Die Deutsche Leasing wurde Opfer eines Cyberangriffs und hat daraufhin die IT-Systeme abgeschaltet. Ein Kommentar von Alexander Goller, Senior Systems Engineer bei Illumio.
Was ist beim Cyberangriff auf Deutsche Leasing passiert?
Der von Sparkassen getragene Leasing-Verband Deutsche Leasing wurde Ziel eines Cyberangriffs. Am Samstag wurde der Vorfall von den Sicherheitssystemen erkannt. Gemäß dem vorbereiteten Notfallplan wurden daraufhin die IT-Systeme von der IT-Abteilung heruntergefahren. Laut der offiziellen Webseite der Deutschen Leasing ist es den Mitarbeitern aufgrund des Vorfalls nicht möglich, auf einen erheblichen Teil der IT-Systeme und Daten zuzugreifen. Die E-Mail-Systeme sind ebenfalls von dem Angriff betroffen gewesen: „Seit dem Wochenende arbeitet das Unternehmen zusammen mit externen IT-Sicherheitsberatern und den Ermittlungsbehörden unter Hochdruck daran, den Angriff zu analysieren und Spuren zu sichern. Im Rahmen des Wiederanlaufplans wurde u. a. die sichere E-Mail-Kommunikation wieder in Betrieb genommen. Schritt für Schritt wird dieser Plan nun abgearbeitet“, heißt es.
Dieser Angriff auf die IT der Deutsche Leasing ist ein weiteres Beispiel dafür, dass Cybersicherheit nicht mehr nur ein Sicherheitsproblem ist, sondern auch ein operatives Problem. Zum jetzigen Zeitpunkt ist nicht klar, ob es sich bei dem Angriff um Ransomware handelt. Sollte dies jedoch der Fall sein, könnte die schiere Menge an sensiblen Daten, über die die Deutsche Leasing verfügt, den Angreifern ein größeres Druckmittel bieten.
Das Unternehmen wird nun seinen Incident Response Prozess durchlaufen und hat seine Systeme für die Dauer der Ermittlungen abgeschaltet. Es sollte jedoch ein Punkt erreicht werden, an dem jede Organisation in der Lage ist, Angriffe einzudämmen und zu überleben, ohne dass es dadurch zu einer nennenswerten Unterbrechung des Betriebs kommt – insbesondere bei Finanzdienstleistern, von deren Dienstleistungen tausende Menschen abhängig sind.
Alle Unternehmen müssen sich darauf konzentrieren, eine angriffstolerante IT-Infrastruktur zu schaffen und die Cyberresilienz zu erhöhen, damit sie auch während Angriffen weiterarbeiten können. Angriffe sind unvermeidlich, daher braucht jedes Unternehmen eine Strategie zur Eindämmung von Angriffen, um Risiken zu verringern, sensible Vermögenswerte und Daten zu schützen und Bedrohungen schnell einzudämmen.
Drei Tipps zur Risikominderung und Stärkung der Resilienz gegenüber Cyberangriffen:
1. Annehmen einer „Assume Breach“ Mentalität
Man geht davon aus, dass es zu Angriffen kommen wird, und passt seine Sicherheitsstrategien so an, dass das Risiko minimiert wird. Nicht jede Sicherheitsverletzung muss katastrophale Folgen haben. Das Ziel sollte darin bestehen, die Auswirkungen eines Vorfalls abzuschwächen und zu minimieren.
2. Entwerfen eines Sicherheitsplans, der zum Überleben von Angriffen und nicht nur der Verhinderung dient
Dies erfordert eine Verlagerung der Investitionen von Detection-Tools, die versuchen, jeden Angriff zu entdecken, auf Technologien wie Zero-Trust-Segmentierung, die Angriffe eindämmen, deren Auswirkungen verringern und die Recovery-Zeit beschleunigen. Wenn es gelingt, die Ausfallsicherheit zu erhöhen und die Ausbreitung von Ransomware im Netzwerk zu stoppen, wird es viel einfacher, einen Angriff zu kontrollieren und zu beheben.
3. Implementieren einer Zero-Trust-Strategie
Basierend auf dem Mantra „never trust, always verify“ müssen Richtlinien festgelegt werden, die sicherstellen, dass das Netzwerk kontinuierlich alle Benutzer, die Zugriff anfordern, verifiziert, authentifiziert und autorisiert, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerks befinden. Nach dem Ermitteln der größten Risiken können dementsprechend Prioritäten bei den Schutzmaßnahmen gesetzt werden. Hochwertige Anwendungen und Daten sollten durch einen zusätzlichen Sicherheitsring abgesichert werden, indem der Zugriff nur auf die kritischen und notwendigen Daten beschränkt wird.