Zeitenwende in der Cyber-Sicherheit: Schutzschilde hochziehen reicht nicht mehr aus
Laut Angaben des Bundeskriminalamtes zur Lage der Cyber-Sicherheit wurden im vergangenen Jahr knapp 137.000 Unternehmen in Deutschland Opfer von Cyber-Angriffen. Diese kosten die deutsche Wirtschaft über 200 Milliarden Euro pro Jahr. Neben dem finanziellen Schaden entstehen durch einen unprofessionellen Umgang mit der Krisensituation auch Reputationsverluste. Eine gute Vorbereitung hilft durch die schwierige Lage, die potenziell jede Organisation treffen kann.
Auf die gestiegene Bedrohungslage im digitalen Raum reagiert die EU mit einer europaweiten Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) mit umfassenden Vorgaben, welche bis Oktober 2024 durch die nationale Gesetzgebung der EU-Mitgliedstaaten umzusetzen ist. Ein hohes Sicherheitsniveau lässt sich nur erreichen, wenn die Vorkehrungen von Unternehmen schnell und konsequent verschärft werden, denn auch die Angreifer entwickeln ständig neue Strategien.
Um den digitalen Angreifern voraus zu sein und gleichzeitig die höheren Sicherheitsanforderungen der Gesetzgebung zu erfüllen, müssen sich zahlreiche Unternehmen und Behörden ab sofort intensiv mit dem Thema der Steigerung der eigenen Cyber-Resilienz auseinandersetzen.
„Einzelne Schutzmaßnahmen sind wenig zielführend. Es bedarf eines umfassenden Gesamtkonzepts, um alle schützenswerten Assets im Blick zu halten, das bisherige Sicherheitsniveau zu erfassen und passgenaue Maßnahmen abzuleiten“,
sagt Philipp Kleinmanns, Senior Vice President Cross-Market Services und Cyber Security der Materna-Gruppe.
Im Notfall gut vorbereitet
Denn irgendwann ist er plötzlich da – der Anruf, den jeder IT-Sicherheitsverantwortliche fürchtet: Ein Cyber-Angriff ist erfolgreich durchgeführt worden. An der Stelle ist noch nicht klar, ob Daten verschlüsselt wurden oder abgeflossen sind und wie hoch der Schaden sein wird. Es wird nur deutlich, dass auf den Angriff schnellstmöglich reagiert und dieser eingedämmt werden muss. Jetzt sollten nach einem definierten Notfallplan Sofortmaßnahmen ergriffen werden, um größeren Schaden zu vermeiden. Das setzt voraus, sich über diesen Notfall im Rahmen eines Informationssicherheits-Management-Systems (ISMS) bereits Gedanken gemacht zu haben. Bestenfalls wurde ein Business Continuity Management für den Erhalt der Geschäftsfähigkeit mit einbezogen. Das heißt, Organisationen sollten sich über den Stand ihrer Schutzmaßnahmen und Prozesse im Notfall im Klaren sein. Externe Berater:innen können an der Stelle mit dem neutralen Blick von außen helfen.
Wenn der Ernstfall eintritt
Ist im Angriffsfall der Umfang klar und ist die Eindämmung erreicht, gilt es durch forensische Untersuchungen aufzuarbeiten, mit welchen Methoden die Angreifer erfolgreich waren. Generell kommen bei einem Angriff ganz unterschiedliche Schwachstellen zum Einsatz. Der größte Risikofaktor ist jedoch der Mensch – der Mitarbeitende, der einmal in einer harmlos wirkenden E-Mail auf den falschen Anhang geklickt hat. Jeden Tag erreichen rund 3,4 Milliarden betrügerische E-Mails Postfächer weltweit. Diese E-Mails, die per unbedachtem Knopfdruck Schadsoftware installieren oder vertrauliche Daten abfangen, sind für Laien oft schwer zu erkennen. Mit regelmäßigen Security-Trainings und Awareness-Schulungen erlangen Mitarbeitende einen sichereren Umgang mit solchen E-Mails und lernen, woran sie verdächtige E-Mails erkennen. Ebenso können die Infrastruktur und Anwendungen mittels Schwachstellenanalyse und Pentests gezielt auf mögliche Einfallstore geprüft werden.
Überwachung mit Argusaugen: das Security Operations Center (SOC)
Organisationen müssen technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Cybersicherheitsrisiken zu bewältigen und die Auswirkungen potenzieller Vorfälle zu minimieren. Alle sicherheitsrelevanten Ereignisse im Blick zu behalten, ist bei der Vielzahl der Geräte und Anwendungen innerhalb einer Organisation und der steigenden Professionalität und Intensität der Angriffe nicht einfach. Hier kann ein Security Operations Center Abhilfe schaffen. Ein SOC ist vor allem ein Überwachungs- und Melde- und Reaktionssystem: Auf Basis von automatisierter Erkennung durch verschiedene Sicherheitslösungen, wie Security Information and Event Management, Network Behaviour Analytics und Endpoint Detection und Response, erfasst und analysiert es sämtliche Aktivitäten in Logs, im Netz einer Organisation und auf diversen Endpunkten wie Server und Clients. Anhand vordefinierter Regeln und statistischer Modelle werden Ereignisse erkannt und gemeldet, die auf einen möglichen Sicherheitsvorfall hindeuten. Die Analysten im SOC gehen diesem Ereignis genauer nach, bewerten es und geben Anleitungen zur Behebung. In Kombination mit speziellen Incident Response Teams und Prozessen unterstützt das SOC bei weiteren Analysen und gegebenenfalls Maßnahmen zur Gefahrenabwehr.
