valerybrozhinsky - stock.adobe.c
Schutz vor Angriffen: Was die Geschäftsführung wissen muss
Gelungene Cyberattacken sind schlecht für das Geschäft. Die Geschäftsführung muss sich mit den möglichen Folgen und den Abwehrmöglichkeiten beschäftigen, um der Gefahr zu begegnen.
In der Vergangenheit beschäftigte sich die Geschäftsführung von Unternehmen kaum mit Informationstechnologie und wenn, dann mit schönen neuen Produktivitäts-Applikationen oder Systemen zur Ressourcen- oder Personalplanung und Kundenverwaltung. IT Security wurde als Nischenthema der IT-Abteilung betrachtet.
Lange Zeit galt es kaum als Aufgabenbereich, sondern als eine Lösung, die man einfach einkaufte und die dann im Hintergrund lief. Diese Zeit ist vorbei. In den letzten Jahren rückt die IT-Sicherheit aufgrund der steigenden Zahl von Datenschutzverletzungen, Cyberattacken und neuen Gesetzen und Regelungen immer stärker in den Fokus der Geschäftsführung. Die lange Liste an öffentlich gewordenen Datenschutzverletzungen bei Organisationen jeder Couleur zeigt eindeutig, dass viele Organisationen bisher schlecht auf die neue Realität komplexer Bedrohungen vorbereitet sind.
Erfolgreiche Cyberangriffe haben für Unternehmen negative Folgen auf mehreren Ebenen. So sparte sich beispielsweise Verizon 350 Millionen Dollar beim Kauf von Yahoo, nachdem der dortige Datenverlustskandal bekannt wurde.
Die Gefahr von Cyberangriffen und deren Begegnung durch die IT-Sicherheit rücken damit zu den Aufgaben der Führungsetage von Organisationen auf. Ergo: Unternehmenslenker sollten sich mit Management-Aspekten der IT-Security beschäftigen. Dazu gehören die Qualifizierung der Auswirkungen von Cyberangriffen, die Funktionsweise der Cyberattack Kill Chain und der Aufbau eines starken Security-Ökosystems, das Unternehmen vor verschiedenartigen Angriffen schützen kann.
Quantifizierung der Auswirkungen von Cyberangriffen
Um Entscheidungen treffen zu können, bevorzugen Führungskräfte harte Fakten und Zahlen. Um die möglichen Auswirkungen erfolgreicher Cyberangriffe und damit das Risiko für die Organisation zu beziffern, sind diese notwendig. Schaut man sich die Art und Weise an, wie erfolgreiche Angriffe oder andere Sicherheitsprobleme bewertet werden, stellt man jedoch fest, dass die traditionelle Art der Bewertung nicht ausreicht. Die bloße Betrachtung der direkten Kosten im Zusammenhang mit dem Diebstahl personenbezogener Daten, dem Diebstahl geistigen Eigentums, der Unterbrechung von Kernbetrieben und der Zerstörung kritischer Infrastrukturen, reicht nicht mehr aus. Dies gilt insbesondere, seit die DSGVO mit schweren Strafen für die Verletzung von Kunden- oder Mitarbeiterdaten droht.
Man muss also damit beginnen, versteckte Kosten zu berücksichtigen, zum Beispiel Versicherungsprämien, verlorenen Wert der Kundenbeziehungen, Wert der Erlöse, Abwertung der Marke und Verlust des geistigen Eigentums. Die Bewertung immaterieller Verluste ist zwar schwieriger, kann aber mit allgemein anerkannten Standardfinanzinstrumenten, Schadensmethoden und Bewertungsmethoden vorgenommen werden. Unternehmenslenker müssen diese Faktoren bei der Risikobewertung für ihr Unternehmen mit einbeziehen.
Die Cyberattack Kill Chain
Cyberattacken werden immer komplexer und um sich entsprechend gegen sie zu wehren, müssen Unternehmen verstehen, wie Cyberkriminelle vorgehen. Insbesondere müssen Unternehmen die Cyberattack Kill Chain moderner und komplexer Angriffe verstehen. Die Kill Chain moderner Cyberattacken folgt gewöhnlicher Weise im Ablauf diesen drei Phasen:
In der ersten Phase der Kill Chain wählen die Angreifer ein Ziel aus, erforschen es und versuchen, Schwachstellen in der Infrastruktur zu identifizieren, die sie mit neuer erstellten oder wiederverwendeten Malware oder Exploits angreifen können („Reconnaissance“). Die zweite Phase ist die Übertragung der Cyberwaffe an das Ziel („Weaponization“). Dies geschieht häufig über Anhänge geschickt gefälschter E-Mails, infizierte Websites und die Ausnutzung einer Schwachstelle in einem Programm auf dem Endpunkt des Opfers. Die letzte Phase beinhaltet in der Regel die Installation von Zugriffs-Tools, die es der Malware ermöglichen, sich mit einem C&C-Server (Command and Control) zu verbinden, damit der Eindringling Zugriff in der Zielinfrastruktur gewinnt. Sie endet mit der Datenexfiltration, der Datenvernichtung oder was auch immer für Maßnahmen die Akteure im Auge hatten. Diese Phase nennt sich „Delivery and Exploitation“.
