kaptn - Fotolia
Cybersicherheit: Die Resilienz der Infrastruktur erhöhen
Cyberangriffe stellen Unternehmen zunehmend auf die Probe. Neben der Abwehr ist die Resilienz entscheidend. Verschiedene Maßnahmen helfen, die Schäden möglichst gering zu halten.
Seit Russland die Ukraine angegriffen hat, häufen sich die Nachrichten über Cyberangriffe: Die Fälschung offizieller Websites (Defacing), DDoS-Angriffe und die Zerstörung von IT- und Kommunikationssystemen durch Malware waren von Anfang an Teil des Krieges. Ein wichtiges Ziel der Hacker sind kritische Infrastrukturen – Energieversorger, Krankenhäuser, die öffentliche Verwaltung.
Zum Beispiel als die russische Gruppe Sandworm Anfang April 2022 versuchte, ukrainische Energieunternehmen zu hacken. Der Vorfall zeigte zugleich, was professionelle Cyberabwehr leisten kann: Es floss weiter Strom durchs Netz.
Auch Unternehmen und Behörden in der EU sind gefährdet. Daher ist auch hierzulande nicht nur die Abwehr von Angriffen wichtiger denn je. Die Resilienz unserer IT-Systeme ist entscheidend, damit Produkte und Dienstleitungen verlässlich bereitgestellt werden können. Denn selbst die beste Verteidigung hat Lücken. Im Falle eines Hacks gilt es, dessen Auswirkungen mit geeigneten Maßnahmen so gering wie möglich zu halten.
KRITIS: Solide gesetzliche Basis für Cybersicherheit
Schon in den frühen 1990er-Jahren haben Militärs und Sicherheitsbehörden den Cyberraum als neue Dimension der Kriegsführung definiert. Etwa zehn Jahre später gab es mit Stuxnet einen der ersten virtuellen Angriffe auf kritische Infrastrukturen. Damals wurden iranische Anlagen zur Urananreicherung lahmgelegt. Viele Sicherheitsbehörden weltweit wie das Zentrum für Cybersicherheit der Bundeswehr und das NATO Cyber Defence Centre of Excellence rüsteten auf.
Neben Behörden müssen sich auch Unternehmen gegen Angriffe im virtuellen Raum wappnen. In Deutschland bilden dafür das 2015 in Kraft getretene IT-Sicherheitsgesetz und die KRITIS-Verordnung das Rahmenwerk. Seit der Aktualisierung im vergangenen Jahr müssen auch Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung wie Rüstungshersteller, Finanz- und Gesundheitsheitsdienstleister bestimmte IT-Sicherheitsmaßnahmen umsetzen.
Die Vorschriften sind eine solide Grundlage. Doch in der Realität entsprechen viele IT-Systeme noch nicht den gesetzlichen Anforderungen. Denn effektive Cybersicherheit- und Resilienz-Projekte sind komplex, schwierig und teuer. Es fehlt an Budgets, Personal und Know-how.
Die Empfehlung für alle Organisationen: nicht abwarten
Das Problem betrifft nicht nur strategisch bedeutsame Unternehmen und Behörden. Es ist sehr wahrscheinlich, dass die gesetzlichen Anforderungen und das Sicherheitsniveau, das aktuell von Betreibern kritischer Infrastrukturen verlangt wird, künftig für alle Unternehmen als Standard gelten werden.
Darum ist es wichtig, dass sich IT-Verantwortliche jeglicher Branchen bereits jetzt um ein höheres Niveau ihrer Cybersicherheit und Resilienz kümmern – mit klar definierten Standards, einem IT-Notfallmanagement und Strategien für eine Wiederherstellung der Systeme. Es gilt, Cyberangriffe zu antizipieren, die eigenen IT-Systeme zu schützen und im Falle eines Hacks diesem standzuhalten.
IT-Verantwortliche dürfen nicht abwarten. Sie sollten die Initiative ergreifen und ihre Systeme durchleuchten, um Sicherheitslücken zu entdecken und mögliche Cyberangriffe vorherzusehen. Hierfür müssen sie Anomalien im Netzwerk wie Impossible Travel (ein unmöglicher Ortswechsel des Anwenders), unübliche Logins und ungewöhnliche Datenflüsse analysieren. Mit Threat Hunting – der proaktiven Suche nach potenziellen Bedrohungen im eigenen Netzwerk – schützen sich Unternehmen, auch wenn kein konkreter Verdacht eines Angriffs besteht.
