Cyber-Bedrohungen

Die Eckpfeiler einer neuen Sicherheitsarchitektur

05.06.2015


Jörg Asma leitet den multinationalen Bereich Cyber Security & Privacy Europe bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert. 
Persönliche Nachrichten und der Kalender des mächtigsten Mannes der Welt werden öffentlich gemacht. Unvorstellbar? Heute nicht mehr. Erst im April berichteten verschiedene Medien, dass Barack Obama Opfer eines Hacker-Angriffs geworden sei. Wenn sich nicht einmal mehr der Präsident der Vereinigten Staaten von Amerika sicher fühlen kann, ist klar: Cyber-Piraten umgehen mittelfristig jeden noch so komplexen IT-Schutz.

Besonders deutlich wurde ein Versagen der Sicherheitsmechanismen zuletzt im Fall der Attacke auf den Unterhaltungskonzern Sony. Der Schaden ist bis heute immens. Daten sind gestohlen und öffentlich gemacht worden, elektronische Inhalte wurden unwiederbringlich gelöscht, die IT-Systemlandschaft wurde derart nachhaltig sabotiert, dass lange Zeit ganze Abteilungen ihre Arbeit nicht verrichten konnten. Die Zahlen für das erste Quartal konnten nur verspätet vorgelegt werden, weil die Finanzabteilung noch nicht wieder einsatzbereit war.

Im besten Fall ist ein Unternehmen nach einem Hacker-Angriff auch dazu in der Lage, den Täter zu identifizieren.
Im besten Fall ist ein Unternehmen nach einem Hacker-Angriff auch dazu in der Lage, den Täter zu identifizieren.
Foto: GlebStock - shutterstock.com

Häufig wurde nun die Frage gestellt, ob Sony diesen Einbruch hätte verhindern können. Eine klare Antwort, die sich spezifisch auf diesen Fall bezieht, kann hier auch in der Retrospektive nicht gegeben werden. Eins ist dagegen ganz klar: Genauso wenig wie der US-Präsident hat heute kein globaler Konzern mehr die Möglichkeit, derart effektive Schutzmechanismen einzurichten, die Angreifern das Eindringen unmöglich machen.
Ähnlich wie aus dem Weg vom Mittelalter in die Neuzeit - wo Burgmauern zunächst gegen Kanonen und später Panzer nichts mehr ausrichten konnten - verlieren die äußeren elektronischen Schutzwälle um die gesamte IT-Systemlandschaft immer stärker an Relevanz. Denn die technische Entwicklung ist so rasant, das pausenlos rund um den Erdball neues Kriegsgerät erfunden wird, mit dem die Burgmauern überwunden werden können.

Bedeutet dies, dass Unternehmen Hackern künftig schutzlos ausgeliefert sind? Ganz im Gegenteil. Dazu gilt es allerdings, die in den meisten Unternehmen noch sehr einseitig auf Prävention fußende Sicherheitsarchitektur grundlegend zu verändern. Diese sollte künftig auf drei Pfeilern fußen:

1. Kronjuwelen identifizieren und gesondert schützen

Jedes Unternehmen hat Kronjuwelen. Das sind die Daten, die auf keinen Fall an die Öffentlichkeit gelangen dürfen, deren Vernichtung katastrophale Folgen hätte - oder die Sabotageakte zum Beispiel in Maschinenparks produzierender Unternehmen ermöglichen. Diese Daten gilt es so zu schützen, als ob es Kronjuwelen wären: physisch in der Hardware, technisch in der Software und geistig in der exakten Kontrolle der zugriffsberechtigten Persönlichkeiten.

Bei Sony sind solche Kronjuwelen zum Beispiel Drehbücher künftiger Hollywood-Blockbuster - deren Veröffentlichung immensen wirtschaftlichen Schaden nach sich zieht.
Um höchste SicherheitSicherheit zu gewährleisten müssen Unternehmen schützenswerte Daten zunächst einmal priorisieren und dann exakt bestimmen, welche davon wirklich die essentiellsten sind. Um dann eine Schutzlösung zu entwickeln, die es Angreifern so schwer wie möglich macht, jemals an sie heran zu kommen. Und die den Besitzern nach dem Knacken des ersten Verteidigungsrings bereits aufzeigt: Ihr werdet angegriffen, bringt eure Schätze in Sicherheit. Alles zu Security auf CIO.de

2. Dezentrale Detektion aufbauen

Da erfolgreiche Angriffsversuche auf die gesamte IT-Infrastruktur nicht mehr zu verhindern sind, sollten Unternehmen künftig stärker in Detektion als weitere ganzheitliche Präventionsmaßnahmen investieren. Faktisch bedeutet dies, eine technische Überwachungsmöglichkeit aller Datenströme des Unternehmens zu entwickeln:

  • Welche IT-Teilnehmer - Menschen wie Maschinen - kommunizieren im Unternehmen wie miteinander?

  • Wie ist das Kommunikationsverhalten außerhalb?

  • Gibt es Unregelmäßigkeiten die auf Einbruchsversuche hindeuten können?

Wichtig für Unternehmen ist frühzeitig zu bemerken, ob, wo und wie sie angegriffen werden. Um dann unmittelbar Gegenmaßnahmen einzuleiten. Die Zeit zwischen dem Erkennen eines Angriffs und dem Stopfen eines Sicherheitslecks ist die entscheidende Zeitspanne, die über die Größe des Schadens bestimmt. Unternehmen müssen sicher stellen, diese Zeit so minimal wie möglich zu halten. In globalen Konzernen lässt sich eine solche Detektion technisch nur dezentral implementieren, da unterschiedliche Gesellschaften und Länderorganisationen häufig mit unterschiedlichen IT-Systemlandschaften arbeiten.

3. Krisenreaktionsprozesse und -team bereit haben

Obgleich täglich die Gefahr eines existenzbedrohenden Angriffs droht, haben viele Unternehmen häufig keine eindeutigen Prozesse und Zuständigkeiten für den Fall eines erfolgreichen Angriffs definiert. Dies beginnt mit folgenden Fragen:

  • Wer schließt nach der Detektion eines Sicherheitsvorfalls, sofort und mit entsprechenden finanziellen Mitteln ausgestattet, die Sicherheitslücken?

  • Wer geht im Anschluss den Angriffen auf den Grund?

  • Wer versucht den Verlauf zu rekonstruieren, um die Kriminellen zu identifizieren?

  • Wer löst die rechtlichen Fragestellungen löst - sowohl was Justiziabilität der Angreifer angeht, als auch welche rechtlichen Fragestellungen sich zum Beispiel durch möglichen Geheimnisverrat, Personen- oder materiellen Kundenschaden ergeben?

  • Wer erklärt den Vorfall der Öffentlichkeit mit einem möglichst geringen Schaden für die Reputation?

  • Wie wird das alles koordiniert?

Unternehmen müssen also frühzeitig ein Krisenreaktionsteam, bestehend aus technischen Cyber-Sicherheits-Spezialisten, Forensikern, Juristen und Kommunikationsexperten aufstellen. Dieses Team muss jederzeit verfügbar sein und eindeutig aufeinander abgestimmte Prozesse haben. Und Unternehmen müssen sicherstellen, dass im Fall einer Detektion unmittelbar Budget zur Verfügung steht, um ein solches Reaktionsteam in Bewegung zu setzen.

Zur Startseite