Das offensichtliche Ziel bei der Abwehr eines solchen Angriffs ist es, die Kill Chain des Angriffs zu durchbrechen, bevor sie die letzte Phase erreicht. Daher haben sich Endpoint Protection Platforms (EPPs) bisher vor allem auf die Prävention konzentriert. Sie soll die ersten Schritte der Kill-Chain unterbrechen und verhindern, dass Bedrohungsakteure Malware auf dem Ziel-Endpunkt installieren. Prävention ist unerlässlich und wehrt die große Masse der Angriffe ab. Sie ist aber mitnichten hundertprozentig sicher gegen ausgefeilte Angriffe. Um ihre Sicherheit zu erhöhen, haben viele Unternehmen damit begonnen, Lösungen zu verwenden, mit denen sie gezielte Angriffe (Targeted Attacks) rechtzeitig erkennen und effektiv darauf reagieren. Hier setzen Lösungen zur Endpoint Detection and Response (EDR) an.
„Beim Aufbau eines starken Sicherheitsökosystems geht es darum, dass das Schild und das Schwert zusammenarbeiten, um die allgemeine Sicherheitslage einer Organisation zu verbessern.“
Liviu Arsene, Bitdefender
CEOs benötigen ein grundsätzliches Verständnis davon, dass Cyberkriminelle konkrete Ziele suchen, mehrstufig vorgehen und zahlreiche Handlungsoptionen nutzen. Nur so werden sie verstehen, welche technischen Möglichkeiten es gibt, Angriffe abzuwehren, ohne dass die IT-Abteilung sich im Abwehrkampf aufreibt. In dem Zusammenhang sollten die Technologien EPPs und EDR zum gängigen Vokabular der Führungsriege zählen.
Der Aufbau eines Security-Ökosystems, das allen Angriffen trotzt
In den letzten Jahren wurden EPPs von vielen als undurchdringlicher Schutzwall angesehen. Doch wie sich zeigte, ist auch dieser bei modernen, zielgerichteten Cyberattacken überwindbar. Es kann keine hundertprozentige Sicherheit gegen heimtückische Angriffe geben, die sehr schwer zu erkennen sind – zum Beispiel, weil sie auch nicht-digitale Wege nutzen, wie gefälschte Telefonanrufe der IT-Abteilung, oder weil sie mit legitimen Anwendungen und Anmeldeinformationen illegitime Aktionen nutzen. Um das Sicherheitsniveau zu erhöhen, gilt es generell, solche Angriffe möglichst schnell zu erkennen und effektiv darauf zu reagieren. Um dieses Ziel zu erreichen, setzen immer mehr Unternehmen auf EDR-Tools. Sie verbessern die Erkennung sicherheitsrelevanter Ereignisse und Vorfälle und bieten gleichzeitig leistungsstarke Werkzeuge zur Untersuchung von Vorfällen sowie die Möglichkeit, angemessen auf Sicherheitsvorfälle zu reagieren. Vor dem Hintergrund der zunehmenden Anzahl und Komplexität von Angriffen, wächst die Bedeutung solcher EDR-Lösungen für Unternehmen.
Beim Aufbau eines starken Sicherheitsökosystems geht es darum, dass das Schild und das Schwert zusammenarbeiten, um die allgemeine Sicherheitslage einer Organisation zu verbessern. Hier hat sich die IT-Sicherheit in den letzten Jahren stark weiterentwickelt und Lösungen hervorgebracht, die EPP und EDR in einer Plattform integrieren. Eine solche von Grund auf stark integrierte Plattform ist wirkungsvoller und benötigt weit weniger Personalaufwand, um Bedrohungen auf jeder Ebene abzuwehren.
Mit den Grundlagen der Cybersicherheit beschäftigen
Gelungene Cyberattacken sind schlecht für das Geschäft. Sie können unter Umständen existenzielle Folgen für ein Unternehmen haben. Das Thema IT Security ist damit in den Führungsetagen angelangt und die Geschäftsführung eines jeden Unternehmens muss sich mit den möglichen Folgen für ihr Unternehmen, den Ablauf von Cyberangriffen und den technischen Grundlagen der Abwehr beschäftigen, um der Gefahr zu begegnen. Neue integrierte Plattformen, die verschiedene Technologien zur Absicherung von Unternehmensnetzwerken beinhalten, können Unternehmen helfen, sich selbst gegen die anspruchsvollsten Cyberbedrohungen zu schützen. Wenn hier die Basis stimmt, kann die Führung sich auf das Kerngeschäft konzentrieren: Kunden, Umsatz und Profit.
