Cybersecurity zu betreiben ist ein äußerst komplexes Thema. Angriffsvektoren verschärfen und verändern sich fortlaufend. Gleichzeitig steigen die Anforderungen seitens der Gesetzgeber. Gepaart mit dem voraussichtlich langfristigen Mangel an qualifizierten Security-Experten haben Unternehmen eine harte Nuss zu knacken.
Ulrich Parthier, Publisher it security, sprach mit Sven Janssen, Regional Vice President EMEA Central Sales bei Sophos, über die Herausforderungen aber auch Chancen, denen sich Unternehmen und Security-Anbieter in gleicher Mission gegenübersehen.
Herr Janssen, täglich liest man über neue Gefahren, Zero-Day-Attacken, Lücken in bestehenden Systemen und Lösungen. Man hat das Gefühl, als wäre man zwangsläufig der nächste, den es trifft. Was sagen Ihre Forschungen und Beobachtungen?
Sven Janssen: Tatsache ist, dass unsere Forensiker und Labs-Teams täglich neue potenzielle Gefahren und Sicherheitslücken finden, die auch ausgenutzt werden. Hierbei kann es sich um gezielte Attacken handeln, bei denen wenige Unternehmen individuell angegriffen und mit sehr hohen Ransomware-Erpressungssummen zu Kasse gebeten werden, oder auch um breit angelegte Kampagnen, die jedes Unternehmen und jede Organisation treffen können. Cyberkriminellen geht es fast immer darum, möglichst viel Geld zu erbeuten. Für den größtmöglichen Fang lassen sie sich ständig neue Strategien und Taktiken einfallen – und sie sind sehr gut in dem, was sie tun.
Haben Sie konkrete Zahlen und wie hoch schätzen sie die Dunkelziffer ein?
Sven Janssen: Unser jüngster State of Ransomware Report zeigt, dass in Deutschland 58 Prozent, in Österreich 50 Prozent und in der Schweiz sogar 75 Prozent der Unternehmen mit Ransomware angegriffen wurden. Ein Angriff bedeutet nicht gleichzeitig einen Erfolg für die Angreifer. Bei 49 Prozent der Unternehmen in Deutschland, 70 Prozent in Österreich und 60 Prozent in der Schweiz ist es den Angreifern gelungen, ihren Angriff erfolgreich abzuschließen und Daten zu verschlüsseln. Aus unserer Sicht und sicherlich auch aus der Sicht der Geschädigten, ist dies eine hohe Rate und sie steigt seit Jahren kontinuierlich. Die Cybergangster nutzen jede Gelegenheit und Technologie, um ans Ziel zu gelangen.
Zur Dunkelziffer befragt man am besten die Glaskugel. Wir gehen davon aus, dass ein beträchtlicher Teil der angegriffenen Unternehmen dies nicht kundtut oder es nicht bemerkt. Denn es gibt ja auch die Variante, dass bei einem Angriff Daten unbemerkt gestohlen wurden, jedoch keine Ransomware aktiviert wurde.
Welche Angriffstaktiken gehören heute zu den gefährlichsten?
Sven Janssen: Wir sollten hier weniger von den gefährlichsten Angriffstaktiken reden, sondern eher von denen, auf die Unternehmen weniger gut vorbereitet sind. Die größte Hürde für die Angreifer ist es, den Schutzperimeter der Unternehmen zu durchbrechen. Hierfür kommen cyberkriminelle Mittel zum Einsatz, die nicht zwangsläufig besonders kompliziert sein müssen, jedoch wirksam und erfolgversprechend. Ein zusätzlicher Gefahrenfaktor besteht darin, dass sich die großen Cybercrime-Gruppen in spezialisierte Task-Force-Einheiten und Sub-Gruppen eingeteilt haben, die sehr professionell und effizient Teile der Angriffskette durchführen. Das große Ganze führt dann zu erfolgreichen Angriffen.
Haben Sie hierfür Beispiele?
