Es gibt in der Cybersecurity keine absoluten Wahrheiten. Dennoch: Es ist keine Frage ob, sondern wann ein Unternehmen Opfer eines Angriffs wird.
Aus diesem Grund ist es ratsam, bei allen Sicherheitsanstrengungen und -initiativen davon auszugehen, dass es Angreifer in die eigenen Systeme geschafft haben. Auf diesen Fall muss man sich vorbereiten und entsprechende Pläne erstellen. Denn auch wenn sich viele dessen nicht bewusst sind: Vorbei sind die Zeiten in denen Unternehmen sagen konnten, dass sie nicht interessant für Cyberkriminelle seien. Heutzutage geht es den Angreifern mehr denn je darum, Daten zu verschlüsseln, um den Betrieb zum Erliegen zu bringen. Waren bis vor kurzem noch fast ausschließlich Unternehmen in regulierten Märkten, zum Beispiel die Finanzbranche oder am DAX notierte Unternehmen das Ziel einer Attacke, ändert sich dies gerade: Jedes Unternehmen verfügt über sensible und wertvolle Daten. Daraus ergeben sich zwei Konsequenzen: Entweder sind Angreifer an diesen Daten interessiert oder sie gehen davon aus, dass Unternehmen bereit sind, für die Entschlüsselung zu zahlen.
Die Cloud wird immer beliebter
Die Zeichen der Zeit stehen längst auf Cloud-Nutzung – mit all ihren Vorteilen und potenziellen Nachteilen oder Gefahren. Zur Tendenz, Dateien übermäßig stark zu teilen, kommt noch ein weiterer Punkt: Die meisten Mitarbeiter gehen davon aus, dass zum Beispiel eine Kollaborationssoftware, die sie täglich nutzen, sicher ist. Bis zu einem gewissen Punkt stimmt das sogar: SaaS-Anbieter schützen ihre Infrastruktur und die angebotene Lösungen hervorragend. Gemäß dem Prinzip der geteilten Verantwortung sind die Unternehmen jedoch unmissverständlich für die Dateien, die in diesen SaaS-Anwendungen gespeichert werden, verantwortlich und können sich bei einem Verlust oder Missbrauch keinesfallsauf den Anbieter berufen.
Für die Nutzer erscheint die Nutzung verschiedener Cloud-Dienste durch die Integration zwischen Anwendungen und Plattformen mittels API-Verbindungen oft nahtlos. Die Verwaltung der SaaS- und IaaS-Plattformen sowie die einzelnen Sicherheitskontrollen und -warnungen für jede dieser Plattformen erfolgen jedoch meist isoliert. Dies verschafft Angreifern einen Vorteil: Eine Warnung über verdächtige Aktivitäten auf einer Plattform geht im Rauschen des Security-Alltags oft unter, da der nötige Kontext fehlt. Nur wenn man in der Lage ist, einzelne Warnungen über mehrere SaaS-Anwendungen hinweg zu verbinden, lassen sich Angriffe identifizieren. Deshalb ist ein ganzheitlicher Überblick über die verschiedenen Plattformen essenziell.
Jedes Unternehmen ist für Cyberkriminelle interessant!
Es gilt, die Auswirkungen eines kompromittierten Kontos möglichst stark zu reduzieren. Ist man in der Lage, zu weit gefasste Zugriffsrechte zu erkennen und automatisiert zu minimieren, reduziert sich die Anfälligkeit für einen Ransomware-Angriff deutlich. Kommt dann noch die intelligente Analyse des Nutzerverhaltens hinzu, die auffälliges Verhalten wie das reihenweise öffnen, Kopieren oder Verschlüsseln von Daten erkennt, lassen sich Angriffe nahezu aller Art frühzeitig erkennen und automatisiert stoppen – ganz gleich, ob On-Premises oder in der Cloud. Angreifer nutzen ihr Wissen hinsichtlich der Überberechtigungen und den üblichen Ansätzen der Security-Lösungen (User- oder Rollen-basierte Zugangsberechtigungen) aus. Nur wer die Daten in den Fokus stellt und Berechtigungen managt, wird den Angreifern einen Schritt voraus sein, da man auf diese Weise sofort untypische Datennutzung erkennen und entsprechende Abwehrmaßnahmen einleiten kann.