Im Jahr 2024 werden die Ausgaben für IT-Sicherheit in Deutschland laut Bitkom erstmals die Grenze von 10 Milliarden Euro überschreiten – ein Plus von rund 13 Prozent gegenüber dem Vorjahr.
Unternehmen und Behörden haben die dringende Notwendigkeit erkannt, Maßnahmen zum Schutz vor Cyberattacken einzuleiten, die immer automatisierter, schneller und ausgefeilter ausfallen. Um sich effektiv gegen mögliche Bedrohungsszenarien aufzustellen, müssen die IT-Verantwortlichen und Fachabteilungen der Unternehmen zusammenarbeiten – und gemeinsam geeignete Schutzmaßnahmen finden.
Immer mehr Unternehmen sind von Cyberattacken betroffen. Das belegt auch der diesjährige CIO-Report von Logicalis: 83 Prozent der CIOs gaben an, dass ihr Unternehmen Opfer eines Cyberangriffs wurde. Doch obwohl Firmen immer mehr in ihre IT-Sicherheit investieren, sind sie vor Angriffen nicht gefeit – denn die Sicherheitsbedrohungen haben ein neues, verheerenderes Niveau erreicht. Im Ernstfall müssen Organisationen innerhalb von Minuten reagieren, um Gefahren einzudämmen und Sicherheitslücken zu schließen. Was tun gegen die wachsende Bedrohung? Der erste Weg führt über den Chief Information Security Officer (CISO).
Schritt 1: Teamwork makes the dream work
Mit der rasant wachsenden Bedrohungslage ist die Rolle des CISO in der heutigen, stark vernetzten Geschäftswelt entscheidend. Denn er ist für die Entwicklung, Implementierung und Verwaltung der gesamten Informationssicherheitsstrategie eines Unternehmens verantwortlich. Zu seinen Kernaufgaben gehören die Entwicklung einer Sicherheitsstrategie, die Erstellung und Pflege von Sicherheitsrichtlinien und -verfahren sowie das Risikomanagement. Eine realistische Risikoeinschätzung ist dabei maßgeblich, um wirkungsvolle Sicherheitsmaßnahmen zu ergreifen: Der CISO muss daher den Entscheidungsträgern – allen voran dem Chief Technology Officer (CTO) – aufzeigen, in welchen Bereichen die Sicherheitsbedrohungen am massivsten sind und wo der Nutzen einer Risikominimierung am größten wäre. Die Aufgabe des CTO ist es dann, darauf zu reagieren und geeignete Maßnahmen und Lösungen zu finden, um diesen Bedrohungen entgegenzuwirken.
Damit diese Arbeit auch Wirkung zeigt, ist letztlich die Mithilfe des gesamten Unternehmens erforderlich. Alle Mitarbeiter und Abteilungen müssen die Sicherheitsanforderungen erfüllen und in ihre Geschäftsprozesse integrieren, damit die Maßnahmen effektiv greifen können. Kurz gesagt: Security ist Teamwork.
Schritt 2: mit Technologien dem Fachkräftemangel begegnen
Die Krux: Damit die Teamarbeit effektiv ist, muss die entsprechende Expertise in der Belegschaft vorhanden sein – in Zeiten des Fachkräftemangels vielerorts ein Problem. (Zu) wenige Sicherheitsexperten, fehlendes Know-how und ein breiter Skill Gap sind die Folge. Gleichzeitig setzen regulatorische Anforderungen wie NIS-2 die Verantwortlichen unter Druck. Technologische und organisatorische Maßnahmen sind gefragt, um sich diesen Herausforderungen zu stellen, Sicherheitsrisiken zu minimieren und gleichzeitig die gesetzlichen Vorschriften zu erfüllen.
Doch wie kann das im Ernstfall funktionieren? Drei beispielhafte Cases mit möglichen Maßnahmen zeigen auf, wie Unternehmen auf Sicherheitsbedrohungen reagieren können.
Case 1: Malware-Ausbreitung innerhalb des Netzwerks
Angriffsschritt: Ein Mitarbeiter öffnet versehentlich eine Phishing-E-Mail, die Ransomware enthält. Diese infiziert den Computer des Mitarbeiters und beginnt sofort, sich im gesamten Unternehmensnetzwerk auszubreiten. Da das Netzwerk nicht segmentiert ist, kann sich die Malware ungehindert von einem System zum nächsten bewegen – und dabei Server und Datenbanken in verschiedenen Abteilungen verschlüsseln und lahmlegen. Innerhalb von Stunden oder gar weniger Minuten sind geschäftskritische Systeme betroffen. Das Unternehmen kommt zum Stillstand.
