Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Keine Business-Continuity ohne Cyber-Resilienz

Die Corona-Pandemie hat manche IT-Abteilung an ihre Grenzen gebracht und die Digitalisierung enorm beschleunigt, sodass sich die Abhängigkeit von einer funktionierenden IT noch einmal sprunghaft erhöht hat – bei gleichzeitig deutlich gestiegener Bedrohungslage. Für Unternehmen heißt das: Ohne Cyber-Resilienz wirds riskant.

Lesezeit 8 Min.

Von Bernhard Kretschmer, München

Die fortschreitende Digitalisierung hat die IT zur Lebensader von Unternehmen gemacht – fallen Anwendungen aus oder ist der Zugriff auf Daten eingeschränkt, können Mitarbeiter ihre Aufgaben nicht mehr erledigen und Geschäftsprozesse stehen still. Die Ursachen für solche Unterbrechungen sind vielfältig und reichen von Hardware-Defekten über Cyber-Angriffe bis hin zu Bränden und Hochwasserschäden. Auf solche Ereignisse bereiten sich die meisten Unternehmen mehr oder weniger erfolgreich vor – wie die zahlreichen geglückten Ransomware-Angriffe oder Datendiebstähle der letzten Monate belegen. Die Corona-Pandemie hat das Risiko-Portfolio noch ergänzt: um ein Ereignis, das die IT-Infrastruktur zwar nicht unmittelbar beeinträchtigt, sie aber an ihre Grenzen bringt, weil Mitarbeiter nicht mehr an ihren Arbeitsplatz gelangen oder von zu Hause arbeiten müssen.

Unternehmen, die resilient sein wollen, müssen sich gegen alle möglichen unvorhergesehenen Ereignisse wappnen – verhindern lassen diese sich in der Regel nicht. Im Vordergrund steht vielmehr die Entwicklung von Strategien und Maßnahmen, die einem Unternehmen im Worst Case helfen, die Auswirkungen auf den Geschäftsbetrieb so gering wie möglich zu halten und schnell wieder voll handlungsfähig zu sein.

Cyber-Gefahren in Zeiten der Pandemie

Wie notwendig eine solche Resilienz ist, zeigen die gestiegenen Angriffszahlen: Cyberkriminelle haben bereits in den Anfangstagen der Pandemie ihre Aktivitäten verstärkt, gleichzeitig hat die Qualität der Attacken deutlich zugenommen. Angreifer haben heute Zugriff auf ein breites Repertoire an Werkzeugen, das früher nur großen Gruppen und Nationalstaaten zur Verfügung stand. Der Global Threat Intelligence Report 2021 von NTT [1] zeigt, wie gezielt Angreifer die derzeitige Ausnahmesituation ausnutzen: Da immer mehr Unternehmen einen Remotezugriff, etwa durch die Verwendung von Client-Portalen, anbieten, sind Web-Application- und anwendungsspezifische Angriffe sprunghaft angestiegen: 67 % aller Vorfälle entfallen auf diese Art von Cyberattacken – damit haben sie sich in den letzten zwei Jahren mehr als verdoppelt. Das Gesundheitswesen war aufgrund der Verlagerung auf Telemedizin und Remote-Betreuung am stärksten betroffen: 97 % aller feindlichen Aktivitäten waren dort Web-Application- oder anwendungsspezifische Angriffe.

Gleichzeitig erreichen Ransomware-Attacken ein neues Rekordniveau: Bis zum Jahresende müssen sich Unternehmen alle 11 Sekunden auf einen Angriff mit Erpresser-Schadsoftware einstellen. Dieser globale Trend gilt auch für deutsche Unternehmen. Wie der Branchenverband Bitkom im Rahmen einer Studie herausgefunden hat, haben sich hierzulande die durch solche Attacken verursachten Schäden gegenüber den Vorjahren mehr als vervierfacht. Neben der Zahlung von Lösegeldern verursacht die in Zusammenhang mit Ransomware-Attacken stehende IT-Ausfallszeit mit einer durchschnittlichen Dauer zwischen 12 und 21 Tagen weitere Kosten. Auch das Risiko eines erneuten Ransomware-Angriffs, wovon bis zu 80 % der Unternehmen, die einmal Lösegeld gezahlt haben, ausgehen müssen, erhöht die Schadensumme. Hinzu kommen noch Aufwendungen für Datenschutzverstöße, wenn Angreifer Unternehmensdaten veröffentlichen.

