Splunk Public Sector Summit 2024: Der beste Schutz ist Cyberresilienz

Einmal mehr trägt eine Fachkonferenz zum Thema IT-Security „digitale Resilienz“ im Titel. Das ist aber nicht fantasielos. Vielmehr brandaktuell. Der Grund ist einfach: Die Anzahl und Qualität von Cyberattacken hat schon wieder ein neues Level erreicht. Doch (zum Glück) gilt das auch für die Sicherheitstechnologien, mit denen Angreifer abgewehrt und Schäden minimiert werden können. Auf dem Splunk Public Sector Summit 2024 in Frankfurt am Main war künstliche Intelligenz das Fokusthema. 

Die IT-Sicherheit der öffentlichen Hand steht schon seit geraumer Zeit unter heftigem Beschuss.
 

„Die Bedrohung im Cyberraum ist so hoch wie nie zuvor“

So lautet etwa das Fazit des Bundesamts für Sicherheit in der Informationstechnik (BSI) in seinem Bericht für das Jahr 2023. Das gilt speziell für den öffentlichen Sektor: 
 

„Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen“
(BSI)

Kritische Opfer: Kliniken, Kommunen, sogar die Polizei

Die Liste staatlicher bzw. öffentlicher Einrichtungen, die Attacken auf ihre IT-Systeme zu verzeichnen hatten, ist lang und vielfältig. Alleine in den ersten drei Monaten des Jahres 2024 fanden sich unter den Opfern: 

• die Stadtverwaltungen Fürth und Rheinberg, 
• die Universität Düsseldorf, 
• die Berufsschule Bocholt, 
• mehrere Handwerkskammern, 
• die Polizei in Braunschweig, 
• das Universitätsklinikum Brandenburg an der Havel
• die Berliner Caritas-Klinik Dominikus
  und bereits zu Weihnachten 2023 verschlüsselte Ransomware die Daten von 
• Kliniken in Bielefeld, Rheda-Wiedenbrück und Herford. 
• Im Oktober 2023 wurden gleich sieben deutsche Großstädte binnen nur einer Woche Opfer von DDoS-Attacken, die ihre Websites bzw. Bürgerportale zeitweise lahmlegten.

Das Problem, das auch bei unserem Public Sector Summit zur Sprache kam: Cyberkriminelle gehen immer professioneller vor, teils über Ländergrenzen hinweg vernetzt. Sie greifen auf Cybercrime-as-a-Service zurück und spezialisieren sich zunehmend. 

Bei den anvisierten Opfern in Staat und Verwaltung kommen vor allem Ransomware und APTs (Advanced Persistent Threats) mit dem Ziel, sensible Informationen zu stehlen, zum Zuge. Zugleich registrierte das BSI 2023 eine besorgniserregende Zunahme von Schwachstellen: durchschnittlich knapp 70 neue Lücken in Software-Produkten pro Tag. Das bestätigt übrigens auch der Splunk Lagebericht Security 2024: Im öffentlichen Sektor werden Fehlkonfigurationen als Hauptbedrohungsvektor und häufigste Fehler-Ursache genannt. Gleichzeitig werden Seitwärtsbewegungen von den Befragten der öffentlichen Hand mehr gefürchtet als in anderen Branchen.

Generative KI: neue Risiken, aber auch Chancen

Wie gesagt, der Schwerpunkt unseres Public Sector Summits lag auf dem Thema KI – und wie Organisationen mit ihr für mehr digitale Resilienz sorgen. Akuter hätte das Thema kaum sein können. Denn frei verfügbare KI-Tools auf der Basis großer Sprachmodelle (LLMs), wie ChatGPT, Gemini (Bard) und LLaMA erleichtern, verfeinern und beschleunigen Angriffsmethoden wie Deepfakes oder Phishing enorm. Dazu stellt das BSI folgende wichtige Analyse:

„Eine hundertprozentige Sicherheit gegen Angriffe auf IT-Infrastrukturen und softwaregesteuerte Geräte kann es in einer umfassend vernetzten Gesellschaft nicht geben.
Den besten Schutz vor solchen Angriffen bietet aber eine ausgeprägte Cyberresilienz.“
(BSI)

Nein, das ist keine Splunk-Werbung. Es ist O-Ton des BSI.

Um die Relevanz des Themas zu verdeutlichen und Lösungsmöglichkeiten aufzuzeigen, präsentierten auf dem diesjährigen Splunk Public Sector Summit namhafte Splunk-Kunden und -Partner ihre unterschiedlichen Herausforderungen und wie sie diese – mithilfe von Splunk – lösen konnten. 

Drei Schwerpunkte waren: 

• Innovative Ansätze KI-gestützter Sicherheit, 
• Optimierte Cyberresilienz in der Praxis konkreter Organisationen, 
• Best Practices bei der Implementierung digitaler Resilienzstrategien im öffentlichen Sektor.