„Der Erfolg des SOC-Konzepts beruht vor allem auf drei Aspekten“,
sagt Dr. Christian Polster, Geschäftsführer der Materna Radar Cyber Security (MRCS).
„Einmal bündelt es zentral sämtliche sicherheitsrelevanten Informationen aus der wichtigen Erkennungstechnologie.“
Das ermöglicht es, aus einzelnen Daten einen großen Datensee zu machen, der Aufschluss über Zusammenhänge zwischen einzeln auftauchenden Ereignissen gibt, die ansonsten unentdeckt blieben.
„Weiters dokumentiert es lückenlos alle notwendigen Analyseschritte und Reaktionsprozesse, um die Qualität der Analysen durch Sicherheitsexperten im SOC hochzuhalten und auch möglichst rasch und transparent reagieren zu können”,
sagt Polster weiter. Das ermöglicht eine hohe Rate an Erkennungen in der Kombination aus Automatismen und menschlicher Expertise für eine lückenlose Aufdeckung von Angriffen.
„Außerdem können Unternehmen mit Reportings auf Basis der Informationen aus dem SOC den Status ihrer Sicherheitsvorkehrungen belegen und damit wichtige Compliance-Vorgaben erfüllen”,
ergänzt Polster. Die Einfallstore für Schadsoftware hat das SOC rund um die Uhr im Blick. Dabei kann ein SOC sowohl für ein Unternehmen spezifisch etabliert als auch als SOC as a Service bezogen werden.
Sich der Risiken bewusst werden
Auch die wichtigen Daten eines Unternehmens selbst benötigen Schutzmaßnahmen in Form von Cloud-Security-Maßnahmen, wie etwa eine Public Key Infrastructure oder eine Multi-Faktor-Authentifizierung, um die digitale Identität eines Users nachzuweisen. Was einfach klingt, erfordert jedoch ebenfalls eine gewisse Vorarbeit.
„Viele Unternehmen wissen gar nicht, welche ihrer Informationen und Daten besonders schützenswert sind“, erklärt Kleinmanns. „Mit einem Informationssicherheits-Management-System erlangen sie Klarheit.”
Informationssicherheit befasst sich nicht nur mit Daten, sondern mit gänzlich allen Informationen eines Unternehmens oder einer Behörde. Bei der Implementierung eines ISMS werden bestehende Richtlinien beim Aufbau von Prozessen oder der Anpassung bestehender Prozesse berücksichtigt. Auf dieser Basis können regelmäßige Audits erfolgen, um Zertifizierungen, wie IT-Grundschutz oder ISO 27001, zu erhalten.
Ebenso können Organisationen sich mit einem ISMS selbst überprüfen oder extern überprüfen lassen. Mittels GAP-Analysen lassen sich Risiken feststellen und bewerten, um daraus ein fundiertes Sicherheitskonzept abzuleiten bzw. weiterzuentwickeln.
Im Ernstfall arbeitsfähig bleiben
Selbst mit allen Sicherheitsmaßnahmen sind Organisationen verwundbar, daher ist es von großer Bedeutung, die Cyber-Resilienz von Unternehmen zu stärken. Hier hat ein Paradigmenwechsel hin zu einem „sicheren Scheitern“ stattgefunden, sollte ein Angriff doch erfolgreich sein. Wichtig ist, im Vorfeld einen Plan für den Notfall entwickelt zu haben, in dem Abläufe klar geregelt sind und mit Hilfe eines Business Continuity Managements genauestens vorgegeben ist, wie die Geschäftsprozesse weiterlaufen. Denn ein Stillstand verursacht häufig Schäden in Millionenhöhe.
Mit Blick auf die aktuelle Lage zur Cyber Security lässt sich feststellen, dass noch großer Nachholbedarf herrscht. IT-Sicherheit darf kein isoliertes Thema der IT-Abteilung bleiben, sondern muss sich auf die gesamte Organisationsstruktur beziehen. Im jährlich erscheinenden Risk Barometer 2023 einer internationalen Versicherung rangiert ein erfolgreicher Cyber-Angriff auf dem zweiten Platz der Top 10 Risiken für deutsche Unternehmen. Im Jahr 2023 sollen in Deutschland rund 8,5 Milliarden Euro für IT-Sicherheit ausgegeben werden. Der IT-Branchenverband Bitkom empfiehlt, etwa 20 Prozent der gesamten IT-Ausgaben in das Thema IT-Sicherheit zu investieren. Denn eines ist klar, ohne Investitionen gelingt kein umfassendes zukunftsfähiges IT- und Informations-Sicherheitssystem.
Wirtschaftsunternehmen ebenso wie die öffentliche Verwaltung sind gut beraten, sich mit ersten Maßnahmen dem Thema zu nähern: z. B. durch die Etablierung eines SOC as a Service zur kontinuierlichen Überwachung der Sicherheitslage, mit regelmäßigen Awareness-Schulungen für alle Mitarbeitenden und der Erarbeitung des Notfallplans, um im Ernstfall den Schaden gering zu halten. Darüber hinaus bringt eine IST-Analyse Klarheit über den aktuellen Stand der Sicherheit und stellt weitere Maßnahmen in einem absehbaren Zeitraum in Aussicht. So lassen sich Schritt für Schritt Security-Maßnahmen ergänzen, um sich gegen die Angreifer bestmöglich schützen zu können.
Whitepaper Cyber Security