Nicht erst seit der Pandemie oder dem Ukraine-Krieg steigen die Cyber-Bedrohungen für Unternehmen rasant. Wie diese sich besser schützen können und was sie beachten sollten, erklärt Bianca Hasenkamm, IT-Security-Expertin bei G DATA CyberDefense. [...]
Das Thema Security hat bereits während der Pandemie aufgrund der neuen Arbeitsmöglichkeiten an Wichtigkeit gewonnen. Wie sehr ist die Gefahr von Cyber-Attacken durch den Ukraine-Krieg gestiegen? Was sind Ihrer Meinung nach die größten Bedrohungen und von wem gehen sie aus?
Die am häufigsten beschriebenen Szenarien aus dem Krisengebiet sind DDoS-Angriffe, die bestimmte Systeme gezielt überlasten sollen. Ziel sind hier in erster Linie kritische Infrastrukturen. Das bedeutet jedoch nicht, dass für andere Geschäftszweige keine Gefahr besteht: Einzelne Unternehmen können zu einem Zufallsopfer werden, wenn ein Angriff aus dem Ruder läuft oder wenn einfach nur die Zerstörung von Daten das Ziel sind. Zu diesem Zweck kamen oft schon sogenannte Wiper zum Einsatz, die keine andere Funktion haben, als so viele Daten zu löschen wie möglich.
Diese Frage nach den Angreifern ist schwerer zu beantworten. Das liegt daran, dass es keine klar definierten Fronten gibt. In den letzten Wochen haben zahlreiche freiwillige „Online-Guerillas“ aus allen Teilen der Welt damit begonnen, sich mit in das Geschehen einzubringen, um die Ukraine oder Russland zu unterstützen. Diese sind nur sehr lose organisiert, und deren Aktivitäten sind eher unkoordiniert. Auch das Erfahrungslevel ist sehr unterschiedlich. Es ist daher gegenwärtig kaum möglich, klare Aussagen über den Ursprung von Angriffen zu treffen.
Wie können sich Unternehmen nun schützen? Müssen sie ihre Security-Strategie grundlegend ändern?
Insbesondere für Unternehmen der kritischen Infrastruktur gilt es, bei den Abwehrmaßnahmen nicht nachzulassen und Schutzmaßnahmen auszubauen, wo es nötig ist. Potenzielle Opfer haben den Nachteil, dass sie zu jeder Zeit schnell auf alle denkbaren Bedrohungen reagieren müssen, während es dem Angreifer reicht, einmal Glück zu haben. Das gilt es auszuschließen. Im Umfeld des Ukraine-Kriegs befinden wir uns in einer sehr speziellen Situation: Es handelt sich um eine Vielzahl von Akteuren, die nicht eindeutig identifizierbar sind, was dazu führt, dass auch die Richtung und Quelle des Angriffs unvorhersehbar sind. Selbst ernannte Cyber-Krieger halten sich noch weniger an Regeln als offizielle Kriegsparteien, deshalb ist das Lagebild asymmetrisch und hochdynamisch. Noch mehr als für Unternehmen gilt es für Betreiber kritischer Infrastrukturen, Sicherheitslücken zu schließen, Systeme aktuell zu halten und für den Fall der Fälle auch mit Notfallplänen vorbereitet zu sein.
Wie soll eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen?
Es gelten weiterhin die seit Jahren immer wieder dringend empfohlenen Maßnahmen und Empfehlungen zur Verbesserung der Sicherheit. Systeme, die zum Internet hin exponiert sind, bieten eine potenzielle Angriffsfläche. Daher muss sorgfältig geprüft werden, ob ein bestimmtes System generell aus dem Internet erreichbar sein muss. Wenn es keinen triftigen Grund gibt, warum es über das Internet erreichbar sein muss, dann sollte es auch nicht auf diese Weise exponiert werden. Zudem gelten die üblichen Vorsichtsmaßnahmen für Mitarbeitende im Umgang mit Mails und Dateianhängen. Hier kann die Belegschaft zu einem kritischen Bestandteil der Sicherheitsstrategie werden. Wer Mitarbeitende entsprechend schult, hat hier einen Vorteil. Angriffe auf businesskritische Anwendungen haben gezeigt, dass allein die Geschwindigkeit, mit der Patches installiert werden, den entscheidenden Unterschied zwischen einem verhinderten Angriff und einem ausgewachsenen Sicherheitsvorfall machen kann. Auch eine installierte Schutzlösung kann nur so gut sein, wie es ihr erlaubt ist. Wer beispielsweise einzelne proaktive Komponenten gezielt deaktiviert, nimmt sich selbst ohne Not die Chance, Angriffe rechtzeitig zu erkennen und zu unterbinden.
