Ausgeklügelte Zero-Day-Angriffe können verunsichern, da sie bisher unbekannte Sicherheitslücken in Software ausnutzen. Um eine neue Schwachstelle aufzuspüren und eine entsprechende Angriffskette zu entwickeln, ist sehr viel technisches Hintergrundwissen erforderlich. Daher ist es sehr unwahrscheinlich, dass ein derartiger Angriff gegenüber einem herkömmlichen Unternehmen eingesetzt wird. Er verliert seinen Wert, sobald er das erste Mal zum Einsatz kommt, weshalb mögliche Ziele sorgfältig ausgewählt werden.
Die Bedrohungen, vor denen sich die meisten Unternehmen schützen sollten, sind hingegen recht bekannt, aber leider auch erschreckend wirkungsvoll. Dies ist der erste Beitrag unser zweiteiligen Serie, wie Unternehmen vor und nach einem Cyberangriff vorgehen sollten. In diesem Teil konzentrieren wir uns auf die Maßnahmen, die vor einem Vorfall implementiert werden sollten, um bei einem erfolgreichen Angriff finanzielle, betriebliche und Rufschäden so gering wie möglich zu halten.
Bevor der Angriff entdeckt wird
Cyberkriminalität ist heutzutage häufig in den Schlagzeilen zu finden, ob Angreifer nun eine bestimmte Branche anvisieren (z. B. Fluggesellschaften), die Wirtschaft eines Landes beeinträchtigen wollen (JLR im Vereinigten Königreich) oder Gewalt androhen (großer Fehler!).
Geopolitische Spannungen erhöhen das Risiko von Cyberangriffen weiter. So könnten beispielsweise die Konflikte im Nahen Osten Vergeltungsaktionen gegen US-amerikanische, israelische oder alliierte Unternehmen durch nationalstaatliche oder zugehörige Gruppen auslösen. Angesichts der Ausgereiftheit existierender Bedrohungen scheint ein Großteil der Unternehmen keine Chance zu haben.
Obwohl die meisten Sicherheitsverletzungen mit entsprechenden Vorkehrungen vermeidbar wären, sind erfolgreiche Angriffe keine Seltenheit und wir können aus ihnen lernen. Wie konnten die Angreifer überhaupt Fuß fassen und wie gelang es ihnen, unentdeckt zu bleiben? Indem wir verstehen, wie Cyberkriminelle vorgehen, können wir unsere Abwehrstrategien anpassen und verbessern.
Die Bedrohungen verstehen
Es ist unmöglich, alle existierenden Bedrohungen zu verstehen, doch wir können zumindest die aktuell aktivsten erkennen. Indem wir häufige Einfallstore absichern, werden Kriminelle aufgehalten, bevor sie überhaupt erst einen Angriff starten können. Gestohlene Zugangsdaten werden am meisten eingesetzt, um Zugang zu erlangen, wobei Social Engineering eine der gängigsten Methoden ist, um sich diese zu beschaffen. Weitere häufige Einfallstore sind:
- das Ausnutzen bekannter Sicherheitslücken in nicht aktualisierten Systemen,
- falsch konfigurierte Software- oder Cloud-Dienste und
- schwache oder wiederverwendete Passwörter.
Ein großer Anteil der Angriffe ist aufgrund genau dieser Techniken erfolgreich.
Da kompromittierte Zugangsdaten eine derart häufig genutzte Angriffsmethode sind, sollten Unternehmen deren Schutz priorisieren.
Eine der wirkungsvollsten Schutzmaßnahmen gegen den Diebstahl von Zugangsdaten ist die mehrstufige Authentisierung (MFA). Es gibt jedoch auch hier Unterschiede bei der Sicherheit. Authentisierungsapps sind einer E-Mail- oder SMS-basierten Authentisierung vorzuziehen, da letztere abgefangen oder missbraucht werden könnten.
Passwort-Manager, die Passkeys und Einmalcodes unterstützen, speichern Zugangsdaten in einer verschlüsselten Datenbank und können das Risiko senken, das mit wiederverwendeten Kennwörtern einhergeht.
