Die Meldungen über schwerwiegende Cyberangriffe auf der ganzen Welt häufen sich. Immer mehr Unternehmen, Industriebetriebe und Betreiber von kritischer, hochsensibler Infrastruktur werden zum Opfer von Attacken, die teils dramatische Folgen haben. Mittlerweile hat sich die Cyberkriminalität stark professionalisiert und arbeitsteilig organisiert. Spätestens seit „Ransomware-as-a-Service“ (RaaS) oder Botnets im Darknet angeboten werden, sind diese nicht mehr nur IT-affinen Hackern vorbehalten – unvermeidliche Folge ist eine starke Zunahme solcher „Services“. Verschärfend wirkt, dass sich die Zahl der möglichen Einfallsvektoren durch vernetzte und mobile Geräte sowie die Auslagerung von extern en Prozessen laufend erhöht.
Obwohl sich Bedrohungen mehren, zeichnet eine aktuelle Umfrage des Digitalverbands Bitkom bei der mehr als 1.000 Unternehmen in Deutschland zum Thema Cybersicherheit befragt wurden, ein erschreckendes Bild: Nur gut jedes zweite Unternehmen in Deutschland verfügt über eine durchdachte Security-Strategie oder auch einen Plan für den Ernstfall. Darüber hinaus wird die sicherheitsbezogene Schulung von MitarbeiterInnen vernachlässigt – nur 61 Prozent bieten regelmäßige Weiterbildungen zu diesem Thema an. Viel zu häufig wird erst gehandelt, wenn der Schaden bereits angerichtet ist. Nahezu unvermeidliche Folge von Angriffen, die unvorbereitet treffen, sind Produktionsausfälle, -stillstand, Datenverlust, Diebstahl von Firmengeheimnissen und Interna sowie Lösegeldforderungen in variierender Höhe. Zusätzlich drohen hohe Strafzahlungen, wurden die bestehen Datenschutzbestimmungen missachtet. Was also können Unternehmen in Deutschland unternehmen, um sich zu schützen?
„Bedrohungslage deutlich schlimmer als wahrgenommen“ – Es braucht eine proaktive Strategie
Um den aktuellen versatilen Bedrohungen aus dem Cyberspace erfolgreich zu trotzen, ist es wichtig, eine stabile Basis zu schaffen, denn nur damit ist es möglich, im Falle eines Angriffes rasch und gezielt zu reagieren. Eine gut durchdachte, ganzheitliche Abwehrstrategie, die auf den Maximen „Prepare – Alert – Respond“ gegründet ist, unterstützt dabei, schwere Schäden zu vermeiden und den Betrieb auch im Ernstfall fortzuführen. Dafür muss diese flexibel genug sein, sich an bekannte und unbekannte Gefahren anzupassen und schwierige Situationen bereits in der Planung mit beachten.
Es geht darum, die IT durch eine durchgängige Zero-Trust-Strategie, das Schließen von Schwachstellen und regelmäßige Backups resilient zu machen und strategische Netzwerksegmentierungen vorzunehmen. Zentral dabei ist, geplant vorzugehen und nicht Maßnahmen aneinanderzureihen, ohne diese logisch zu einem holistischen Konzept zu vereinen. Angreifer müssen ehestmöglich erkannt werden sowie durch eine mehrschichtige Sicherheitsarchitektur an einer Ausbreitung im Gesamtsystem gehindert werden. Ein Plan für den Ernstfall ist unabdingbar. Zusätzlich braucht es Experten, die sofort zur Stelle sind, wird professionelle Unterstützung benötigt.
Keine resiliente Strategie ohne ausreichende Finanzierung
Für den Aufbau einer adäquaten Abwehr ist es notwendig, ein ausreichendes Budget zur Verfügung zu stellen. Dafür sollten realistisch in etwa zehn Prozent des gesamten IT-Budgets vorgesehen werden. Manche Unternehmen mag dies zunächst abschrecken, doch werden die Kosten durch mögliche Produktionsausfälle und Imageschäden bei erfolgreichen Angriffen mitkalkuliert, ist diese Summer vergleichsweise gering. Landen wichtige Firmengeheimnisse und Interna im Netz, kann dies neben den finanziellen Verlusten gar das Ende für ein Unternehmen bedeuten. Alleine durch Ransomware verlieren Unternehmen auf der ganzen Welt schätzungsweise einen zweistelligen Milliardenbetrag pro Jahr. Besonders bei kritischen Infrastrukturbetreiben gibt es hohes Erpressungspotenzial und damit eine große Bandbreite an kriminellen Akteuren, die die Sicherheit des Systems regelmäßig auf die Probe stellen.