Des Weiteren ist sicherzustellen, dass bereits vorhandene Security-Maßnahmen einwandfrei funktionieren und korrekt konfiguriert sind. Besondere Aufmerksamkeit gebührt dabei Backup und Wiederherstellung. Bei auf Windows-basierenden Netzwerken lohnt es sich zudem, eine Kopie des Active Directory anzulegen. Für aus dem Internet erreichbare Systeme, den Remote Access Service und alle weiteren genutzten Tools sollten stets aktuelle Patches ausgerollt sein.
Gezielt Resilienz aufbauen in vier Schritten
Trotz aller Schutzmaßnahmen sollten Unternehmen auch auf den Fall eines erfolgreichen Cyberangriffs vorbereitet sein. Eine schnelle Reaktion ist entscheidend, um die Schäden möglichst gering zu halten. Das funktioniert nur, wenn die geplanten Abläufe regelmäßig in Simulationen geübt wurden.
Das gesamte IT-Team und weitere relevante Personen aus den Bereichen Business Continuity, Krisenmanagement oder auch Unternehmenskommunikation müssen in die Übungen eingebunden werden. Sie sollten die Abläufe der Cyber Security Playbooks kennen und in ihre Prozesse integrieren. Zudem müssen alle Mitarbeitenden wissen, wie sie einen Cyberangriff melden.
Die Verbindung vier konkreter technischer Maßnahmen hilft, Resilienz aufzubauen:
1. Der Einsatz von Air Gaps
Bei kritischen Infrastrukturen und beim Militär sind Air Gaps Standard. Das Security-Konzept trennt Geräte von allen anderen IT-Systemen und Netzwerken des Unternehmens. Dies ist beispielsweise für die Backup-Infrastruktur sinnvoll. Der Air Gap gewährleistet, dass diese völlig vom Internet und dem Netzwerk isoliert ist – ein Angriff auf die Backups ist über diese Wege unmöglich.
2. Die Nutzung von unveränderbarem Speicher
Die Einsatzbereiche von unveränderbaren Speichern waren in der Vergangenheit durch langsame Zugriffszeiten limitiert. Moderne Speichersysteme ermöglichen mittlerweile jedoch eine softwarebasierte Realisierung eines WORM-Ansatzes und schnelle Wiederherstellungszeiten.
„Es gilt, Cyberangriffe zu antizipieren, die eigenen IT-Systeme zu schützen und im Falle eines Hacks diesem standzuhalten.“
Dominik Bredel, Kyndryl
3. Die kontinuierliche Verifikation von Backup-Daten
Bei der Sicherung von Daten und Konfigurationen ist es wichtig, dass diese sauber und funktionsfähig sind. Andernfalls sind sie für die Wiederherstellung unbrauchbar oder infizieren im schlimmsten Fall das gesamte Backup. Hierbei hilft eine Datenvalidierungs-Engine: So ein Tool gleicht die Daten und Konfigurationen kontinuierlich mit aktueller Malware ab.
4. Die Automatisierung von Disaster Recovery
Die ersten drei Maßnahmen sollten im Falle eines Cyberangriffs dafür sorgen, dass das unverschlüsselte Backup diesen unbeschadet übersteht. Nun gilt es, dieses wiederherzustellen. Disaster Recovery gelingt am besten mit Lösungen, die die nötigen Schritte automatisiert einleiten.
Durch die Kombination dieser vier Maßnahmen können Unternehmen nach erfolgreichen Cyberangriffen innerhalb kürzester Zeit kritische Applikationen wiederherstellen. Dies ist unerlässlich, um den Betrieb aufrecht zu erhalten und Schäden zu begrenzen. Die Kombination aus der Antizipation denkbarer Angriffe, dem Schutz der IT-Systeme und der Vorbereitung auf den Fall der Fälle ermöglicht eine wirksame Cybersicherheit und hohe Resilienz – in Kriegs- und Krisenzeiten wichtiger denn je.
Über den Autor:
Dominik Bredel ist Associate Partner für das Beratungsgeschäft im Bereich Security und Resiliency bei Kyndryl. Er unterstützt Unternehmen und Behörden dabei, ihre kritischen IT-Infrastrukturen zu schützen und die Widerstandsfähigkeit ihrer IT-Systeme zu erhöhen. Kyndryl ist 2021 durch die Abspaltung der IBM-Infrastruktursparte entstanden und der weltweit größte Anbieter von IT-Infrastrukturdienstleistungen. Die 90.000 Mitarbeitenden von Kyndryl betreuen über 4.000 Kunden in mehr als 60 Ländern auf der ganzen Welt, darunter 75 Prozent der Fortune-100-Unternehmen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
