Organisationen werden immer häufiger mit immer komplexeren Angriffsmustern überzogen. Ein umfassender Ansatz ist notwendig, um nicht zum Spielball von Cyber-Kriminellen zu werden. [...]
Die Angriffe erfolgen lautlos und ohne Vorwarnung. Innerhalb weniger Sekunden werden Daten aus Unternehmen geraubt oder Gelder auf fremde Konten überwiesen. Der finanzielle Verlust erreicht schnell mehrere Millionen Euro. Der Schaden für den Ruf eines Unternehmens ist nicht zu beziffern.
Cybersecurity, also die Abwehr von Angriffen aus dem Internet, ist kein neues Thema. Aber die Qualität und Quantität der Angriffe hat massiv zugenommen, wie im aktuellen Lagebericht des BSI nachzulesen ist. Immer häufiger werden diese Angriffe auch publik, sei es, weil der finanzielle Schaden bei Unternehmen sehr groß wird, oder weil Organisationen von nationaler Bedeutung betroffen sind. Auch die Bundesregierung hat reagiert. Mit dem IT-Sicherheitsgesetz 2015 und dem ersten Teil der KRITIS-Verordnung 2016 wurden erste Schritte unternommen, um Unternehmen und kritische Infrastrukturen besser zu schützen.
Dabei ist es gar nicht so, dass sich Organisationen heute nicht gegen Cyber-Angriffe schützen würden. Aber der Fokus ist häufig noch zu eng gewählt oder orientiert sich an veralteten Methoden. Beispielsweise ist es nicht mehr ausreichend, den Zugang zur Organisation nur über physische Zugangskontrollsysteme zu schützen. Vielmehr ist eine Identitätsprüfung von Personen erforderlich, die sich im Computernetz aufhalten. Und es müssen immer wieder Nachbesserungen vorgenommen werden, weil auch die Angreifer ihre Strategien immer schneller modifizieren.
Die damit verbundenen Herausforderungen sind durchaus beachtlich. Die Angriffe werden immer komplexer und erstrecken sich teilweise über lange Zeiträume. Die Angreifer verfügen über gestohlene Identitäten, mit denen sie sich Zugang zum IT-System der Organisation verschaffen. Über mehrere Tage wird dann ausspioniert, wie Zahlungen ausgeführt werden und wer dazu berechtigt ist. Erst nach einiger Zeit erfolgt eine erste Überweisung. Ist der Test erfolgreich, wird wenige Tage später eine zweite, größere Zahlung ausgeführt.
Solche Angriffe zu erkennen, erfordert profundes Wissen über den Umgang mit riesigen Datenmengen, eine Analyse komplexer Zusammenhänge und die Fähigkeit, sich permanent an neue Angriffsmuster anpassen zu können. Eine Möglichkeit, diesen Herausforderungen zu begegnen, ist der Aufbau eines ganzheitlichen Cybersecurity-Managementsystems, das drei Disziplinen zusammenfasst:
1. Prozessmanagement
Prozessmanagement dient der Dokumentation, Analyse und Publikation der Abläufe in einer Organisation. Dieser Ansatz ist einerseits gut, weil so allen Mitarbeitern klar wird, wie bestimmte Aktivitäten ablaufen sollen und an welchen Stellen Prüfungen oder Freigaben durchzuführen sind. Andererseits ist an dieser Stelle zu viel Transparenz auch gefährlich, weil sich Angreifer mit Hilfe gestohlener Identitäten überhaupt erst über die genauen internen Abläufe in einer Organisation informieren können.
Für ein effektives Cybersecurity-Management sind daher zwei Anpassungen in Erwägung zu ziehen. Erstens sollte überprüft werden ob wirklich alle Informationen für jeden Mitarbeiter zugänglich sein müssen. Zweitens müssen alle Prozesse noch einmal hinsichtlich möglicher Missbräuche untersucht und entsprechende Gegenmaßnahmen definiert werden.
2. Architekturmanagement
Nicht immer steht der Geschäftsprozess im Zentrum eines Angriffs. Häufig werden auch gezielt einzelne Systeme oder Geräte angegriffen. Dabei werden technische Schwachstellen ausgenutzt, um der Organisation zu schaden. Bestes Beispiel hierfür sind Distributed Denial-of-Service (DDoS)-Attacken.
Daher ist es für Organisationen von hoher Wichtigkeit, für ihre komplette System- beziehungsweise Gerätelandschaft zu dokumentieren, was sich im Einsatz befindet und welche Abhängigkeiten zwischen diesen Komponenten bestehen. So können im Krisenfall schnell Entscheidungen getroffen werden, und die eigene Infrastruktur wird mit gezielten Aktivitäten sicherer gemacht.
3. Datenmanagement
Die Auswertung der großen Datenmengen, die im Kontext von Cybersecurity anfallen, erfordert neue Konzepte. Nicht mehr das Speichern und spätere Auswerten aller relevanten Daten ist zielführend. Vielmehr müssen die relevanten Daten aus den Datenströmen herausgefiltert werden. Diese können dann mit Daten aus anderen Datenströmen oder mit Vergangenheitsdaten verknüpft werden. So lassen sich komplexe Abhängigkeiten und Entwicklungen über sehr lange Zeiträume innerhalb weniger Augenblicke erkennen. Die Reaktion auf ein kritischsn Event ist dann quasi nur noch eine Formalität. Und die Kosten für das Management der Daten werden nicht durch riesige Datenbanken in die Höhe getrieben.
Die Vorteile dieses ganzheitlichen Ansatzes liegen in den Bereichen Qualität, Kosten und Zeit. Die Qualität wird durch eine höhere Sensibilität bei den Mitarbeitern erreicht, die besser verstehen, an welchen Stellen Cyber-Angriffe möglich sind, auf was zu achten ist und wie im Falle eines Angriffs zu reagieren ist.
Auch die Transparenz hinsichtlich der Gefährdungen und der Abhängigkeiten bei Angriffen wird erhöht, was zu einem gezielteren Handeln bei der Vorbeugung und Behebung von Schäden führt. Dies wiederum hat konkrete Auswirkungen auf die Kosten. Die laufenden Kosten für das Cybersecurity-Management werden so gering wie möglich gehalten, und die Kosten bei Schäden werden hoffentlich ganz vermieden.
Der zeitliche Vorteil liegt primär im schnelleren Erkennen von Angriffen. Nicht immer lassen sich diese nämlich von vorneherein verhindern, doch durch die schnelle Reaktion können Transaktionen gegenbenenfalls rückgängig gemacht oderwenigstens Wiederholungen vermieden werden.
Wie also anfangen? Was ist der beste Weg? Zunächst sollte eine Analyse durchgeführt werden. Dabei sind Prozesse und Systeme gleichermaßen zu berücksichtigen. Auf dieser Basis wird die notwendige Transparenz hinsichtlich der kritischsten Punkte geschaffen. Danach kann im Rahmen eines Pilotprojektes die grundsätzliche Machbarkeit untersucht und die Grundlage für alle nachfolgenden Schritte gelegt werden. Schließlich können immer weitere Verfeinerungen am Cybersecurity-Management vorgenommen und weitere Angriffsmuster berücksichtigt werden.
Cybersecurity-Management ist komplex, teuer und zeitaufwändig. Organisationen haben leider keine andere Wahl, als sich mit diesem Thema auseinanderzusetzen und sich bestmöglich vorzubereiten. Vorsicht ist an dieser Stelle eindeutig besser als Nachsicht.
*Steffen Lorenz arbeitet als Principal Consultant für die Software AG Deutschland GmbH.
Be the first to comment