Trainieren statt verdrängen
Planvoll Sicherheitsrisiken minimieren
Die Presseberichte über einen Schadsoftware-Befall eines Computers im bayrischen Kernkraftwerk Gundremmingen machte die Sicherheitsproblematik im digitalen Zeitalter einmal mehr sichtbar. Dass selbst in so hochkritischen Infrastrukturen wie der einer Atomanlage Schadsoftware eingeschleust werden kann, zeigt die hohe Verwundbarkeit von digitalen Systemen auf drastische Weise. "Kein Unternehmen - ob groß oder klein - ist sicher vor Cyber-Attacken",warnt Art Wong, Senior Vice President HPE Enterprise Security Services. Seine Aussage wird vom Cyber Security Report der Deutschen Telekom gestützt, demzufolge neun von zehn Unternehmen bereits mindestens einmal Opfer von IT-Angriffen gewesen sind.
Die aktuell schnell voranschreitende Digitalisierung, die zunehmende Mobilität der Mitarbeiter, die immer und überall mit smarten Geräten Zugriff auf Unternehmensdaten, -anwendungen und -netzwerke haben, und die Expansion des Internets der Dinge, das dezentral eine Flut von meist schützenswerten Daten produziert, machen die Lage der Unternehmen nicht einfacher.
Mangelnde Security-Kenntnisse
Das schlägt sich bei den Führungskräften und Managern in einer drückenden Verunsicherung nieder: Die große Mehrheit fürchtet, dass ihr Unternehmen nicht ausreichend gerüstet ist, um Cyberangriffe zu verhindern, zu entdecken und gegebenenfalls kompetent auf die verschiedenen Bedrohungen zu reagieren, fand die von Hewlett Packard Enterprise (HPE) und Fireeye in Auftrag gegebene Studie "Cybersecurity Challenges: Risks, Trends, and Impacts" heraus.
Nur rund 6 Prozent der im Februar 2016 Befragten glauben, dass ihre Organisation extrem gut vorbereitet ist, um adäquat auf einen Angriff zu reagieren, bei dem Informationen in die Hände Unbefugter gelangen können. Das von der großen Mehrheit der Führungskräfte geäußerte ungute Gefühl trügt nicht. Tatsächlich verfügen 86 Prozent der Firmen nicht über die notwendigen Security-Fähigkeiten und -Kenntnisse, fand der "Cyber Risk Report 2016" von HPE heraus.
Das immer gleiche Angriffs-Schema
Dabei folgen Cyberkriminelle, Hacktivisten und Geheimdienste bei ihren großangelegten Angriffen im Prinzip immer dem gleichen Schema. Erst versuchen sie, Zugang zum Unternehmensnetzwerk zu bekommen. "In 80 Prozent der Fälle geschieht das über eine Phishing-Mail", sagt Marshall Heilman, Vice President und Executive Director beim Sicherheitsunternehmen Mandiant, einer Tochtergesellschaft von Fireeye. Sobald ein Nutzer auf einen infizierten Link geklickt hat oder ein verseuchtes Dokument geöffnet hat, beginnt eine Schadsoftware ihre Arbeit und öffnet oft eine Hintertür ins Netzwerk.
Danach versuchen die Angreifer meist, vom Einfallstor zu einem Administrator vorzudringen, um mehr Rechte und einen erweiterten Zugang zum IT-System zu bekommen. Sobald sie die Rechte haben, startet die Advanced Persistant Thread-Phase, während der die Angreifer konsequent ihr Ziel verfolgen. Haben sie die Mission erfüllt, heißt das nicht, dass die Bedrohung vorüber ist. Oft erhalten die Eindringlinge den Zugang aufrecht, um die Attacke zu einem späteren Zeitpunkt fortzusetzen.
Überblick verschaffen, Plan erarbeiten
Solche Kenntnisse müssen sich die Unternehmen aneignen und sich in die Lage der Angreifer versetzen. Andrzej Kawalec, Chief Technology Officer bei HPE Security Services, rät den für die Sicherheit verantwortlichen Führungskräften, sich mit den Bedrohungsszenarien ihrer Unternehmen vertraut zu machen. Sie sollten herausfinden:
Wo befinden sich die wertvollen Daten im Unternehmensnetzwerk?
Was könnte für Angreifer interessant sein?
Wo ist das Unternehmen besonders verwundbar?
Wo sind die unternehmenskritischen Punkte und wie kann man sie entsprechend schützen?
Wer sind potenzielle Angreifer?
Wie sehen die Abläufe aus, falls der Fall der Fälle eintritt?
Externe Unterstützung verringert Reaktionszeit
Mit solchen proaktiven Überlegungen haben die Security-Verantwortlichen bereits einen wichtigen Verteidigungsschritt nach vorne gemacht. "Die geeignete Antwort auf einen Angriff hängt vollständig davon ab, wie man vorbereitet ist", sagt Kawalec. "Verfassen Sie und verstehen Sie einen Interventionsplan für Sicherheitszwischenfälle, legen Sie die Rollen und Verantwortlichkeiten der involvierten Leute genau fest, und dann trainieren Sie die Leute." Entscheidend seien, wie bei den meisten kriminellen Taten, die ersten 48 Stunden nach der Tat. Damit im Ernstfall alle Beteiligten schnell und routiniert reagieren, empfiehlt Kawalec wiederholt, realistische Simulationen von Szenarien durchzuführen - auch unter Einbeziehung der Geschäftsleitung.
Auch wenn Unternehmen gut vorbereitet sind, empfiehlt HPE-CTO Andrzej Kawalec, dass sie "einen oder mehrere Partner ins Boot holen, die die notwendige Security-Kompetenz haben, um möglichst umgehend auf eine Bedrohung reagieren zu können." Laut dem M-Trends 2016 Report von Mandiant wurden nur 47 Fälle, um die sich Mandiant im vergangenen Jahr kümmern musste, von den Unternehmen selbst entdeckt. Externe Unterstützung ist also ein ebenso wichtiges Element in der Sicherheitsstrategie eines Unternehmens wie die aktive Vorbereitung auf eine Attacke.