Der Sommer lockt Beschäftigte weg von ihrem Arbeitsplatz und raus in den Urlaub. Doch Cyber-Kriminelle machen keine Ferien – ganz im Gegenteil. Sie nutzen die Zeit der potenziell unterbesetzten Unternehmen gezielt aus. Die, die in ihre Cyber-Resilienz investieren, sind gegen die unausweichliche Cyber-Bedrohung gewappnet.
Wie die Cyber-Angriffe auf die Europäische Investitionsbank, die Deutsche Bank und Postbank sowie auf einen IT-Dienstleister der Barmer im Juni und Juli zeigen: Selbst während der Sommerferien halten Cyber-Kriminelle ihre Füße nicht still. Unabhängig von Branche und Größe attackieren sie Unternehmen gezielt in dieser Zeit, da sie – so zeigt eine Untersuchung – mit großer Wahrscheinlichkeit unterbesetzt sind.
Da die verbliebenen IT-Mitarbeitenden die Arbeit der Urlaubenden zusätzlich übernehmen müssen, brauchen sie wesentlich länger, um auf Angriffe in Form von Phishing, Ransomware und Co. zu reagieren. Gleichzeitig wird die IT-Landschaft um sie herum immer komplexer. Neue Netzwerkumgebungen, Anwendungen sowie Systeme kommen zum Einsatz und Daten verstreuen sich jenseits der Unternehmensgrenzen. Die Umfrage unterstreicht die Sorge vor verstärkten Angriffen: Fast ein Viertel der Unternehmen (24 Prozent) hat weder Strategie noch Prozesse ausgearbeitet, um dem erhöhten Ferien- bzw. Feiertags-Risiko zu begegnen.
Vorbereitung ist alles
Häufig verlassen sich IT-Teams auf ihre Reaktionsfähigkeit und warten den Ernstfall ab. Doch wenn es zu einem akuten Sicherheitsvorfall kommt, ist Zeit Geld. Je schneller die IT-Abteilung auf einen Cyber-Angriff reagieren, ihn stoppen und sowohl Systeme als auch Daten wiederherstellen kann, desto geringer fällt der Schaden aus. Allerdings gehen Cyber-Kriminelle bei ihren Kampagnen immer aggressiver vor und entwickeln ihre Techniken laufend weiter, um Unternehmen immer einen Schritt voraus zu sein. Dadurch steigt das Risiko, dass das IT-Team sowohl die Angriffe selbst als auch ihre Ursachen erst erkennen, wenn es schon zu spät ist und Akteure bereits erheblichen Schaden angerichtet haben.
Da es sich bei Cyber-Bedrohungen mittlerweile um eine unausweichliche Tatsache unserer Arbeitsrealität handelt, geht es also vielmehr darum, cyber-kriminelle Aktivitäten zu erwarten. Es ist also keine Frage, ob, sondern wann es zum Angriff kommt – ganz nach dem Credo: „Antizipation statt Reaktion“.
Eine gute Vorbereitung geht jedoch weit über die IT-Abteilung hinaus. Alle anderen Beschäftigten müssen ebenfalls stets mit einem Cyber-Angriff rechnen. Damit sie mit dieser Einstellung einen aktiven Beitrag zur Cyber-Resilienz leisten können, sollten sie für die verschiedenen Bedrohungen sensibilisiert werden. Was ist Ransomware? Wie erkenne ich eine Phishing-Mail? Wen muss ich im Falle verdächtiger Aktivitäten informieren? Und was ist tun, wenn ich in die Falle tappe? Diese und mehr Fragen lassen sich am besten über eine interaktive und praxisnahe Security-Awareness-Schulung beantworten. Da sich die Cyber-Bedrohungslandschaft laufend verändert, sollten diese Trainings in regelmäßigen Abständen stattfinden.
Ganzheitliche Cyber-Resilienz auf technologischer Ebene
Mit Antizipation und Aufmerksamkeit allein lassen sich Cyber-Angriffe noch lange nicht aufhalten – das technologische Fundament muss genauso solide sein. Doch hier sehen sich viele Unternehmen mit einer großen Herausforderung konfrontiert. Seit vielen Jahren hält sich standhaft das Burg-und-Graben-Sicherheitsmodell. Dabei verstehen Unternehmen ihr Netzwerk als zentrale Einheit, die sie mithilfe einer Peripherie bestehend aus verschiedenen Sicherheitslösungen schützen. Aufgrund von verteilten Umgebungen, Systemen und Daten verschwimmen diese Grenzen allerdings mehr und mehr – der bewährte Sicherheitsansatz ist in vielen Unternehmen somit obsolet.
Technologische Lösungen wie Endpoint Detection and Response oder Security Information and Event Management sind unerlässliche Hilfsmittel, benachrichtigen IT-Teams jedoch erst, wenn sie (potenzielle) Bedrohungen entdecken. Echte Cyber-Resilienz geht über den Einsatz solcher Lösungen hinaus. Prozesse und Lösungen, die Risiken und deren Folgen von vornherein minimieren, gehören zu jeder Cyber-Resilienz-Strategie dazu. Eine Zero-Trust-Architektur fügt sich zum Beispiel in das auf Antizipation basierende Sicherheitskonzept ein. Dabei gehen Unternehmen unter anderem grundsätzlich davon aus, dass jedes Gerät, mit dem sich Mitarbeitende ins Netzwerk einwählen, potenziell zum gefährlichen Einfallstor für Cyber-Kriminelle werden kann. Zero Trust sieht vor, dass jeder User nur über minimale Nutzungsrechte verfügt und sich bei jedem Log-in verifizieren muss.
Darüber hinaus brauchen Unternehmen Backup- und Recovery-Lösungen, um ihre Systeme und Daten im Falle eines erfolgreichen Angriffs schnell wiederherzustellen und ihren Betrieb so unbeschadet wie möglich wiederaufzunehmen. Unternehmen, die ihre Sicherheits- und Resilienz-Maßnahmen auf diese Weise umfangreich intensivieren, können laut IDC zudem ihren Geschäftswert steigern und einen fünfjährigen Return on Investment von 568 Prozent einfahren.
Wenn Cyber-Sicherheit und -Resilienz zur Belastung werden
Moderne Cyber-Bedrohungen bedürfen neuer Sicherheits- und Resilienz-Mechanismen, damit Unternehmen ihr Netzwerk, ihre Daten und ihre Mitarbeitenden gleichermaßen effizient vor Angriffen schützen können. So baut eine Cyber-Resilienz-Strategie heute auf Antizipation auf und vereint die Stärken verschiedener Lösungen, die vor und während eines Angriffs für einen hohen Grad an Sicherheit sorgen, danach die Wiederherstellung unterstützen und dabei den Schaden minimiert.
Jedoch verfügt nicht jedes Unternehmen über das nötige Personal und / oder die nötigen Ressourcen, um solch eine ganzheitliche Cyber-Resilienz-Strategie zu verfolgen. In diesem Fall bietet es sich an, mit einem Managed Security Service Provider zusammenzuarbeiten, der einen integrierten Cyber-Resilienz-Ansatz verfolgt. Im Zuge dessen ermittelt er den Resilienz-Reifegrad eines Unternehmens und baut eine auf Transparenz basierende Zero-Trust-Architektur auf. Außerdem übernimmt er das Management relevanter Sicherheitslösungen, um Bedrohungen zu erkennen sowie entsprechende Maßnahmen einzuleiten. Kommt es zum Ernstfall, leitet er die System- und Datenwiederherstellung ein. Auf diese Weise bleibt selbst das kleinste Unternehmen rundum sicher – auch in den Sommerferien.