Sven Janssen: Ein prominentes Beispiel ist die Nutzung von GPT-Technologien. Eine der größten Gefahren für die IT-Security ist der Mensch. Cyberkriminelle nutzen diese Schwachstelle, um an die Zugangsdaten oder Verbindungswege ins Unternehmen zu gelangen. Phishing- Angriffe und Social-Engineering sind die bevorzugten Taktiken. Zwar haben viele Unternehmen ihre Mitarbeitenden gut darauf trainiert, Fake-Nachrichten und gefälschte E-Mails zu erkennen. Aber durch die Nutzung von GPT-Technologien stellen sich die Phishing-Nachrichten so perfekt in Erscheinungsbild und Sprache dar, dass es den meisten Mitarbeitenden nicht mehr möglich ist, gute von schlechten Nachrichten zu unterscheiden. Im Grunde ein alter Trick, aber auf einem ganz neuen Niveau. Sind die Zugangswege über diese Taktik ergründet, folgen weitere Schritte, um das Netzwerk der Organisation zu infiltrieren.
Es geht kein Weg an Security-Services vorbei, um Unternehmen effektiv zu schützen und um die gesetzlichen Verpflichtungen zu erfüllen.
Sven Janssen, Sophos
Ein anderes Beispiel ist der Weg über die Supply-Chain. Durch die weltweite Vernetzung und durch die immer häufigere Bereitstellung von Software-Lösungen über die Cloud, kommen Cyberkriminelle durch die Hintertüre ins Unternehmen. Folglich müssen sich Unternehmen nicht nur um die eigene Sicherheit kümmern, sondern auch um die Security ihrer Supply Chain. Das ist eine zusätzliche Aufgabe, die für viele Unternehmen neben ihrer Kernaufgabe kaum zu bewältigen ist.
Der Anspruch an die Security dürfte die Fähigkeiten und Ressourcen in Unternehmen also oft überschreiten?
Sven Janssen: Für eine funktionierende IT-Security in Unternehmen müssen unterschiedliche Aspekte betrachtet und umgesetzt werden. Grundsätzlich ist eine wirkungsvolle Security-Plattform nötig. Hinzu kommt das wichtige Patch-Management. Wir weisen unsere Kunden auf die Dringlichkeit der Patches hin und geben hierfür Hilfestellung.
Zusätzlich erreichen die IT-Teams viele weitere Nachrichten über nötige Funktions- und Sicherheits-Patches von Softwareherstellern. Patches und Updates müssen geprüft werden, denn kein Unternehmen will riskieren, dass zwar eine Sicherheitslücke geschlossen ist, dafür aber andere wichtige Services nicht mehr funktionieren. Darüber hinaus ist das Patch-Management mit der zunehmenden Remote-Arbeit nicht leichter geworden. Das Patchen fordert in Unternehmen ein hohes Maß an Ressourcen; hier besteht jedoch die Option, zumindest teilweise externe Experten hinzuzuziehen.
Die größte Herausforderung in der Security liegt im Betreiben des Threat Hunting und der Forensik. Security ist dann am besten gewährleistet, wenn es gelingt, die Machenschaften der Cyberkriminellen, die nicht maschinell identifiziert werden, dennoch schnell zu erkennen und zu eliminieren. Cyberkriminelle sind teils Wochen und Monate in Netzwerken von Unternehmen auf Schleichfahrt unterwegs und erkunden, wie ein Angriff erfolgreich ausgeführt werden kann. Das Aufspüren all dieser Aktivitäten kann Technologie alleine nicht bewältigen, auch nicht mit künstlicher Intelligenz. Hier müssen menschliche Spezialisten ran und kontinuierlich nach Anomalien suchen.
Was bedeutet das ganz konkret?
Sven Janssen: Das heißt, dass Unternehmen vielfach mit der Sicherstellung und den heutigen Möglichkeiten der IT-Security überfordert sind, insbesondere mit dem Threat Hunting und der Forensik. Es ist ein bisschen mit dem Fahrrad vergleichbar. Früher hat man es selbst repariert und ein bisschen geölt, heute braucht es Spezialisten für Mechanik und Elektronik.
