ähnliche Notfallvorschriften erlassen wurden, um die Cybersicherheit von Energiepipelines zu stärken. Öffentliche Verkehrssysteme sind ebenso wie Energiepipelines ein wesentlicher Bestandteil der kritischen Infrastruktur des Landes und stehen unter Beschuss. Laut Ponemon kosteten Datenverstöße den Verkehrssektor im Jahr 2020 mehr als 3 Millionen US-Dollar, wobei 58 % davon durch böswillige Angriffe verursacht wurden.

Es ist jedoch wichtig zu beachten, dass viele dieser Angriffe nicht auf die Ebene der Betriebstechnologie abzielen; sie sind vielmehr das Ergebnis von Schwachstellen in der Informationstechnologie. Das bedeutet, dass es sich um Angriffe auf geschäftskritische Anwendungen handelt, die für das Unternehmen von zentraler Bedeutung sind, sei es im Bereich Logistik und Lieferkette oder bei Finanz- und Kundendaten. 

Sicherheitsverantwortliche in der Transportbranche sollten bei der Entwicklung ihrer Sicherheits- und Notfallpläne drei Aspekte berücksichtigen, wenn es um den Schutz ihrer geschäftskritischen Anwendungen geht: eine mehrschichtige Sicherheitsstrategie, die digitale Transformation und cloud .

Strategie der mehrschichtigen Verteidigung

Die geschäftskritischen Anwendungen, die das Herzstück der Transportbranche bilden, enthalten die wertvollsten Geschäftsdaten, wie beispielsweise die Lieferkettenlogistik für Kunden, Passagiere und Fracht sowie Finanzdaten und andere sensible Informationen. Traditionell bestand die bewährte Vorgehensweise darin, diese Systeme vor Ort zu betreiben und sie mit mehreren Sicherheitsebenen zu umgeben, wodurch eine theoretisch undurchdringliche Festung aus Burgmauern und Gräben entstand. Der Übergang vom traditionellen lokalen Perimeter zu einem verteilten cloud und die Notwendigkeit für jedes Unternehmen, seine Geschäftsabläufe digital zu transformieren, haben dieses Paradigma jedoch verändert. Die herkömmliche Methode, diese Anwendungen mit mehreren Sicherheitsebenen zu umgeben, ist mittlerweile unwirksam, da Angreifer mittlerweile so versiert sind, dass sie diese Anwendungen direkt ins Visier nehmen. Der Schutz dieser Anwendungen geht über eine mehrschichtige Verteidigung hinaus. Er bedeutet, diese bestehenden Anwendungen durch zeitnahe Patch-Verwaltung, punktuelle Schwachstellenanalysen und kontinuierliche Überwachung von Bedrohungen zu härten. Er erfordert zudem die Verpflichtung zu einem sicheren Code-Entwicklungsprozess, der Sicherheitstests für benutzerdefinierten Code und Transporte umfasst, bevor diese neuen Anwendungen und Dienste in Produktion gehen. Schließlich bedeutet dies die Verpflichtung zu einem Prozess der control Governance dieser Anwendungen sowie der darin enthaltenen Daten und Informationen. 

Digitale Transformation 

Projekte zur digitalen Transformation waren bereits vor 2020 im Gange, doch die weltweiten Auswirkungen der COVID-19-Pandemie haben die Digitalisierung der Transportbranche beschleunigt. Die steigende Kundennachfrage nach Online-Bestellungen, Warenversand, kontaktlosem Check-in und E-Tickets für Reisen aller Art hat der Transportbranche ein neues Gefühl der Dringlichkeit verliehen und sie dazu veranlasst, der digitalen Bereitschaft oberste Priorität einzuräumen. Die gesamte Lieferkette, von der Auftragserteilung bis zur Auftragsauslieferung, wurde schneller als je zuvor digitalisiert. Diese beschleunigte Transformation – und die Anzahl der beteiligten, miteinander vernetzten Systeme, von der Auftragsabwicklung bis zum Frachtversand – bedeutet, dass eine Schwachstelle in einem dieser Systeme das gesamte Unternehmen einem Risiko aussetzt. Das Risiko besteht nicht nur aufgrund der Anzahl der miteinander vernetzten kritischen Systeme, sondern auch aufgrund von Personalmangel, der weitaus weniger Ressourcen für die Umsetzung von Sicherheits-Best-Practices für diese Systeme lässt.

Cloud 

Die Digitalisierung von Abläufen und Produkten bedeutet auch, dass geschäftskritische Anwendungen für cloud vorgesehen sind. Die Migration in die cloud jedoch ein komplexer Prozess, der die Zusammenarbeit zahlreicher Beteiligter aus dem gesamten Unternehmen erfordert, um das Projekt termingerecht und im Rahmen des Budgets abzuschließen. Sicherheitslücken in Anwendungen, die möglicherweise übersehen wurden, als die Anwendungen noch vor Ort betrieben wurden, können das Risiko einer Ausnutzung erhöhen, wenn sie in eine cloud verlagert werden. Migrationsprojekte sind komplex und betreffen in der Regel eine große Anzahl von Personen. Es kann vorkommen, dass unwissentlich Änderungen vorgenommen werden, die Sicherheits- oder Compliance-Risiken mit sich bringen können.

Anwendungen sollten vor der Migration so sicher wie möglich sein, und die Einhaltung der Vorschriften muss während des gesamten Projekts gewährleistet sein. Unternehmen, die versuchen, mit dem rasanten Tempo cloud Schritt zu halten, übersehen möglicherweise Schwachstellen, die sie potenziell für Angriffe anfällig machen. 

Die Transportbranche muss sicherstellen, dass die geschäftskritischen Anwendungen, die das Herzstück ihrer Systeme bilden, sicher sind, da Prävention und proaktives Handeln einfacher und kostengünstiger sind als die Reaktion auf eine Sicherheitsverletzung. Sowohl Organisationen des öffentlichen als auch des privaten Sektors, die diese Branche ausmachen, müssen Best Practices für ihre geschäftskritischen Anwendungen umsetzen, unabhängig davon, wo diese sich befinden. Es muss darauf geachtet werden, alle miteinander verbundenen Systeme, Anbieter und Prozesse innerhalb der Transportbranche zu sichern – von der Kundenbestellung bis zum Frachtversand, von der Urlaubsbuchung bis zum Check-in bei Fluggesellschaften und von der Buchung von Geschäftsreisen bis hin zu Pendlerfahrkarten über eine mobile App. Nur dann können wir sicher sein, dass wir alle wirklich sicher reisen können.

Weitere Ressourcen

Stichworte, , ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen