Aufbau einer echten Cyberresilienz

Mark Warner ist der Vorsitzende des für den Geheimdienst zuständigen Senatsausschusses in den USA und was er der Washington Post zu sagen hatte, dürfte die ganze Welt hellhörig werden lassen: Der Anfang Oktober entdeckte Cyberangriff auf die Netzwerke großer US-Netzbetreiber wie AT&T, Verizon oder T-Mobile ist „der größte Telekommunikationshack in der Geschichte der USA – und zwar mit Abstand.“ Die mutmaßlich aus China kommenden Angreifer dürften sich seit über einem Jahr im System befinden und sie „rauszuwerfen“ sei nicht so einfach. Dafür müssten „buchstäblich Tausende Geräte ausgetauscht werden“, vor allem Switches und Router, sagt der Senator.

Sicherlich passieren Angriffe dieses Ausmaßes nicht jeden Tag. Dass sie allerdings passieren und dann auch noch in einem technologisch vergleichsweise hoch entwickelten Sektor wie der Telekommunikation, zeigt, wie groß und vor allem real Cyberbedrohungen heute sind.

Vor diesem Hintergrund ist es fast verwunderlich, dass lediglich 42,5 Prozent der deutschen Unternehmen besorgt oder zumindest eher besorgt über ihre Fähigkeiten sind, potenzielle Cyberangriffe abzuwehren. Das zumindest zeigen aktuelle Umfragezahlen unter IT-Entscheider des Industrieversicherers QBE. Der vergleichsweise geringe Grad der Besorgnis ist auch deshalb verwunderlich, weil gleichzeitig 24,2 der Befragten angaben, im vergangenen Jahr von Cyberangriffen betroffen gewesen zu sein.

Abwehr ist wichtig – reicht alleine aber nicht aus

Vielleicht sind aber auch deshalb nur 42,5 Prozent der Befragten besorgt, potenzielle Cyberangriffe abwehren zu können, weil zu einer umfassende Cyberstrategie deutlich mehr gehört als die reine Abwehr. Soll heißen: Eine 100-prozentige Sicherheit gibt es nicht, weshalb Unternehmen heute eine ganzheitliche und verzahnte Strategie brauchen. Das spricht natürlich niemanden davon frei, das eigene Sicherheitslevel kontinuierlich zu erhöhen und zu verbessern. Am Ende müssen Unternehmen aber eben eine echte Cyberresilienz aufbauen, die auf einer robusten Sicherheitsinfrastruktur basiert, alle Systeme kontinuierlich überwacht, sodass im Ernstfall eine schnelle und gezielte Reaktion möglich wird, aus der man dann wiederum für künftige Angriffsszenarien lernen kann.

Auch hierfür eignet sich die Attacke auf die US-Provider als „Learning“. Denn es zeigt, wie wichtig Prävention als Grundpfeiler einer jeden Cybersicherheitsstrategie ist. Firewalls, Verschlüsselungen und regelmäßige Updates sind die Pflicht. Und auch automatisierte Sicherheitslösungen wie Intrusion Detection und Intrusion Prevention Systeme gehören heute genauso zum Standard wie regelmäßige Schulungen für die Belegschaft oder auch gezielte Angriffsversuche als Simulation des Ernstfalls. Denn wie das US-Beispiel zeigt: Nichts ist schlimmer, als wenn sich Angreifer über einen langen Zeitraum im System frei und unbemerkt bewegen können.

Um genau diese Bewegungsfreiheit von Angreifern einzuschränken, sollten Unternehmen beim Identitätsschutz zwei Ansätze verfolgen: den aktiven Schutz der digitalen Identitäten und die Implementierung eines Zero-Trust-Modells mit Multi-Faktor-Authentifizierung (MFA). Zero Trust bedeutet, dass das System jeder Transaktion misstraut, bis sie legitimiert wird. Das stellt Angreifer vor weitere Hürden, wenn sie eine Identität kompromittieren. Diesen Schutz verstärkt die MFA durch zusätzliche Sicherheitsebenen wie Hardware-Tokens oder zeitlich begrenzte Einmalpasswörter.