Genauso ist es auch mit der Security. Es kann nicht die Aufgabe von Unternehmen sein, sich zu IT-Security-Spezialisten auszubilden, während ihr eigentliches Business ein anderes ist. Gleichzeitig sind sie – im Eigeninteresse, um die verheerenden Folgen eines Angriffs zu vermeiden sowie um gesetzliche Vorschriften einzuhalten – jedoch beinahe gezwungen, genau dies zu leisten. DSGVO, KRITIS, das EU-weite Cyber-Resilienz-Gesetz oder die jetzt erweiterte Geschäftsführerhaftung sind nur eine Auswahl an Vorgaben, die es zu erfüllen gilt.
Wie kann eine Lösung hierfür aussehen?
Sven Janssen: Die Lösung ist den allgemeinen Trends der Informationstechnologie sehr ähnlich. Unternehmen vergeben Aufgaben, für die sie weder die Expertise noch die Zeit haben, an spezialisierte Dritte nach außen, beispielsweise SaaS- oder Cloud-Anbieter.
Genau so funktioniert das auch mit den Security-Services. Intern benötigt man die Security auf den Endpoints, sprich Servern, Firewalls, an den Arbeitsstationen und natürlich für die Cloud. Dieses Ökosystem muss mit modernster Technologie und mit einer hohen Automation durch Künstliche Intelligenz und Vernetzung aller Security-Instanzen ein hohes Maß an Sicherheit garantieren. Dieser Part kann entweder intern oder von einem externen und spezialisierten Managed Service Provider (MSP) verwaltet werden.
Das wichtige Threat Hunting und die Forensik können derweil komplett an Experten-Teams ausgelagert werden, die nichts anderes tun, als nach feindlichen Anomalien zu suchen. Wir bei Sophos betreuen in diesem Bereich bereits weltweit über 17.000 Unternehmen.
Aus dieser Kombination entsteht ein adaptives Cybersecurity-Ökosystem mit intelligenter Automatisierung und Vernetzung der Security-Komponenten kombiniert mit menschlicher Kompetenz, um auch raffinierten Angriffen vorzubeugen. Vom präventiven Schutz mit Security-Technologie und Künstlicher Intelligenz über menschengeführte Erkennung und Bekämpfung bis hin zur Notfallplanung werden in diesem System alle Maßnahmen zentral koordiniert.
Wenn ein Unternehmen die angesprochenen Cyber Security as a Service (CSaaS) nutzen möchte, was genau benötigt es?
Sven Janssen: Neben den klassischen MSP-Security-Services benötigen Unternehmen zwei wesentliche Komponenten: Managed Detection and Response (MDR) sowie die Rapid Response. MDR ist die aktive und kontinuierliche Suche nach Gefahren oder cyberkriminellen Aktivitäten im Unternehmensnetz. Die Sophos MDR-Spezialisten arbeiten weltweit in einem Team zusammen und verfügen über eine enorme Expertise. Sie wissen ganz genau, wann welche neuen Gefahren auftauchen und wie man Angriffe in einem sehr frühen Stadium erkennt.
Ist ein Angreifer entdeckt, geht es um die passende Reaktion. Hier kommt unsere Rapid Response zum Einsatz. Der Fokus liegt hier auf „Rapid“, denn Minuten können entscheidend sein, ob ein Cyberkrimineller die Chance hat, seine Ransomware zu aktivieren oder im Unternehmen seine Vorbereitungen für einen Angrifft fortzuführen. Diese Threat-Response-Optionen sind in verschiedenen Servicestufen anpassbar. Kunden können wählen, ob das Sophos-MDR-Team eine umfassende Reaktion auf einen Vorfall durchführt, bei bestätigten Bedrohungen lediglich Unterstützung leistet oder auch nur detaillierte Alert-Benachrichtigungen liefert, welche die internen Security Operations Teams selbst bearbeiten.
Herzlichen Dank für das aufschlussreiche Gespräch, Herr Janssen.