Wann immer ein größerer Cyberangriff passiert, stellen sich zwei Fragen. Hätte er verhindert werden können, und was hat das Opfer des Angriffs getan, um den Schaden zu minimieren? [...]
In einer Welt, in der sich selbst die am besten ausgerüsteten Unternehmen eher fragen, wann sie angegriffen werden, als ob überhaupt, dürfen Sicherheitsstrategien keine Lücken haben, die sie anfällig für schädliche Angriffe machen.
In einer kürzlich von Elastic durchgeführten Umfrage gab jedoch nur ein Drittel der befragten IT-Führungskräfte an, dass ihre Sicherheitsstrategie eine Mischung aus Prävention, Erkennung von Vorfällen und Lösungsstrategien ist.
Es ist fast unmöglich, einen Cyberangriff zu vermeiden. Viele Bedrohungsakteure sind gut ausgestattet, qualifiziert und motiviert. Das Angriffsrisiko lässt sich aber verringern, indem man präventive Maßnahmen einführt und eine mehrschichtige Strategie verfolgt, an denen Angreifer sich die Zähne ausbeißen. Darüber hinaus sind die meisten Cyber-Kriminellen finanziell motiviert – sind die Hürden zu groß und die Sicherheitsmaßnahmen zu stark, lohnt sich der Angriff nicht.
Die Auswirkungen eines Cyberangriffs können verheerend sein. Als beispielsweise Mondelez 2017 von dem Ransomware-Angriff NotPetya betroffen war, musste das Unternehmen in einem Quartal mehr als 100 Millionen US-Dollar abschreiben und eine große Akquisition verschieben.
Bei einer holistischen (ganzheitlichen) Sicherheitspraxis sind Pre-Boom (Vorbeugung) und Post-Boom (Erkennung und Behebung) gleich wichtig. Daher sollten Security-Strategien beide Bereiche abdecken. In diesem Artikel möchte ich auf etwas eingehen, das auf der Pre-Boom-Seite oft verbessert werden kann.
Organisationen leben nicht mehr in einer Welt des Einrichtens und Vergessens
Netzwerke und Anwendungen ändern sich, da Service Provider laufend neue Funktionen sowie Konfigurationsoptionen hinzufügen. Infolgedessen können Unternehmen Opfer der Folgen einer „Konfigurationsabweichung“ werden, da neue Einstellungen neue Sicherheitsoptionen bieten und alte überflüssig werden oder, schlimmer noch, für Angriffe anfällig sind.
Auch On-Premise-Systeme können die Auswirkungen zu spüren bekommen, da Patches und Software-Updates neue Optionen hinzufügen, um den Systemzugang und die Daten besser zu schützen.
Laut Gartner werden 99 Prozent der Sicherheitsausfälle in der Cloud die direkte Folge von Fehlkonfigurationen sein.
Ein Teil davon ist auf die Komplexität der Optionen zurückzuführen, da selbst Technologieexperten die Nuancen und Wechselwirkungen der verschiedenen Konfigurationselemente nur schwer nachvollziehen können. Eine weitere Herausforderung besteht darin, dass neue Dienste und Optionen auf den Standardeinstellungen belassen werden, anstatt sie korrekt zu konfigurieren.
Dies gilt auch für die On-Premise-Systeme: Es ist von entscheidender Bedeutung, dass Unternehmen über ein robustes Patching- und Update-System für alle Endgeräte verfügen – dazu gehören vernetzte Drucker, Beleuchtungssysteme und IoT-Geräte – um sicherzustellen, dass diese kein Einfallstor werden.
Viele Unternehmen wissen nicht, wo ihre wichtigsten Informationen sind
Die zunehmende Verbreitung von Software, Plattformen und Infrastrukturdiensten über die Cloud hat zu einer erheblichen Ausbreitung der Speicherorte von Unternehmensdaten geführt. Die Zeiten, in denen die wichtigsten Daten auf einem einzigen Server oder in einem Daten-Array in einem lokal gehosteten Rechenzentrum gespeichert waren, sind längst vorbei – Organisationen verlassen sich mehr denn je auf Cloud-Dienste. Da das Risikomanagement von der Wahrscheinlichkeit und den Auswirkungen eines Vorfalls abhängt, erhöht jeder neue Datenspeicherort das Risiko einer Sicherheitsverletzung.
Unternehmen, Ministerien und Behörden, aber auch KMU müssen ihre kritischen Daten identifizieren, ein Inventar oder Register erstellen und pflegen und sicherstellen, dass sie über angemessene Schutzmaßnahmen verfügen.
Da Organisationen heute vielen verschiedenen Vorschriften unterliegen, zum Beispiel der Datenschutz-Grundverordnung, ist es entscheidend zu wissen, über welche Daten sie verfügen, und gewährleisten, dass sie sowohl präventive als auch reaktive Pläne zu deren Schutz haben.
Unterschätzte Auswirkungen von Cyberangriffen
Ein Cyberangriff hat größere Auswirkungen als nur die Störung des Systemzugangs. So kann ein Ransomware-Angriff, der 1000 Systeme betrifft, beispielsweise die Zahlung eines Lösegelds für den Zugang zu einem Entschlüsselungsschlüssel nach sich ziehen.
Doch die Anwendung 1000 verschiedener Schlüssel auf 1000 Rechnern treibt die Kosten für die Behebung des Problems erheblich in die Höhe. In vielen Fällen exfiltrieren Ransomware-Angreifer eine Kopie dieser Daten, bevor sie sie verschlüsseln, und drohen damit, sie im Dark Web oder in der Öffentlichkeit zu veröffentlichen, um einen Zahlungsanreiz zu schaffen.
Eine kontinuierliche Überwachung ist unerlässlich. Laut Verizon Data Breach Investigations Report 2022 liegt die durchschnittliche Verweilzeit – die Zeit zwischen dem Beginn eines Angriffs und seiner Entdeckung – seit mehreren Jahren zwischen 85 und 100 Tagen. Dies kann zwar als Zeichen des Scheiterns gewertet werden, ermöglicht aber auch, das Risiko zu verringern, bevor ein Angriff größere Ausmaße annimmt.
Eine wirksame Sicherheitsstrategie ist vollumfassend. Die Verhinderung eines Angriffs beginnt damit, dass Organisationen ihre wertvollsten Ressourcen kennen, wissen, wo sie gespeichert sind, und geeignete Maßnahmen ergreifen, um das Risiko eines Angriffs zu reduzieren. Dazu gehört auch die Festlegung von Richtlinien, die sicherstellen, dass Konfigurationen überwacht werden, um zu gewährleisten, dass neue Dienste konform sind und dass neue Sicherheitsoptionen erkannt und korrekt konfiguriert werden.
Jedes Unternehmen muss sich überlegen, wie es sich im Falle eines Angriffs verhält. Das bedeutet, dass alles – vom System über den Zugang bis hin zur Netzwerktrennung – so gestaltet werden muss, dass sich der Handlungsradius eines Cyber-Kriminellen minimiert, falls er die Verteidigungsmaßnahmen umgehen kann.
Organisationen sollten darüber hinaus Verfahren implementieren, damit sie wissen, wen sie im Falle eines Angriffs benachrichtigen und welche Informationen sie weitergeben müssen, welche Fristen für die Weitergabe von Informationen gelten und wie sie nach außen kommunizieren.
*Thorben Jändling ist Senior Solutions Architect (EMEA) bei der Global Security Specialist Group, Elastic
Be the first to comment