Wenn es um Cyberangriffe und deren Opfer geht, bekomme ich von Verantwortlichen oft zu hören „Wir haben Anti-Virus-Programme, Firewalls und unsere IT ist bestens aufgestellt. Wir sind durch Produkt XYZ geschützt. Uns ist noch nie etwas passiert“. Die Wahrheit ist: Diese Zeiten gehören der Vergangenheit an!
Nach einfachen Untersuchungen durch unsere Teams, bei denen wir fast immer Evidenzen von Attacken finden, stellt sich bei vielen Kunden, die sich gut aufgestellt wähnten, Ernüchterung ein. Denn, Cybersicherheit ist keine alleinige Aufgabe oder in der Verantwortung der IT-Abteilung mehr, geschweige denn von Technologien alleine.
Die öffentlich gewordenen Beispiele von Cyberattacken, ob als Erpresser oder Zerstörer, haben gezeigt, dass es sich angesichts der täglich einhergehenden Bedrohungen und Risiken durch Cyberangriffe Unternehmen nicht mehr leisten können, keine operativen Verteidigungsfähigkeiten zu haben.
Hacking nach dem Prinzip von Angebot und Nachfrage
Die Realität ist: Es gibt zwei Arten von Unternehmen: Die, die gehackt wurden, und die, die es nur noch nicht wissen. Die Herausforderung: Cyber-Akteure haben ihre Fähigkeiten aufgrund von finanziellen Reizen in den letzten Jahren enorm weiterentwickelt und führen Angriffe immer raffinierter und komplexer denn je aus. Das Problem: Die meisten Angriffe werden mehrere 100 Tage nicht einmal bemerkt.
Bedroht sind alle Unternehmen, die schützenswerte Daten haben. Und was schützenswert ist, bestimmt in diesem Fall der hochprofessionell organisierte Cybermarkt nach dem Prinzip von Angebot und Nachfrage.
Stellen Sie sich nun selbst die Fragen: Sind Sie und Ihr Unternehmen auf moderne Cyberangriffe vorbereitet und diesbezüglich gut aufgestellt? Falls etwas passiert, haben Sie dann die richtigen Prozesse, Informationen und vor allem das erforderliche, operative erfahrene Personal und die Verteidigungsfähigkeiten, um im Notfall sofort und angemessen reagieren zu können? Können Sie bezüglich der Tat und den daraus resultierenden Risiken, Schäden und etwaigen Folgen schnell einschätzen und gegebenenfalls Ihren Meldepflichten nachkommen?
Die Mehrzahl der Unternehmen müssen hier handeln, haben jedoch Schwierigkeiten in der Umsetzung. Denn Unternehmen müssen sich heute zusätzlich zu der steigenden Anzahl von gut strukturierten, organisierten und komplexen Attacken auch der Herausforderung des Fachkräftemangels stellen.
Cyberattacken bringen den Angreifern jährlich Milliarden ein
Auch 2017 wurden wieder zahlreiche Unternehmen von Cyber Attacken getroffen. Der spektakulärste Hacker-Fall war sicher die weltweite Angriffswelle mit dem Erpressungstrojaner WannaCry und der Zerstörungsvariante NotPetya. Dieser legte beispielsweise Computer in britischen Krankenhäusern lahm, betroffen war auch die deutsche Bahn. Auf den US-Finanzdienstleister Equifax wurde ein Hackerangriff verübt, von dem 143 Millionen US-Bürger betroffen waren.
In hunderttausenden Fällen ging es um sensible Daten wie Sozialversicherungs- oder Kreditkartennummern. Der US-Logistik-Riese Fedex meldete eine Cyberattacke, die Auslieferungen lahmlegte und 300 Millionen Dollar gekostet haben soll. Die größte Containerreederei der Welt Maersk meldete globale IT-Ausfälle, per Erpressersoftware hatten Hacker den Betrieb von Flughäfen, Frachtschiffen und Banken massiv gestört. Auch vor den Krypto-Währungen machten die Hacker 2017 keinen Halt, sie erbeuteten im August rund 65 Millionen Dollar an Bitcoins.
Und das sind nur wenige Beispiele. Fast immer geht es um sensible Informationen. Das Schadenspotential: Umsatzverluste, Strafzahlungen durch Datenschutzverletzungen, Wiederherstellungskosten in Millionenhöhe, Revisionsmoniten, Reputationsschäden und Vertrauensverlust bis hin zum Bankrott
Warum sind Hacker so erfolgreich?
Ein Angreifer benötigt lediglich eine einzige unbeaufsichtigte digitale Tür, um unbemerkt in ein Unternehmen zu kommen. Die Akteure unterliegen keinerlei Zwängen, Vorgaben und Regulierungen. Sie sind global aktiv, tauschen sich zu Ihren Möglichkeiten, neuen Entwicklungen und Entdeckungen aus, arbeiten eng zusammen auf Basis neuester Technologien und Kommunikationswege.
Das heißt: Extrem hoch entwickelten Angriffen stehen bei den meisten Unternehmen kaum vorhandene Verteidigungsfähigkeiten gegenüber. Solche sind vor allen Dingen durch entsprechende Maßnahmen organisatorischer Natur und durch den Aufbau von menschlichen Kompetenzen herzustellen. In ein Computer-Rack können Sie Verteidigungsfähigkeiten nicht stellen und einfach anschalten.
Am Ende ist auch unerheblich, was es alles an Schadensarten beziehungsweise Malware gibt. Antivirenprogramme stellen beispielsweise nur einen Basisschutz dar, da, wie der BSI (Das Bundesamt für Sicherheit in der Informationstechnik) in einem jüngeren Report treffend bemerkt, neue Schadprogrammvarianten schneller erzeugt werden als sie analysiert werden.
