EZB, Nasdaq, Ebay - kaum ein Tag vergeht, an dem die Medien nicht über Organisationen berichten, die Opfer eines Hackerangriffs wurden. Cyber-Kriminelle gehen mittlerweile so professionell vor, dass es für Unternehmen immer schwieriger wird, sich vor Datenklau und Industriespionage zu schützen.
Sich hierbei auf eine einzige technische Lösung zu verlassen, greift zu kurz. Heute muss ein ganzes Bündel an Maßnahmen ineinandergreifen, um der Gefahr zu begegnen. Bewährt hat sich dafür der präventive fünfstufige Ansatz des "Cyber-Security-Zyklus".
Laut einer Bitkom-Umfrage ist in den vergangenen zwei Jahren fast jedes dritte Unternehmen in Deutschland Opfer eines Cyber-Angriffs geworden. Eine Studie des Zentrums für internationale und strategische Studien (CSIS) schätzt die Kosten, die weltweit jährlich durch Cyber-Kriminalität entstehen, auf 300 Milliarden bis eine Billion US-Dollar. Diese Dimensionen demonstrieren, dass es sich hier längst nicht mehr um eine Handvoll politisch motivierter Nerds handelt, die sich in die Netzwerke großer Konzerne und Organisationen hacken.
Die Angriffe, denen Unternehmen sich heute gegenübersehen, sind höchst professionell und effizient und haben es gezielt auf ihr intellektuelles Kapital abgesehen. Durch sogenannte "Advanced Persistent Threads" dringen organisierte Profis im Auftrag von Unternehmen oder Staaten in Netzwerke ein und fischen höchst sensible Geschäfts- und Entwicklungsdaten ab, die unter Umständen die Wettbewerbsfähigkeit des Unternehmens gefährden.
Der Einsatz innovativer Technologien wie Cloud Computing und mobiler Lösungen stellt hierbei einen neuen zusätzlichen Gefahrenherd dar. Je mehr Schnittstellen und Endgeräte Unternehmen ungesichert nach außen hin öffnen, umso mehr Einfallstore können Cyber-Kriminelle dazu nutzen, um Daten abzufischen.
Nach dem Cyber-Angriff ist vor dem Cyber-Angriff
Angesichts der zunehmenden Professionalität der Cyber-Attacken reicht es nicht mehr aus, dass sich Unternehmen auf eine einzelne technologische Lösung verlassen, um sich zu schützen. Sie müssen kontinuierliche Maßnahmen implementieren, die sowohl der Prävention als auch der Nachsorge dienen, um den Schaden im Nachhinein, wenn ein Cyber-Angriff entdeckt wurde, auf ein Minimum zu begrenzen.
Hierfür bedarf es eines umfangreichen Bündels aus Lösungen zum Management und zur Überwachung der IT- und Sicherheitsinfrastruktur, zur Ausgestaltung von Security-Abläufen, zur Optimierung des unternehmensweiten Sicherheitsmanagements und nicht zuletzt zur Sensibilisierung aller Mitarbeiter unter dem Stichwort "Security Awareness". Allerdings ist dieser Prozess nie abgeschlossen, sondern benötigt eine kontinuierliche Anpassung an die hochdynamische Bedrohungslage.
Die 5 Phasen des Cyber-Security-Zyklus
So hochkomplex die Angriffsszenarien sind, so ausdifferenziert muss auch die Abwehrstrategie aussehen. Unternehmen sollten dabei nach einem fünfstufigen Ansatz vorgehen, der sich bei einer Reihe von Cyber-Attacken bewährt hat. Die fünf Schritte des sogenannten Cyber-Security-Zyklus bauen aufeinander auf. Der Schwerpunkt liegt vor allem auf der Etablierung eines Information Security Management Systems, bevor es zur wirklichen Abwehr von Angriffen kommen kann.
1. Etablierung eines Information Security Management Systems (ISMS)
Durch die Einführung eines Managementsystems für Informationssicherheit (ISMS) wird die angemessene Behandlung von Cyber-Risiken sichergestellt. Ein ISMS hilft Unternehmen, juristisch und intern vorgegebene Sicherheitsziele zu erreichen - und dies mit einem optimalen Mitteleinsatz. Dazu gehört die Erstellung von Sicherheitsrichtlinien und Arbeitsanweisungen sowie Sicherheits- und Notfallmanagementkonzepten.
Ebenso müssen ein Risikomanagement nach ISO 27005 und ein "Security Incident Management" nach ISO 27035 eingeführt werden. Von besonderer Relevanz sind auch Schulungen und Sensibilisierungsmaßnahmen, bei denen der Erfolg anschließend messbar und nachweisbar sein muss.
2. Risikoidentifizierung durch Präventivmaßnahmen
Risiken werden identifiziert, die Ursachen, Quellen und Ziele aktueller Bedrohungen untersucht. Dafür sollten sich Unternehmen in die Lage der potenziellen Angreifer versetzen und wie Hacker vorgehen. Durch sogenannte "Security Self Assessments" oder verschiedene Penetrationstests können sie herausfinden, wo die Schwachstellen in ihren Prozessen oder Systemen existieren.
Mit der umfassenden Identifizierung der Risiken steht und fällt die komplette Abwehrstrategie. Deshalb muss die Risikoidentifizierung in regelmäßigen Abständen stattfinden und die folgenden Phasen an den Ergebnissen angepasst werden.
Sobald die Unternehmen wissen, wo mögliche Einfallstore für Cyber-Attacken existieren, können sie sich auf eventuelle Angriffe vorbereiten. Dafür müssen jeweilige Maßnahmen entwickelt werden, die ergriffen werden können, um für die identifizierten Risiken gerüstet zu sein.
3. Auswahl der Schutzvorkehrungen
Nach der Entwicklung der Maßnahmen können die konkreten Technologien und Lösungen ausgewählt werden, die der Abwehr der aktuellen Bedrohungen dienen. Im Ernstfall greifen die Sicherheitsvorkehrungen und wehren die Angreifer ab.
4. Kontrolle und Management
Durch den Einsatz von echtzeitbasierten IT-Sicherheitstechnologien können Event Logs von IT-Infrastrukturen gesammelt und dadurch potentielle Hacking-Versuche rechtzeitig erkannt werden. Darüber hinaus hat es sich bewährt, wenn Unternehmen die aktuelle Sicherheitslage ihrer Umgebung in Echtzeit auf Dashboards konsolidiert darstellen können.
5. Messung & Kommunikation
Die Kontrollergebnisse müssen an die verantwortlichen Stellen entsprechend kommuniziert werden. So erhält das Management monatliche Reportings, um sich mit dem Restrisiko auseinanderzusetzen.
Um eine höchstmögliche Abwehrbereitschaft herstellen zu können, sollte der gesamte Prozess kontinuierlich stattfinden. Auch auf die Gefahr hin, damit finanzielle Spielräume auszureizen, müssen Unternehmen immer vor Augen haben, dass die mangelnde Abwehrfähigkeit von Cyber-Angriffen zu Daten- und Kontrollverlust führen kann, dessen finanzielle Auswirkungen oftmals weit über den Ausgaben für IT-Sicherheit liegen.
Murat Yildiz ist Senior Manager Information Security Solutions bei Steria Mummert Consulting.