Der Weg zur Resilienz

Business-Resilienz erreichen Unternehmen nur mit Cyber-Resilienz. Dafür müssen Firmen erst einmal wissen, was sie schützen müssen, indem das geistige Eigentum, die sensiblen Daten und die kritischen Geschäftsprozesse priorisiert werden. Darauf aufbauend ergibt sich ein Bild davon, was nicht ausfallen darf oder nach einem Cyberangriff zuallererst wieder funktionieren muss. Anhand dieses Wissens gilt es, ein umfassendes Security-Programm zu definieren.

NIST Stufenmodell

Hilfreich ist dabei das Cybersecurity Framework, das 2014 vom US-amerikanischen National Institute of Standards and Technology (NIST) veröffentlicht wurde (www.nist.gov/cyberframework). Ursprünglich gedacht zum Schutz kritischer Infrastrukturen, wird das NIST-Framework inzwischen auch gern von der Privatwirtschaft für den Umgang mit Cyber-Risiken verwendet – nicht zuletzt deshalb, weil es durch den stufenweisen Aufbau mit fünf Funktionen und deren spezifischen Kategorien gut verständlich ist: So hilft Identify als erste Stufe, ein organisatorisches Verständnis für die Gefahren durch Cyberkriminelle und das Management derselben zu bekommen. Diese Risiken betreffen nicht nur Daten und Systeme, sondern auch Personen, Vermögenswerte und Fähigkeiten. Mit diesem Wissen an der Hand können Unternehmen ihre Geschäftsanforderungen entsprechend priorisieren und schärfen.

Im Rahmen von Protect werden dann die geeigneten Sicherheitsvorkehrungen skizziert. Eine zentrale Rolle im NIST-Framework nimmt Detect ein: Darunter fallen sämtliche Aktivitäten, die Unternehmen dabei unterstützen, einen Vorfall in der Cybersicherheit als solchen zu erkennen – und zwar frühzeitig, bevor er größeren Schaden anrichten kann. Darauf aufbauend konzentriert sich Respond auf Aktivitäten und Reaktionspläne, mit denen Unternehmen auf einen Incident reagieren sollen. Und unter Recover versteht das NIST-Framework schließlich sämtliche Wiederherstellungsfunktionen, um schnellstmöglich zum normalen Geschäftsbetrieb zurückzukehren.

Neben diesen fünf Funktionen beschreibt das Framework unterschiedliche Implementierungsebenen: Diese Reifegrade reichen von partial über risk informed und repeatable bis hin zu adaptive. Adaptiv bedeutet dabei, dass das Risikomanagement auf Basis von Erfahrungen und Kennzahlen sowie getroffene Maßnahmen entsprechend der erkennten Risiken und der Bedrohungslage regelmäßig angepasst werden. Ziel sollte immer sein, die höchste Stufe zu erreichen, um ein Cybersicherheitsprogramm zu haben, das das eigene Unternehmen umfassend schützt!

Von der Theorie zur Praxis

Das NIST liefert einen guten Rahmen, Cyber-Resilienz zu erreichen – der Weg dorthin ist allerdings ein umfangreiches Projekt, das kontinuierlich weiterentwickelt werden muss. Deshalb gilt es aus Unternehmenssicht, verschiedene Punkte im Blick zu behalten und allem voran zu verstehen, dass IT-Sicherheit immer Teamwork ist: Das Thema Security muss dazu zunächst einmal von der obersten Führungsebene unterstützt werden. Ein starker Chief-Information-Security-Officer (CISO) – möglichst im Vorstand angesiedelt – hilft, Security präsent zu halten und Unterstützung für notwendige Investitionen zu gewinnen. Daneben braucht es eine enge Verzahnung mit den Stakeholdern aus den unterschiedlichen Unternehmensbereichen, um die Security-Strategie als Teil der Geschäftsstrategie optimal auf die eigenen Ziele und Risikotoleranz auszurichten sowie BCM-Funktionen zu identifizieren. Zudem muss jeder Mitarbeiter Malware- und Phishing-E-Mails erkennen können, was regelmäßige Trainings und Informationen über neuartige Attacken voraussetzt. Im gleichen Atemzug gilt es, eingefahrene Routinen zu prüfen: Anstatt jedem Mitarbeiter Zugriff auf alle digitalen Ressourcen zu geben, setzt echte IT-Sicherheit ein Least-Privilege-Prinzip voraus – jeder User erhält also nur die für seine Tätigkeit wirklich erforderliche Zugriffs- beziehungsweise Berechtigungsebene.

