lolloj - Fotolia
Reaktion auf Angriffe ganzheitlich verstehen und umsetzen
Krisenreaktionspläne werden noch nicht in allen Unternehmen als notwendig erachtet. Und wenn, umfassen die Schutzmaßnahmen häufig nicht das Unternehmen als Ganzes.
Gerade in den letzten Monaten hat sich gezeigt, dass für die Arbeit im Home-Office viele verschiedene Softwareanwendungen ohne eine Sicherheitsanalyse zum Einsatz gekommen sind. Das war notwendig, um beispielsweise mit Webkonferenzen die virtuelle Zusammenarbeit zu meistern und rasch wieder arbeiten zu können, barg aber auch erhebliche Gefahren eines Datendiebstahls, weil die Herkunft und Sicherheit der Software nicht immer zweifelsfrei geklärt werden konnte.
Was bei Tools für Videokonferenzen und die virtuelle Zusammenarbeit in Ausnahmesituationen vielleicht noch vertretbar ist, verbietet sich jedoch bei den essentiellen Werkzeugen wie zum Beispiel Werkzeugen für die Sicherheit der IT-Infrastruktur.
Und obwohl eine uneingeschränkte Zustimmung über ihre Bedeutung herrscht, mangelt es in vielen Unternehmen am Verständnis und einer Strategie über die Auswahl und Nutzung von Security-Tools für den individuellen Schutz.
Wirksam kann sich nur schützen, wer bereit ist, strategisch vorzugehen. Über eine beherrschbar kleine Anzahl von abgestimmten Security-Tools hinaus bedarf es maßgeblich einer proaktiven Planung und eines verbindlichen Leitfadens für Cyberangriffe.
Das sind Erkenntnisse des Cyber Resilience Reports 2020, den das Ponemon Institut aus Traverse City in Michigan gemeinsam mit IBM erarbeitet hat. Es zeigt sich, dass viele Unternehmen nach wie vor die Notwendigkeit von Krisenreaktionsplänen für Cyberangriffe unterschätzen. Lediglich 26 Prozent der befragten Unternehmen verfügen demnach über einen unternehmensweiten Cyber Security Incident Response Plan (CSIRP) oder auch Vorfallreaktionsplan. Außerdem umfassen Schutzmaßnahmen weiterhin selten das gesamte Unternehmen mit seinen Gebäuden sowie den Maschinen und Anlagen für die Produktion.
Bewusstsein für Cyberkriminalität ist eher Angst statt Aktion
Zwar hat sich das Bewusstsein für Cyberattacken in vielen Unternehmen geschärft. Doch gleichzeitig sind die Unternehmen in der Beherrschung von Cyberangriffen schwächer geworden. So haben sich 13 Prozent der Unternehmen in ihrer Reaktion auf Cyberattacken verschlechtert. Der Grund dafür liegt häufig an der Nutzung von zu vielen nicht aufeinander abgestimmten Security-Tools und am Fehlen von strukturierten Leitfäden für den Krisenfall, oft auch Playbooks genannt.
Formale Reaktionspläne reichen für die meisten ausgeklügelten Attacken nicht mehr aus. 74 Prozent der befragten Sicherheitsexperten ließen wissen, dass es in ihren Unternehmen oft nur Ad-hoc-Reaktionen auf Angriffe gebe, sie Pläne allenfalls inkonsistent umsetzen oder gleich gar keine Pläne für die Reaktion auf Cyberbedrohungen vorhanden sind. Das sind beste Voraussetzungen für Cyberkriminelle.
Teilweise sind über 50 verschiedene Security-Tools pro Unternehmen im Einsatz, die sich manchmal auch noch gegenseitig behindern. Das erschwert ein schnelles, effektives und erfolgreiches Vorgehen in einer akuten Bedrohungslage, was aber genau im Interesse eines jeden Unternehmens liegen sollte: Denn die von Cyberangriffen verursachte Schadensumme liegt bei schlecht vorbereiteten Firmen rund eine Million Euro höher als in besser vorbereiteten Unternehmen. Eine effektive Sicherheitsstrategie zahlt sich also aus.
