Hacker:innen sind zu einem scheinbar omnipräsenten Problem geworden. Laut einer Bitkom-Analyse sind inzwischen neun von zehn Unternehmen in Deutschland von Cyberangriffen betroffen. Der Schaden, der dadurch entsteht, belief sich allein 2022 auf satte 203 Milliarden Euro.
Die Gefahren liegen also klar auf der Hand. Viel weniger eindeutig ist jedoch, wie Unternehmen aktuell mit diesen umgehen. Unsere Analysen haben ergeben, dass im Schnitt 400 neue Schwachstellen pro Woche hinzukommen – trotzdem scheitern viele Unternehmen noch immer an der Frage, wo sie überhaupt ansetzen sollen. Nicht nur aufgrund der schieren Menge scheinen Sicherheitsdaten kaum bezwingbar, auch erschweren es komplexe Expert:innen-Tools vor allem kleinen und mittelgroßen Unternehmen, sich ihrer Cybersecurity zu stellen.
Um etwas mehr Übersichtlichkeit zu schaffen, hat Aleksander Groshev, CEO und Mitgründer von Autobahn Security, fünf Phasen definiert. Sie geben Unternehmen einerseits Aufschluss darüber, wo sie mit ihren aktuellen Initiativen stehen, und zeigen auf, welche Maßnahmen tatsächlich nötig sind, um sensible Daten ausreichend vor Hacker:innen zu schützen.
Phase 1: Aller Anfang ist schwer
Laut einer Studie der Gothaer-Versicherung sieht fast die Hälfte der deutschen Mittelständler in Cyberangriffen das größte Risiko für ihren wirtschaftlichen Erfolg. Wie sich herausstellt, besteht aber ausgerechnet bei ihnen der größte Nachholbedarf. Das Problem: Sie stecken gleich mehrfach in einer Zwickmühle. Anders als Startups, die zu Beginn nur wenig Strahlkraft auf Cyber-Kriminelle ausüben, verfügen mittelständische Unternehmen über große Datenpools, die sie meist über Jahrzehnte hinweg angesammelt haben. Gleichzeitig liegt die Last ihrer technologischen Altsysteme schwer auf ihren Schultern – auch, weil sie in der Regel nicht über eigene Sicherheitsexpert:innen und damit auch nicht über das notwendige Fachwissen verfügen.
Den Überblick über große Datenmengen zu behalten, die in teilweise verstaubten und verschachtelt gewachsenen Silos gespeichert sind, gleicht deshalb einer Mammutaufgabe, der sich viele nicht gewachsen fühlen. Folglich wurde die Cyber-Sicherheit im Mittelstand oft aufgeschoben – solange, bis das jeweilige Unternehmen tatsächlich Opfer einer Attacke wurde. Die Analyse, welche Angriffsfläche genau geboten wird, ist jedoch der erste essenzielle Schritt, um zu verstehen, welche Systeme genau geschützt, überwacht und gewartet werden müssen.
Phase 2: Das Scanning: Welche Schwachstellen gibt es?
Scanning-Tools sind eine schnelle und kostengünstige Option, um bestehende Schwachstellen vollautomatisch aufzudecken. Zwar tut sich der Mittelstand mit ihrem Einsatz noch immer schwer, doch in vielen anderen Branchen sind Schwachstellen-Scans bereits weit verbreitet und stellen ein zentrales Element der Sicherheitsstrategie dar. Die Tools allein bieten allerdings noch keinen ausreichenden Schutz. Ganz im Gegenteil sogar: Da häufig hunderttausende Sicherheitslücken aufgedeckt werden, besteht die Gefahr, dass die schiere Informationsflut die IT-Teams überfordern, anstatt wirklich weiterzuhelfen.
Was sollen sie auch mit der Information, dass aktuell 523.898 potenziell schädliche Schwachstellen bestehen, anfangen? Diese manuell zu analysieren, um sie anschließend zu beheben, ist nahezu unmöglich. Daher ist es wichtig, zu verstehen, dass Scanning-Tools nur einen ersten Einblick in die Sicherheitslage geben können. Wie kritisch sie tatsächlich ist, verraten die Scanner jedoch nicht.