Schwächen erkennen

Unser Compromise-Recovery-Team wird meist von Versicherungen oder Forensikern, gerade auch bei Nicht-Kunden, angefordert, um „zu retten, was zu retten ist.“ Und das ist in der Regel deutlich mehr, als man zunächst vermuten möchte. Wenn Unternehmen uns rufen, dann war ein Angriff bereits erfolgreich und wenn wir eine zentrale Gemeinsamkeit aus unseren diversen Einsätzen ziehen müssten, dann die: Die wenigsten Unternehmen kennen ihre Schwachpunkte.

Das ist einerseits verständlich, wer möchte schon gerne auf Schwächen hingewiesen werden? Unangekündigte Angriffssimulationen oder Pentests können jedoch dazu beitragen, dass Einfallstore geschlossen werden können. Denn was die Verantwortlichen in den Unternehmen nicht außer Acht lassen dürfen: Letztendlich ist Cybersecurity immer auch ein Strategiespiel. Es darf nicht unterschätzt werden, wie hochprofessionell und vor allem technologisch sehr gut ausgestattet die Angreifer sind. Deshalb ist es auch so wichtig, Bedrohungen möglichst früh zu erkennen. Hier können Unternehmen mittlerweile auf die KI setzen, die mit einer Anomalie-Erkennung und Endpoint Detection and Response dabei unterstützt, verdächtige Aktivitäten zu finden.

Schnelle Handlungsfähigkeit entscheidend

Cyberresiliente Unternehmen kennen und schließen allerdings nicht nur ihre Sicherheitslücken, sie sind außerdem auf den Ernstfall vorbereitet. Denn wenn es doch ein Angreifer in das System schafft, gilt es, diesen schnellstmöglich auszuschließen und anschließend genauso schnell wieder handlungsfähig zu sein. Letzterer Aspekt ist eine der Kernkompetenzen unserer Compromise-Recovery-Teams und doch erleichtern Reaktions- und Krisenmanagementpläne im Unternehmen unsere Aufgabe immens.

Denn im Ernstfall sind zwei Dinge entscheidend: Den laufenden Betrieb schnellstmöglich wieder sicherzustellen oder bestenfalls sogar fortführen zu können und dabei im Hintergrund jene Systeme zu isolieren, die kompromittiert wurden und die dortigen Daten und vor allem die Infrastruktur wiederherzustellen. Ein klar definierter Notfallplan mit festgelegten Rollen und Verantwortlichkeiten sorgt dafür, dass in einer solchen Krise keine wertvolle Zeit verloren geht.

Neben den technischen Maßnahmen ist auch die Kommunikation unabdingbar. Um Vertrauen zu erhalten und Reputationsschäden zu vermeiden, sollten Kunden, Partner und Mitarbeiter zeitnah und transparent über den Vorfall sowie die ergriffenen Gegenmaßnahmen informiert werden. Unternehmen, die schnell und professionell reagieren, können die Auswirkungen eines Cyberangriffs deutlich reduzieren und die Stabilität ihrer Geschäftsabläufe gewährleisten.

Stillstand ist gefährlich

Wenn bei einem Cybervorfall die richtigen Experten miteinander arbeiten und schnell zum Einsatz kommen, ist es in der Regel tatsächlich möglich, die entstandenen Schäden überschaubar zu halten. Genauso wichtig wie eine solch gut ausgebildete schnelle Einsatztruppe ist jedoch auch die Aufarbeitung eines Vorfalls. Jeder Cybervorfall darf durchaus als eine Art „Lerngeschenk“ betrachtet werden, das dazu beiträgt, die eigene Cyberresilienz noch einmal zu verbessern. Jede Ebene – von der Sicherheitsarchitektur über das Krisenmanagement bis hin zur Nachbereitung – baut auf der vorherigen auf und sorgt dafür, dass Unternehmen den Herausforderungen des digitalen Zeitalters gewachsen sind. Und auch wenn der „Cyberwar“ nur wenig Regeln kennt. Eines ist definitiv nicht erlaubt: Stillstand.

Alexander Bogocz

ist Cyber-Incident-Experte bei Skaylink.