Maßnahme: Nach erfolgreicher Wiederherstellung und Analyse des Vorfalls beschließt das Unternehmen, eine umfassende Netzwerksegmentierung zu implementieren, die das Netzwerk in mehrere Sicherheitszonen einteilt – je nach Sensibilität und Zweck der Daten und Systeme. Das verhindert die unkontrollierte Ausbreitung von Malware im Falle eines zukünftigen Angriffs. Gleichzeitig erleichtert die Maßnahme die Identifizierung des Angriffsursprungs und die Isolierung betroffener Systeme. Sensible Daten und kritische Systeme sind besser geschützt, da der Zugriff auf diese stark eingeschränkt ist.
Case 2: Ransomware-Verschlüsselung und Datendiebstahl
Angriffsschritt: Mittels eines Phishing-Angriffs erlangen Cyberkriminelle Zugang zu den Anmeldedaten eines Mitarbeiters und installieren eine Ransomware Software. Diese verschlüsselt nicht nur die Daten auf den Servern, sondern extrahiert auch sensible Daten. Die Angreifer fordern Lösegeld und drohen, die gestohlenen Daten öffentlich zu machen oder zu verkaufen – hohe finanzielle Verluste und ein erheblicher Reputationsschaden wären die Folge.
Maßnahme: Nach dem Vorfall entscheidet sich das Unternehmen, seine Sicherheitsinfrastruktur grundlegend zu überarbeiten und implementiert eine Zero- Trust-Architektur, bei der jeder Zugriff streng überprüft und anhand von Identität und Kontext validiert wird; sensible Daten werden standardmäßig verschlüsselt. Darüber hinaus setzt das Unternehmen eine Anomalie-Erkennungs- und Analyse-Software ein, um Unregelmäßigkeiten wie ungewöhnlichen Daten(ab)fluss zu erkennen. Das Blockieren von verdächtigen Dateien und die automatisierte Erstellung unlöschbarer und unveränderbarer Snapshots sind weitere Maßnahmen.
Case 3: Incident Response und Cyber Recovery
Angriffsschritt: Ein großer Finanzdienstleister wird Ziel einer komplexen Cyberattacke. Der Angreifer nutzt eine Schwachstelle in einer Webanwendung, um Zugang zum internen Netzwerk zu erlangen. Dort installiert er unbemerkt Schadsoftware, die es ihm ermöglicht, kritische Daten zu extrahieren und mehrere Systeme zu kompromittieren. Die IT-Abteilung entdeckt den Angriff durch ungewöhnliche Netzwerkaktivitäten und stellt fest, dass verschiedene Systeme verschlüsselt werden – das führt zu erheblichen Ausfällen.
Maßnahme: Nach der Aufarbeitung des Vorfalls stellt das Unternehmen seine Sicherheitsstrategie einschließlich der „Last Line of Defence“ für zukünftige Vorfälle neu auf, um eine vollständige Cyber Recovery gewährleisten zu können. Dazu implementiert es eine Zero-Trust-Architektur und führt eine Multifaktor-Authentifizierung ein. Im „Clean Room“ hat das Unternehmen nun zudem die Möglichkeit, seine Daten isoliert wiederherzustellen.
Die Unveränderbarkeit der Datensicherung gewährleistet, dass einmal gespeicherte Daten nicht mehr verändert oder gelöscht werden können. Nach dem Prinzip „Separation of Duties“ verteilt die Organisation zudem alle kritischen Aufgaben und Verantwortlichkeiten auf mehrere Personen. Dies minimiert das Risiko von Fehlern, Betrug oder unbefugten Änderungen. Ein Air Gap Backup, bei dem eine Trennung zwischen den Backup-Daten und dem Netzwerk besteht, schützt die Daten zusätzlich. Weitere Maßnahmen sind ein striktes Monitoring sowie regelmäßige, dokumentierte Tests des Ernstfalls.
Expertise gefragt – für eine sichere IT-Infrastruktur
Es wird deutlich: IT-Security ist keine Aufgabe für eine Person. Es ist eine Unternehmensaufgabe, die alle Bereiche betrifft. Dazu zählen die Mitarbeiter, welche für das Thema sensibilisiert werden sollten, beispielsweise im Rahmen von regelmäßigen Security Awareness Trainings. Und natürlich braucht es Experten, die Security auf technischer Ebene bewältigen können. Sollten die Ressourcen dafür intern nicht ausreichend zur Verfügung stellen, können externe Spezialisten wie Logicalis unterstützen und das IT-Team „erweitern“: Mit seinen Security Operation Centern (SOC) reagiert der Anbieter auf die steigende Kundennachfrage nach Managed Cyber Security Services und unterstützt Organisationen bei einer umfassenden Sicherheitsstrategie.