Welche Punkte müssen dabei besonders hervorgehoben werden?
Grundsätzlich gilt es, auch in der aktuellen IT-Sicherheitslage kühlen Kopf zu bewahren und die beschriebenen Maßnahmen umzusetzen bzw. ihre Umsetzung zu überprüfen und rasch abzuschließen. Hektischer Aktionismus ist hier nicht zielführend. Wer in dieser Situation den Anbieter seiner Sicherheits-Software wechseln will, dem sei empfohlen, dies erst zu tun, wenn das Ersatzsystem bereitsteht. Ohne Schutz dazustehen, selbst wenn es sich nur um ein bis zwei Tage handelt, ist keine Option. Außerdem sollten Sicherheitsverantwortliche sich über neueste Entwicklungen auf dem Laufenden zu halten, um etwaige neue Faktoren mit in ihre Überlegungen einbeziehen zu können. Die Weltlage ist nicht nur geopolitisch dynamisch, sondern auch in punkto IT-Sicherheit.
Wie haben sich die Security-Anforderungen in den letzten Jahren verändert?
Unter dem Strich hat sich an den Empfehlungen zur Verbesserung der Sicherheit nichts geändert. Diese sind auch vor dem Hintergrund des Ukraine-Krieges nicht neu oder anders zu bewerten. Einen Notfallplan zu haben und regelmäßig Datensicherungen zu erstellen, bleibt auch weiterhin eine gute Idee. Auch der Rat, sich für den IT-Notfall externe Expertise einzukaufen, behält seine Gültigkeit. Fakt ist, dass der Angriff Russlands auf die Ukraine an vielen Stellen ein Weckruf und sicher ein Katalysator für viele Veränderungen war. Doch wer nun aufgeschreckt zu der Erkenntnis kommt, dass es an der Zeit ist, das Thema IT-Sicherheit ernsthaft anzugehen, wird eine Menge aufzuholen haben – vor allem, wenn das Thema erst jetzt an subjektiver Dringlichkeit gewonnen hat.
Ist die Vorstandsebene auf dem Laufenden bezüglich der Bedrohungen und ist sie sich der Risiken bewusst? Wie wichtig wäre das?
IT-Sicherheit ist natürlich Management-Aufgabe. Es liegt in der Hand der Führungskräfte, die Strategie der IT-Sicherheit festzulegen und die Bedeutung dieses Themas auch bei allen Mitarbeitern zu verankern. Dafür müssen sie auch entsprechendes Budget bereitstellen, um etwa IT-Notfallpläne oder eine Backup-Strategie zu definieren.
Die Realität sieht aber auch im Jahr 2022 immer noch anders aus: Viele Geschäftsführer oder Manager nehmen die IT-Sicherheit des eigenen Unternehmens nicht ernst. Eine oft gehörte Antwort im Mittelstand lautet: „Mein Unternehmen ist für Kriminelle kein attraktives Ziel.“ Diese Aussage ist aber nicht nur falsch, sondern auch gefährlich. Denn die Entscheidung, ob ein Unternehmen ein lohnendes Ziel ist, treffen die Angreifer und nicht die Verteidiger. Schließlich arbeiten auch Cyberkriminelle nach ökonomischen Prinzipien und wollen mit minimalem Aufwand maximalen Profit erzielen. Diese Denkweise gilt jedoch nur begrenzt für politisch motivierte Angreifer – diese greifen Ziele auch dann an, wenn es sich wirtschaftlich eher nicht lohnt.
Be the first to comment