Auf diese fünf Kernfähigkeiten kommt es an
Sie führen ein Unternehmen, sagen wir eine Rechtsanwaltskanzlei. Gefährlich, denn Kanzleien sind beliebte Ziele von Hackern. 73 Prozent der UK Top 100 Rechtsanwalts-Firmen wurden 2015 von einer Cyber-Attacke getroffen. Das Ziel der Hacker: sensible Daten und bestens aufbereitete Informationen der Mandanten.
Und Sie: Sie haben einen IT-Zuständigen, eine Firewall und Antivirus-Software. Man wähnt sich gut aufgestellt. Bei solchen Kunden registrieren wir mit unseren Sensoren nicht selten über eine Million automatisierte Angriffsversuche im Monat. Hinzu kommen zielgerichtete Bedrohungen, deren Einzelheiten hier nicht relevant sind. Wichtig zu verstehen: Sie können damit jeden Moment Opfer der perfidesten Angriffe werden und das, ohne es zu merken.
Und nun? Ändern Sie Ihre Strategie weg von einer reaktiven hin zu einer proaktiven Handlungsweise. Handeln Sie, bevor etwas passiert.
Folgende fünf dauerhafte Kernfähigkeiten sind nötig, um täglich bestmöglich gewappnet zu sein:
1. Beurteilung/Aufklärung: Sie befähigt Sie, Bedrohungen und neue Risiken für Ihr Unternehmen zu identifizieren und zu bewerten. Ihre Sicherheitsexperten sollten sich über die aktuelle Bedrohungslage und über bereits gefundene Sicherheitslücken informieren. Ein guter Start sind die Newsletter des BSI sowie Open Source Intelligence, aber auch Newsfeeds von Anbietern größerer Sicherheitslösungen. Jeder der einen Schritt weitergehen will, kann sich diese Informationen von Experten maßgeschneidert für sein Unternehmen liefern lassen. Dort wird genau analysiert, wie Ihr Bedrohungs- und Risikoprofil tatsächlich aussieht, für welche Art von Bedrohungen Ihr Unternehmen besonders empfindlich ist.
2. Anpassung: Hier hinein fallen Entscheidungen und Anpassungen Ihrer Investments in Cyber Defence zur Kontrollsysteme und -Maßnahmen. Hinzu kommen Fähigkeiten zur Vorbeugung, Verminderung oder Eindämmung ermittelter Risiken und Sicherheitsvorfälle.
3. Erkennung: Es gibt keine 100-prozentige Sicherheit. Selbst bei bestehenden Sicherheitsmaßnahmen und proaktiver Handlungsweise müssen Sie auf den Ernstfall vorbereitet sein. Aus diesem Grund ist es unabdingbar, Sicherheitsvorfälle in kürzester Zeit erkennen zu können. Um in der Lage zu sein, daraus Handlungsweisen abzuleiten, benötigen Sie ein Sicherheitskonzept und erprobte Fähigkeiten.
4. Reaktion: Sie müssen stets vorbereitet und in der Lage sein, Sicherheitsmaßnahmen zeitnah umzusetzen, um so die Auswirkung manifestierter Risiken zu vermindern.
5. Permanente Überwachung der Gefahrenlage: Diese Kompetenz beschreibt die Fähigkeit die Gefahrenlage und ihre Veränderung stets im Blick zu haben und verfolgen zu können.
Es gibt mittlerweile automatisierte Lösungen, die alle erforderlichen Fähigkeiten unterstützen und die menschliche Arbeit effizienter machen, was die Kommunikation und Zusammenarbeit sowie den Austausch von Informationen quer durch alle der oben genannten Fähigkeiten und Schnittstellen enorm verbessert oder vereinfacht. Je nach Größe des Unternehmens stellt sich die Frage, ob man mit externer Hilfe ein eigenes SOC (Security Operations Center) oder CERT/CSIRT (Computer Emergency Response/Computer Security Incident Response Team) aufbaut, oder sich auf einen Partner verlässt, der diesen Prozess übernimmt..
Wer nicht handelt, der haftet
Da der Gesetzgeber zunehmend die Regulierungsschraube anzieht, müssen Unternehmen übrigens alles tun, sich zu schützen. Die internationalen regulatorischen Vorgaben und Standards wie GDPR, BAFIN, BAFIN-BAIT, MAS, ECB, FED, BSI, ISO27001, NIST, SANS hier zu erklären würde den Rahmen sprengen. Nur so viel: wer nicht handelt, der haftet.
Was Geschäftsführern und Vorständen nicht immer klar ist: Sie sind persönlich für die Abwehr von Gefahren verantwortlich.
Schauen Sie über Ihre eigenen Unternehmensgrenzen und -möglichkeiten hinaus. Tauschen Sie sich mit anderen Unternehmen aus und profitieren Sie von extern bereits erfahrenen Sicherheitsexperten sowie Subject Matter Experts und deren operativen sogenannten „Digital-Active-Defense“-Fähigkeiten in Kombination mit erfahrenen und spezialisierten Aufklärern. Die permanente Überwachung der Gefahrenlage können diese Experten leisten.
Zumindest solange, bis Sie sich selbst das notwendige Personal und die Struktur aufgebaut haben, passend zu ihrem eigenen Gefahren- und Risikoprofil. Wichtig: Organisatorisch sollte die Cyber-Sicherheit getrennt und unabhängig von der IT laufen und über adäquates Budget verfügen.
Fähigkeiten wie Digital Active Defense oder Information Security Operations (SecOps) sind heutzutage Kernkompetenzen für jedes (technologiegetriebene) Unternehmen.
Führen Sie sich vor Augen, dass die Angreifer nicht warten werden, bis Sie soweit sind, sich dagegen zur Wehr zu setzen.