Phase 3: Gruppierung und Priorisierung für realistische Einblicke
Eine Vielzahl der Schwachstellen, die von Scanning-Tools gefunden werden, sind artverwandt oder können auf ähnliche Gründe zurückgeführt werden. Deshalb besteht der nächste logische Schritt in der Gruppierung verwandter Sicherheitslücken. Auch werden während des Scanning-Prozesses viele Schwachstellen fälschlicherweise als zu hoch eingestuft. So gibt es beispielsweise Einfallstore, die nur potenziell schädlich sind, von Hacker:innen aber praktisch nicht ausgenutzt werden können. Oft werden auch vorhandene Sicherheitsmaßnahmen wie der Einsatz einer Firewall, die in letzter Instanz greift, nicht berücksichtigt.
Beide genannten Gründe machen es notwendig, gefundene Schwachstellen neu zu bewerten und zu priorisieren. So bleiben oft zum Beispiel von 1.000 Schwachstellen, die zunächst als hoch oder kritisch eingestuft wurden, am Ende nur 30 relevante übrig. Dadurch zeichnet sich für Unternehmen und ihre Cybersecurity-Verantwortlichen ein realistischeres Bild der Sicherheitslage, die aufgrund der tatsächlichen Zahl kritischer Schwachstellen endlich händelbar wird.
Phase 4: Behebung kritischer Schwachstellen
Eine weitere gute Nachricht lautet: Nicht alle identifizierten Sicherheitslücken müssen behoben werden. Stattdessen reicht es völlig aus, sich auf jene Schwachstellen zu konzentrieren, die während der vorigen Phase als hoch oder kritisch eingestuft wurden. Dadurch werden nicht nur finanzielle und personelle Ressourcen eingespart – die unternehmenseigenen Strukturen vor feindlichen Angriffen abzusichern, wird endlich zu einer Aufgabe, die sich tatsächlich bewältigen lässt. Doch woher wissen die Verantwortlichen, welche Maßnahmen sie ergreifen müssen?
Gerade kleinere oder mittelständische Unternehmen verfügen nur selten über eigene Security-Expert:innen. Um den bestehenden IT-Teams die notwendige Unterstützung zu bieten, lohnt es sich, auf externe Hilfe zurückzugreifen. Leicht bedienbare Plattformen, die aufzeigen, auf welche Weise sich Kernursachen von Schwachstellen beheben lassen, können auch von IT-Mitarbeiter:innen ohne spezielles Security-Knowhow bedient werden. So wird vermieden, dass diese lange selbst die passende Lösung recherchieren müssen. Stattdessen können sie direkt in die Umsetzung gehen und kritische Schwachstellen durch verständliche Anleitungen schließen.
Phase 5: Wie sensibel sind die Erkennungsmechanismen wirklich?
Je größer ein Unternehmen ist und je mehr sensible Daten es verwaltet, desto wichtiger wird es, sie vor dem schädlichen Einfluss von Hacker:innen zu schützen. Tech-Giganten wie Google und Microsoft investieren deshalb zweistellige Milliardenbeträge in ihre Cyber-Sicherheit und IBM kündigte an, 150.000 neue Fachkräfte in diesem Bereich ausbilden zu wollen. Bei der Annahme, dass große finanzielle Summen automatisch zu sicheren Systemen führen, handelt es sich allerdings um einen Trugschluss.
Ein prominentes Beispiel hierfür liefert das US-Unternehmen Cloudflare, das im vergangenen Jahr Opfer eines 0ktapus-Angriffs wurde. Mehrere Mitarbeiter:innen erhielten von einer vermeintlichen IT-Abteilung die Aufforderung, auf einer verlinkten Website ihr Passwort zu ändern. Da diese der unternehmenseigenen IT-Plattform zum Verwechseln ähnlich sah, wurde die Attacke nicht als betrügerisch eingestuft, was dazu führte, dass einige ihre Zugangsdaten bedenkenlos weitergaben. Um die tatsächliche Sensibilität auf die Probe zu stellen, ist es deshalb wichtig, Cyber-Angriffe in regelmäßigen Abständen zu simulieren. So können Unternehmen, die bereits viel in ihre Cybersecurity investieren, sicherstellen, dass ergriffene Maßnahmen die nötige Effizienz aufweisen.
Im Schnitt beläuft sich die Schadenssumme eines Cyber-Angriffs auf knapp 200.000 Euro – Geld, das auch der Mittelstand sich sparen kann. Dass die Summe der vielen Teilschritte, aus denen sich der Cybersecurity-Begriff zusammensetzt, im ersten Moment erschlagend wirkt, ist verständlich. Auf die einzelnen Phasen heruntergebrochen, ist es aber auch ohne eigene Security-Expert:innen möglich, sich gegen die Gefahr, die von Hacker:innen ausgeht, zu schützen – und es ist nie zu spät, aktiv zu werden.