Wichtig: zusammenwirken und vernetzen

Der Auftakt des Summits war ein Weckruf von Carsten Meywirth, Director Cybercrime beim BKA: Die Lage sei ernst und die „Undercover-Economy im Darknet mit kriminellen Dienstleistungen in industriellen Maßstäben“ nur mit Vernetzung und Zusammenarbeit zu bewältigen. Durch KI könne sich Malware zukünftig selbst an neue Sicherheitsmaßnahmen anpassen. Umso wichtiger: Neben der Härtung der Systeme ist im Falle eines erfolgten Angriffs sofort die zuständige Cybercrime-Abteilung der Polizei einschalten.

Welche Rolle KI für die digitale Resilienz spielen kann, zeigte im Anschluss Splunk KI-Experte Philipp Drieger auf. Bei den Chancen stechen u. a. vor allem die Fähigkeiten von KI hervor, sicherheitsrelevante Events zu entdecken, Zusammenhänge herzustellen und die ohnehin raren Security-Fachkräfte von Routinetätigkeiten zu entlasten. Das Splunk Machine Learning Toolkit etwa erweitert den Handlungsspielraum von Organisationen in etlichen weiteren Anwendungsfeldern.

Diese Feststellungen bestätigte auch Andreas Arbogast vom Landeskriminalamts Nordrhein-Westfalen, dem größten Incident Handler des Bundeslandes. Der Kriminaloberkommissar und Ansprechpartner für Cybercrime beim LKA NRW konnte die manuelle Arbeit mit Splunk so weit reduzieren, dass er nach eigener Auskunft Splunk sein „erstes freies Wochenende seit Langem“ verdankt. Er betonte ebenfalls, wie wichtig eine Alarmierung der Polizei ist. Im Schnitt hätten Täter ein Unternehmen in 73 Minuten gehackt. Nicht ob, sondern wann das passiere, sei die Frage.

 

Sicherheit muss aus einem Guss sein

Als Nächstes kam Sebastian Labinski, Leiter des Cyber Defense Centers der gematik zu Wort. Die gematik ist die nationale Agentur für digitale Medizin und trägt die Gesamtverantwortung für die Telematikinfrastruktur (TI) – die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen. Und das ist eine Menge Verantwortung. Denn Krankenhäuser zählen zu den häufigeren Zielen von Cyberattacken. Das erklärt sich u. a. dadurch, dass dort mit E-Rezept, Messaging-Diensten für Praxen, digitaler Gesundheitskarte etc. vielfältige Digitalisierungsprodukte unterschiedlicher Anbieter in einem System zusammenkommen. So lassen sich aus Cybersecurity-Perspektive technische Aspekte und Management-Aspekte nicht mehr getrennt voneinander betrachten und handhaben. Um dieses Problem in den Griff zu bekommen nutzt die gematik Splunk als einheitliche Datenplattform und sorgt so für Sicherheit aus einem Guss.

In ähnlicher Weise gaben Splunk-Partner wie Computacenter, Accenture und Eviden sowie Kunden wie die Deutsche Flugsicherung, ARD-Sternpunkt oder das Universitätsklinikum Bonn aus den unterschiedlichsten Arbeitsfeldern Einblicke in den praktischen Umgang mit Fragen der digitalen Resilienz und der Sichtbarkeit vielfältiger Daten. 

Um die gesamte Themenbreite des Public Sector Summits 2024 und die einzelnen Präsentationen der Vortragenden einzusehen, werft aber am besten einen Blick auf diesen Blog meines Kollegen Matthias.

➡️ Hier alle Präsentationen des Splunk Public Sector Summit 2024 ansehen ⬅️

Ihr seht: Der diesjährige Splunk Public Sector Summit war wieder vollgepackt mit hilfreichen Informationen, Best Practices und wichtigen Erkenntnissen. In was sich jedoch alle Teilnehmenden einig waren: 

Immer mehr, immer komplexere Angriffe kreuzen sich mit zunehmend strengen Regularien, Auflagen und Compliance-Anforderungen, während die Systeme öffentlicher Organisationen – die oft unter die KRITIS-Bestimmungen fallen – unübersichtlicher geworden sind. Neue Lösungen, die für digitale Resilienz sorgen sollen, müssen außerdem den Fachkräftemangel in Betracht ziehen. Dazu sind wiederum (unabhängig vom konkreten Use Case) entsprechende Möglichkeiten der Automatisierung gefragt – und eben die neuen Möglichkeiten generativer KI, die viel dazu beitragen kann, den stark strapazierten Cybersecurity-Fachleuten die Arbeit zu erleichtern.