Fachliche Expertise ist gefragt
Aufgrund der zunehmenden Professionalisierung unter Cyberkriminellen braucht es bei deren Abwehr ein immer spezielleres und aktuelleres Fachwissen. Die bestehende IT-Abteilung ist üblicherweise stark mit den täglichen operativen Abläufen beschäftigt und Spezialwissen, welches für eine erfolgreiche Abwehr benötigt wird, fehlt. Damit ein ausreichendes Sicherheitsniveau nicht nur implementiert, sondern darüber hinaus, gehalten werden kann, unterstützen gut ausgebildete ExpertInnen, die für diesen Bereich die Verantwortung übernehmen. Aus diesem Grund ist es anzuraten, entweder firmenintern eigenständige Positionen zu besetzen oder auf externe SpezialistInnen zurückzugreifen. Da sich sowohl das eigene System als auch die externe Risikolage laufend verändern, muss die bestehende Strategie auch laufend adaptiert und überprüft werden. Ein gutes Mittel, damit kritische Schwachstellen rasch identifiziert werden können, sind zum Beispiel Penetration-Tests, bei denen das System in einem geschützten Rahmen testweise angegriffen wird. Selbst die schönste Theorie muss einem Praxistest standhalten.
Mitarbeiter: Gefahrenquelle oder strategisches Asset?
Eine relativ einfache Maßnahme, um das allgemeine Bedrohungsszenario abzumildern, ist es, Mitarbeiter für das Thema Cybersecurity zu sensibilisieren. Abhängig von der Tätigkeit wäre es zum Beispiel ideal, IT-Fachpersonal zu schulen, bereits bei der Implementierung von neuen Features oder OT-Systemen den Sicherheitsaspekt mitzudenken und laufend Patches und Updates vorzunehmen. Aber auch in Bezug auf Remote-Work, mobile Endgeräte und auf Phishingmails ist es wichtig, dass alle Mitarbeiter mit Zugang zu den IT-Systemen sich der Malwaregefahr bewusst sind. Ausreichenden Schutz bietet dies jedoch nicht – wenn ein Fehlklick dazu führen kann, dass das gesamte System infiziert wird, fehlen weitere unverzichtbare Fangnetze. Nur eine mehrschichtig aufgebaute Sicherheitsarchitektur ermöglicht es, dies zu verhindern.
Incident-Response will gut geplant sein
Gibt es einen Vorfall, geht es darum, die Infektion des Systems nicht nur so schnell wie möglich zu bemerken, sondern augenblicklich zu reagieren. Damit keine Zeit verschwendet wird, sollte das Vorgehen für den Notfall geklärt und die „Kommandostruktur“ festgelegt sein. Wer ist zu informieren? Was ist zu tun? Wie ist die Dringlichkeit? Dies kann entweder durch das Security-Team als hauseigenes Incident-Team in Unternehmen oder durch Verträge mit externen Security-ExpertInnen abgedeckt werden. Eine rasche Reaktion ist zeitkritisch, weswegen es einen genauen Ablaufplan geben muss. Nach der Abwehr oder Eindämmung eines Sicherheitsvorfalls muss das gesamte System überprüft werden, ob die Infektion erfolgreich entfernt wurde und nicht auch Backup-Daten betroffen sind und eine erneute Infektion ermöglichen. Zusätzlich müssen die ausgenützten Vulnerabilitäten behoben werden, um eine Wiederholung zu verhindern. Angeraten ist zudem, nach Schließung der Schwachstellen ein Red Team mit der Aufgabe zu betreuen, das System zu testen.
Neueste Kommentare
Noch keine Kommentare zu Resilienz gefragt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.