Da viele Angriffe auf Social Engineering und Phishing setzen, ist auch die Schulung von Mitarbeitern wichtig. Angreifer versuchen in der Regel, zunächst Vertrauen aufzubauen, bevor sie um vertrauliche Informationen oder Anmeldedaten bitten. Indem Mitarbeiter verdächtiges Verhalten erkennen, lassen sich diese Angriffe abwehren, bevor sie Schaden anrichten.
Wirksame Abwehr aufbauen
Die Cyberabwehr darf nicht nur auf Technologie setzen. Für einen angemessenen Schutz müssen Menschen, Prozesse und Technologien berücksichtigt werden. Eine Technologie zu implementieren, ohne dann auch das Personal zu schulen und die Prozesse anzupassen, könnte als Fehlinvestition enden. Eine Risikobewertung kann darüber hinaus helfen, eine informierte Basis für das Einrichten einer wirkungsvollen Cyberabwehrstrategie zu schaffen.
Implementieren Sie ein kohärentes mehrstufiges Konzept, das für Ihre Anforderungen geeignet ist. Seien Sie auch bereit, Ihre Strategie mit der Zeit anzupassen, denn die Bedrohungslandschaft steht nicht still. Eine Cyberabwehrstrategie ist keine Angelegenheit, die Sie nur einmal aufzusetzen brauchen und dann vergessen können. Wie so oft führen viele Wege nach Rom, wichtig ist allein, dass Sie einen ganzheitlichen Ansatz wählen.
- 10 Cybersecurity-Basismaßnahmen von Emsisoft
- Operation „Winter SHIELD“ des FBI (auf Englisch)
- CIS Critical Security Controls (auf Englisch)
Einen Notfallplan entwickeln
Bei den Vorbereitungsmaßnahmen muss auch bereits bedacht werden, was zu tun ist, wenn es doch zu einem Vorfall kommt. Dazu könnte unter anderem ein Stift-und-Papier-Plan gehören, der für alle zugänglich ist, falls (oder eher wenn) die Systeme ausfallen. Die Ausmaße der Störung durch einen Cyberangriff darf unter keinen Umständen unterschätzt werden. Für viele Unternehmen stellen sie eine existentielle Gefahr dar.
Wenn ein Vorfall entdeckt wird, kann es schnell unübersichtlich werden. Ein gut ausgearbeiteter Notfallplan stellt sicher, dass alle wissen:
- welche Rolle und Verantwortung sie haben,
- wie sie auf den Vorfall reagieren müssen,
- mit wem Kontakt aufzunehmen ist,
- wie die Kommunikation erfolgen muss und
- welche Beteiligten oder Behörden zu informieren sind.
Die Zeit, die Sie in die Ausarbeitung eines Notfallplans investieren, zahlt sich vielfach wieder aus bei der Zeit und den Kosten, die Sie für eine Wiederherstellung aufbringen müssten. Sie müssen auch im Voraus wissen, welche rechtlichen Vorgaben es in Ihrer Branche, für den Sitz Ihres Unternehmens sowie für Ihre Kunden gibt. Revidieren Sie den Plan auch regelmäßig und stellen Sie sicher, dass alle Beteiligten damit vertraut sind. Hier finden Sie einige Beispiele für Notfallpläne:
- IT-Notfallkarte der Bundesregierung
- Muster IT-Notfallplan der IHK
- Open-Source-Notfallplan (auf Englisch)
- Kompakter IT-Notfallplan der Transferstelle Cybersicherheit
Auf den Ernstfall vorbereiten
Niemand möchte Opfer eines Cyberangriffs werden, aber eine entsprechende Vorbereitung darauf erhöht die Chancen auf eine schnelle und vor allem wirkungsvolle Reaktion und Bereinigung enorm.
Vor einem möglichen Angriff starke Abwehrmaßnahmen einzurichten, Mitarbeiter zu schulen und einen Notfallplan auszuarbeiten, kann im Ernstfall zwischen einer zu bewältigenden Störung und einer existenzgefährdenden Krise entscheiden.
Cyberangriffe sind keine Frage des Falls, sondern des Wenns.
Die Frage ist nur: Ist Ihr Unternehmen darauf vorbereitet?
Übersetzung: Doreen Schäfer