Unternehmen investieren immer höhere Summen in IT-Sicherheit. Dennoch garantieren selbst modernste Security-Tool keinen hundertprozentigen Schutz vor Cyber-Attacken. IT-Verantwortliche müssen deshalb ein größeres Augenmerk darauf legen, ihre Angriffsfläche zu verkleinern, laufende Angriffe frühzeitig einzudämmen und den Geschäftsbetrieb im Ernstfall schnell wiederherzustellen.
Nach wie vor steht bei vielen Unternehmen die klassische Abwehr von Cyberbedrohungen im Fokus der IT-Sicherheit, doch angesichts immer fortschrittlicherer Angriffsmethoden reicht dieser Ansatz schon lange nicht mehr aus. Schließlich starten viele Attacken so unauffällig, dass es selbst für moderne Security-Tools nichts zu entdecken und abzuwehren gibt. Die Angreifer dringen beispielsweise über Sicherheitslücken oder mithilfe gekaperter Accounts in die IT-Infrastruktur ein und schauen sich dort zunächst nur um. Vorsichtig verschaffen sie sich weitere Rechte und infiltrieren andere Systeme, ohne diese erkennbar zu beeinflussen und Alarme auszulösen. Entdeckt werden die Eindringlinge erst, wenn sie sich zu den wirklich wichtigen Systemen vorgearbeitet haben und diese verschlüsseln oder große Datenmengen abziehen.
Um solchen Bedrohungen gerecht zu werden, müssen Unternehmen ihre Security-Strategien weiterentwickeln und die Bedrohungsabwehr um Maßnahmen ergänzen, die die Angriffsfläche verkleinern, bei der Eindämmung laufender Attacken helfen und eine schnelle Wiederherstellung des Geschäftsbetriebs erlauben.
Die Angriffsfläche verkleinern
Schon einfache Maßnahmen wie das schnelle Einspielen verfügbarer Patches reduzieren die Gefahr von Angriffen deutlich. Allerdings kann die Vielzahl der Anwendungen, die Unternehmen heute im Einsatz haben, es nahezu unmöglich machen, wirklich alle Schwachstellen zeitnah abzudichten. Unternehmen müssen deshalb Prioritäten setzen und ihre beschränkten Ressourcen auf die Anwendungen und Systeme konzentrieren, die den stärksten Schutz benötigen. Welche das sind, hängt in der Regel davon ab, wie kritisch die jeweiligen Schwachstellen sind, ob sie bereits attackiert werden und welche Bedeutung die Systeme für den Geschäftsbetrieb haben.
Auch Awareness-Trainings senken das Risiko von Cyberattacken, weil die Mitarbeiter lernen, wie sie Social Engineering erkennen und verantwortungsbewusst mit Daten, Anwendungen und Systemen umgehen. Dabei sollten die Trainings aus kleineren Blöcken bestehen, damit sie sich gut in den Arbeitsalltag integrieren lassen und Mitarbeiter nicht mit zu vielen Informationen auf einmal überfordern. Gamification-Elemente halten die Motivation langfristig hoch, denn idealerweise sind die Trainings keine einmalige Angelegenheit, sondern finden fortwährend statt, um das erlernte Wissen zu festigen und sichere Arbeitsroutinen aufzubauen.
Die wohl wichtigste und gleichzeitig aufwendigste Maßnahme, wenn es darum geht, die Angriffsfläche zu verkleinern, ist jedoch die Umsetzung eines Zero-Trust-Konzepts. Ein solches schränkt den Handlungsspielraum von Cyberkriminellen erheblich ein, weil sie sich nicht mehr nahezu ungehindert innerhalb der IT-Infrastruktur bewegen können. Jeder Zugriff auf Daten, Anwendungen, Systeme oder Netzwerkbereiche setzt nämlich passende Berechtigungen voraus und wird konsequent verifiziert, sodass nur Benutzer zugreifen können, die sich erfolgreich authentifiziert haben.
Doch das lässt sich nicht mit einem einzelnen Security-Tool erreichen. Nötig ist eine Kombination verschiedener Lösungen und Ansätze, darunter eine Mikrosegmentierung des Netzwerks, um Anwendungen und Systeme voneinander zu isolieren und Mikroperimeter zu schaffen, an denen sich Zugriffe kontrollieren lassen. Ein zentrales Identity and Access Management (IAM) verwaltet dabei Benutzer und Berechtigungen über alle Anwendungen und Systeme hinweg und stellt sicher, dass User nur die Berechtigungen erhalten, die sie für ihre jeweiligen Aufgaben tatsächlich benötigen. Eine Multifaktor-Authentifizierung schließlich verhindert den Missbrauch von Passwörtern, weil für eine erfolgreiche Authentifizierung weitere Faktoren wie ein Smartphone oder USB-Token notwendig sind.