Maßnahmen gegen Security-Wildwuchs
Aus der Situation und den Erkenntnissen ergeben sich für Security-Verantwortliche drei Tipps:
- Maßnahmen planen, Reaktionsabläufe entwickeln und überprüfen: Einen unternehmensweiten Cyber Security Incident Response Plan (CSIRP) erstellen.
- In Automatisierungslösungen und KI-basierte Tools investieren: Automatisierung beschleunigt Reaktionsmaßnahmen und garantiert strukturierte Abläufe. KI-basierte Lösungen (künstliche Intelligenz) fangen Personal- und Skill-Mangel auf und garantieren gleichbleibend hohe Qualität
- Ganzheitlicher Schutz beginnt nicht erst auf dem Server oder PC, sondern gegebenenfalls bereits an den Maschinen und Anlagen der Produktion.
Maßnahmen gegen Cyberbedrohungen müssen regelmäßig überprüft und aktualisiert werden. Denn angesichts ständig auftauchender neuer Angriffsformen reicht es bei weitem nicht aus, sie einmal in einem Plan festzuschreiben. Das Augenmerk muss auf das Testen, Üben und Neubewerten aller relevanten Bedrohungssituationen gelegt werden.
„Maßnahmen gegen Cyberbedrohungen müssen regelmäßig überprüft und aktualisiert werden. Das Augenmerk muss auf das Testen, Üben und Neubewerten aller relevanten Bedrohungssituationen gelegt werden.“
Justus Reich, IBM Security DACH
Zielführende Investitionen in harmonisierte Sicherheitswerkzeuge, Automatisierungstechniken und KI-basierte Datenanalyse helfen dabei, die Reaktionsfähigkeit bei Angriffen zu beschleunigen und zu optimieren. Einen weiteren Vorteil bietet der Zugriff auf detailliertes Wissen und Hintergrundinformationen über Bedrohungen für die eigene Branche. Finanzunternehmen beispielsweise sind anderen Attacken ausgesetzt als Entwicklungs- und Fertigungsunternehmen.
Definierte Pläne und Leitfäden müssen unternehmensweit gültig sein und sollten alle Bereiche des Unternehmens erfassen. Beispiele aus der Praxis zeigen, dass oft sehr viel Energie in die Absicherung der Fachverfahren und IT-Systeme investiert wird, während die grundlegende Versorgung sowie die Gebäudesicherung für ein Rechenzentrum oder Produktionsbereich vernachlässigt werden.
Neuere IT-Trends rund um die Industrie 4.0 wie Edge Computing oder IoT (Internet of Things) führen dazu, dass immer mehr Systeme und Geräte inner- und außerhalb des Unternehmens vernetzt und somit potenziell über das Internet angreifbar sind – dazu gehört auch die Gebäudetechnik inklusive Wasser, Strom, Klima und Zutrittskontrolle.
Fazit – schon wenige Schritte reichen, doch sie müssen überlegt und konsequent sein
Es sind nur wenige Schritte, die konsequent umgesetzt werden müssen, damit Unternehmen besser auf Cyberangriffe vorbereitet sind. Es sind aber auch durchaus Erfolge zu erkennen. Von den befragten deutschen Unternehmen gaben 74 Prozent an, dass sie Fortschritte bei der Bewältigung von IT-Attacken verzeichnen.
Und von diesen 74 Prozent konnten wiederum 54 Prozent die Zeit reduzieren, die sie brauchen, um eine Attacke einzudämmen. 45 Prozent von ihnen waren sogar in der Lage, den Angriff schneller zu identifizieren als zum Zeitpunkt der letzten Studie. Es geht bei diesem wichtigen Thema also voran – wobei die Berücksichtigung der drei genannten Punkte einen wesentlichen Beitrag leistet.
Über den Autor:
Justus Reich ist zertifizierter Security Architekt bei der IBM. Seit 1997 bekleidete er dort in den Bereichen Services, Systems und Software stets führende technische Rollen. Anfang 2018 wechselt er mit seinem reichen Erfahrungsschatz zu IBM Security und verantwortet dort den Bereich Threat Management für IT und operative Technologien (OT).
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
