Dominik Bredel, Associate Director, Security und Resiliency Practice Leader bei Kyndryl, weiß: Um sich effektiv gegen Cyber-Angriffe rüsten und eine solide Cyber-Resilienz-Strategie entwickeln zu können, ist eine gute Vorbereitung alles. Dazu gehören ein antizipierendes Mindset, eine solide Wissensgrundlage unter den Mitarbeitenden sowie eine technologische Ausstattung, die auf dem neuesten Stand und auf eine langfristige Resilienz ausgerichtet ist.
In den kommenden Monaten heißt es für die meisten wieder: Sommer, Sonne, Urlaubszeit. Was eigentlich für Entspannung vom stressigen Alltag sorgen soll, treibt IT- und Security-Experten die Schweißperlen auf die Stirn – und das nicht nur wegen der anhaltenden Hitze.
Cyber-Kriminelle wissen, dass die Wahrscheinlichkeit unterbesetzter IT-Abteilungen an Wochenenden und während Ferienzeiten besonders hoch ist. Weniger Mitarbeitende müssen die täglich anfallenden Tätigkeiten stemmen, die sich normalerweise auf ein vollbesetztes Team verteilen. Erschwerend kommt hinzu, dass moderne IT-Landschaften aufgrund der steigenden Anzahl verschiedener Netzwerke, Systeme und Anwendungen sowie verteilter Datensilos immer komplexer werden. Bedrohungen frühzeitig zu erkennen und effektiv auf sie zu reagieren, wird für IT-Mitarbeitende eine immer größere Herausforderung.
Zwar ist die schnelle Abwehr eines akuten Sicherheitsvorfalls nach wie vor das A und O, um den potenziellen Schaden zu minimieren, aber dazu braucht es inzwischen eine andere Grundeinstellung. Es geht nicht mehr nur darum, abzuwarten und zu reagieren. Denn Hacking ist eine menschliche Aktivität, die auf menschliches Verhalten abzielt und endliche Datenverarbeitung einsetzt. Deshalb sollten Unternehmen sowohl ihre Systeme und Prozesse als auch ihre Belegschaft auf das Unbekannte und Unausweichliche vorbereiten.
1. Antizipation statt Reaktion
Cyberkriminelle Akteure scheuen sich nicht vor den Konsequenzen, die ihr Handeln nach sich zieht. Dabei gehen sie sogar immer aggressiver vor, nehmen jede Branche unter Beschuss und entwickeln ihre Angriffsmethoden laufend weiter. Bei solch einer komplexen Bedrohungslandschaft bleibt vielen Unternehmen zu hoffen, dass sie entweder verschont bleiben oder sie die Gefahr rechtzeitig erkennen und der Schaden gering ausfällt.
Cyber-Resilienz und der Umgang mit Cyber-Bedrohungen sollten jedoch nicht allein auf Reaktion und Hoffnung aufbauen. Der Schlüssel für eine funktionierende Cyber-Resilienz-Strategie heißt Antizipation. Unternehmen müssen sich darüber klar werden, dass Cyber-Angriffe mittlerweile zum Tagesgeschäft gehören und damit unumgänglich sind. Während wir den technologischen Fortschritt weitertreiben, halten auch Cyber-Kriminelle ihre Füße nicht still, sondern versuchen immer einen Schritt voraus zu sein – zu groß ist die verlockende Aussicht auf Profit.
2. Mitarbeitende ins Boot holen und Awareness schaffen
Sobald Unternehmen diese neue Erwartungshaltung etabliert haben und quasi jederzeit mit einem Angriff rechnen, müssen sie im nächsten Schritt dafür sorgen, dass die Beschäftigten ihren Beitrag zu einem resilienten Geschäftsbetrieb leisten können. Mitarbeitende sollten unbedingt wissen, wie sie Angriffe erkennen, was in dringenden Verdachtsfällen zu tun ist und wie sie zu handeln haben, sollten sie in die Falle tappen.
Der beste Weg, um das Team effektiv vorzubereiten, führt über regelmäßige, interaktive und praktische Security-Awareness-Schulungen. Hier können Unternehmen ihre Teams mit aus dem Leben gegriffenen Szenarien für verschiedene Bedrohungsformen sensibilisieren. Auch die Bundesregierung weiß, dass Sensibilisierung und Wissen äußerst wirksame Werkzeuge im Kampf gegen cyberkriminelle Machenschaften sind. So spielen über 50 Bundesbehörden und Verwaltungseinrichtungen unter dem Namen Lükex 23 einen fingierten Cyber-Angriff durch. Was im September in einer großangelegten Krisenübung stattfindet, sollten sich Unternehmen auch in ihrem kleineren Rahmen zu Herzen nehmen.
3. Das technologische Fundament für eine starke Cyber-Resilienz
Mindset und Awareness reichen allerdings nicht aus, um sich der modernen Cyber-Crime-Landschaft zu stellen. Angriffen, die auf technologischer Ebene stattfinden, muss man mit technologischen Mitteln begegnen. Doch wo früher eine zentrale IT-Landschaft vorherrschte, die Unternehmen mit einem Schutzwall aus Sicherheitslösungen verteidigt haben, befindet sich heute ein stark verteiltes Geflecht aus lokalen Rechenzentren, Hybrid- oder Multi-Cloud-Umgebungen sowie Endgeräten, die nicht Teil der unmittelbaren Unternehmensperipherie sind. Dadurch hat sich die Angriffsfläche maßgeblich vergrößert – das Burg-und-Graben-Sicherheitsmodell greift in dieser „grenzenlosen” digitalen Geschäftswelt nicht mehr. Vielmehr ist Cybersicherheit ein Katz-und-Maus-Spiel geworden, das nie endet, auch darum rückt die Cyber-Resilienz in den Vordergrund.
Zur Cyber-Resilienz-Ausstattung gehört weit mehr als Lösungen für Endpoint Detection and Response oder Security Information and Event Management, die das Sicherheitsteam in erster Linie auf den eintretenden Ernstfall aufmerksam machen. Daneben sind Backup- und Recovery-Lösungen inzwischen obligatorisch; sie helfen Unternehmen dabei, ihren Betrieb nach einem Angriff so schnell und unbeschadet wie möglich wiederaufzunehmen. Ganz im Sinne der Antizipation sollten Unternehmen Prozesse und Lösungen implementieren, mit denen sich mögliche Risiken, Ausfälle und Auswirkungen von vornherein minimieren lassen. Das erreichen sie unter anderem durch Zero Trust – ein Konzept, das auf Antizipation aufbaut. Jedes Gerät, das sich in das Netzwerk einloggt, stellt eine Gefahr dar, weshalb es nur eingeschränkten Zugang erhält und sich jedes Mal explizit verifizieren muss.
Für viele Unternehmen – besonders jene, denen es nicht nur während der Ferien an Sicherheitspersonal und anderen Ressourcen mangelt – kann das Management von Cyber-Sicherheit und den technologischen Komponenten zur Herausforderung werden. Daher bietet es sich an, mit einem Managed Security Service Provider zusammenzuarbeiten. Im Rahmen eines integrierten Cyber-Resilienz-Ansatzes übernimmt dieser verschiedene Aufgaben: Ermittlung des Resilienz-Reifegrads, Aufbau einer auf Transparenz basierenden Zero-Trust-Architektur, Erkennung von und Reaktion auf Bedrohungen sowie System- und Datenwiederherstellung.
Schließlich sollen sich Unternehmen – egal ob klein, mittel oder groß – das ganze Jahr über gegen alles gewappnet fühlen, was ihnen die Cyber-Crime-Szene entgegenbringt.