Laufende Attacken erkennen und eindämmen
Da viele Angriffe unauffällig beginnen, sind Unternehmen auch auf Lösungen für Detection and Response angewiesen, die Eindringlinge frühzeitig aufspüren können und hilfreiche Informationen zur Abwehr liefern. Die Lösungen sammeln dafür umfangreiche Status- und Aktivitätsdaten aus der gesamten IT-Infrastruktur und werten sie aus, um Zusammenhänge und Anomalien zu erkennen. Einzeln betrachtet mögen die Daten unverdächtig erscheinen, doch im Kontext anderer Daten ergibt sich ein Gesamtbild, in dem mögliche Bedrohungen sichtbar werden – lange bevor die Angreifer final zuschlagen.
Aufgrund der großen Datenmengen erfolgen die Auswertungen weitgehend maschinell, wobei insbesondere KI und Machine Learning wertvolle Dienste leisten. Die Algorithmen sind schlicht unglaublich gut darin, von normalen Aktivitäten abweichende Verhaltensweisen zu entdecken und Alarme auszulösen. Um die müssen sich dann allerdings meist Mitarbeiter kümmern, sprich: das genaue Vorgehen der Angreifer und die betroffenen Systeme analysieren und geeignete Gegenmaßnahmen einleiten. Diese Mitarbeiter benötigen umfangreiches Wissen und viel Erfahrung – entsprechend begehrt sind sie im Markt und daher nur schwer zu bekommen. Da Unternehmen gleich mehrere dieser Spezialisten brauchen, um rund um die Uhr auf mögliche Angriffe reagieren zu können, ist es oft sinnvoll, Detection and Response als Managed Service von einem Dienstleister zu beziehen.
Solche MDR-Services (Managed Detection and Response) haben zudem den Vorteil, dass die Dienstleister eine Vielzahl von Kunden betreuen und dadurch neue Angriffsmuster oder Angriffswellen oft schon aus anderen Regionen und Branchen kennen. Dadurch können sie Unternehmen helfen, proaktive Sicherheitsmaßnahmen zu ergreifen, um die Angriffe abzuwehren.
Den Geschäftsbetrieb wiederherstellen
Trotz aller Vorsichtsmaßnahmen lassen sich Angriffe jedoch nicht immer vollständig verhindern, weshalb Unternehmen sich auf den Ernstfall vorbereiten müssen. Sie benötigen Konzepte und Lösungen, die eine schnelle Wiederherstellung aller betroffenen Systeme ermöglichen, damit der Geschäftsbetrieb ohne größere Unterbrechungen fortgesetzt werden kann. Am wichtigsten sind dabei durchdachte und erprobte Notfallpläne, die sicherstellen, dass bei einem Sicherheitsvorfall jeder weiß, was zu tun ist und wer Entscheidungen fällt. Die klar definierten Abläufe und Verantwortlichkeiten verhindern, dass wertvolle Zeit mit langen Abstimmungsprozessen und der Suche nach zuständigen Mitarbeitern verschwendet wird. Regelmäßige Tests der Pläne sind notwendig, damit die Mitarbeiter Erfahrung sammeln und im Ernstfall routiniert handeln können. Zugleich zeigen die Tests, ob die Pläne den Anforderungen noch genügen oder einer Anpassung bedürfen – etwa, weil neue Systeme hinzugekommen sind oder sich Zuständigkeiten verändert haben.
Aus technologischer Sicht ist eine moderne Data Protection der Schlüssel für eine schnelle Wiederaufnahme des Geschäftsbetriebs. Diese muss über klassische Backups und Daten-Replikationen hinausgehen, da Cyberkriminelle um den Wert einer guten Datensicherung wissen und deshalb gezielt versuchen, diese unbrauchbar zu machen. Schutz bieten Speichersysteme mit sogenanntem Retention Lock, die Manipulationen an Daten unterbinden, sodass sich Backups sicher aufbewahren lassen. Ergänzend dazu können Kopien besonders wichtiger Daten in einem Datentresor gelagert werden, wo sie durch eine Abschottung vom Rest des Netzwerks unbefugten Zugriffen entzogen sind und im Ernstfall für eine schnelle Wiederherstellung bereitstehen. Im Grunde dürfen Unternehmen ihre Cybersecurity nie als abgeschlossenen Prozess betrachten, sondern müssen sie kontinuierlich auf den Prüfstand stellen und verbessern. Denn zum einen verfeinern nicht nur Cyberkriminelle ihre Methoden oder Werkzeuge kontinuierlich, um effektiver zuschlagen zu können, und zum anderen entwickeln sich auch Sicherheitskonzepte und -lösungen stetig weiter. In so einem dynamischen Umfeld bedeutet Stillstand schlicht Rückschritt