Security-Monitoring rund um die Uhr, Threat-Detection, -Analysis und -Intelligence, Digital Forensics und Incident-Response sind wiederum Themen, die Managed-Security-Service-(MSS)-Provider gut (und oft besser als das eigene Team) adressieren können. Hier sollten sich Unternehmen externe Expertise ins Haus holen, aber darauf achten, dass die Integration mit den eigenen Prozessen sichergestellt ist.

Über Security-Governance, Notfallpläne, die Bewertung von Incidents und Priorisierung von Maßnahmen sollten Unternehmen allerdings die Kontrolle behalten. Gleichzeitig sollte man überall einen Security-by-Design-Ansatz verfolgen: bei der IT-Infrastruktur, der Entwicklung neuer Geschäftsprozesse, bei Applikationen, bei Investitionen in jegliche Ressourcen, aber auch bei der immateriellen Infrastruktur, also Prozessen, Arbeitsabläufen und Richtlinien. Analog dazu sollten Unternehmen in der Entwicklung den DevOps-Ansatz durch ein DevSecOps-Modell ersetzen, das Sicherheitsrisiken von Anfang an adressiert (s. a. S. 25).

Abbildung 1

Abbildung 1: Laut einer NTTStudie [1] gibt es eine ganze Menge von Bedrohungen, auf die Organisationen nicht ausreichend vorbereitet sind. Dann hilft im Falle eines Falles nur, resilient zu sein.

Messen, prüfen, üben!

Eine Security-Strategie, die ihren Namen verdient, muss messbare Ziele vorgeben. Mit Modellen wie NIST oder MITRE ATT&CK (https://attack.mitre.org/mitigations/enterprise/) können Unternehmen den eigenen Maßnahmenkatalog evaluieren. Daneben sollten sie Audits nicht nur dafür nutzen, um die Einhaltung von Vorschriften zu belegen, sondern auch um Risiken und Schwachstellen zu identifizieren und zu bewerten. Darüber hinaus zeigen Cybersecurity-Assessments durch externe Berater oder Managed-Service-Provider, wo ein Unternehmen steht, und können so helfen, benötigte Investitionen zu mobilisieren.

Weitere Bausteine sind regelmäßiges Penetration-Testing und simulierte Phishing-Angriffe: Manchmal entpuppen sich vermeintlich sichere Bereiche als offene Scheunentore, deren Lücken beim herkömmlichen Monitoring nicht entdeckt wurden. Zu guter Letzt sollte man einmal im Jahr Cyber- und Disaster-Recovery-Tests für die kritische Infrastruktur durchführen und Notfallpläne durchspielen.

IT-Sicherheit ist längst ein Wettrüsten, bei dem die Angreifer oft die Nase vorn haben: Sie suchen permanent nach Schwachstellen, tauschen sich im Darknet aus, bieten Ransomware als Service an – inzwischen investieren ganze Staaten in Cyberarmeen. Um zumindest Kriminellen Paroli bieten zu können, brauchen Unternehmen fortschrittliche Sicherheitstechnologie: Beispielsweise helfen gegen Advanced Malware, die ihre Signaturen permanent verändert, entsprechende Werkzeuge mit künstlicher Intelligenz/Machine-Learning – nur so lassen sich umfangreiche Daten korrelieren und tausende abgeänderte Angriffe frühzeitig erkennen.

Ironischerweise sollten Unternehmen bei Backups aber auch auf weniger fortschrittliche Methoden setzen, indem Daten auf Band oder besonders kritische Dokumente auch als Papierversion vorgehalten werden: Die sind zwar nicht gegen Feuer geschützt, aber naturgemäß sicher vor Cyberangriffen.

Grundsätzlich ist zu vermeiden, einen kompletten „Security-Technologie-Zoo“ anzuschaffen, der lediglich die Kosten explodieren lässt und nicht mehr handhabbar ist! Sinnvoller ist es, sich auf wenige Anbieter zu konzentrieren. Auch die Hersteller haben erkannt, dass integrierte Lösungen notwendig sind und erweitern durch Zukäufe ihr Portfolio. So konsolidieren beispielsweise Network-Security-Hersteller Firewalls, Secure-Web-Gateways, Cloud-Access-Security-Brokers (CASB) und Zero-Trust-Network-Access (ZTNA) in Cloudlösungen.

Von Vorteil ist darüber hinaus ein einheitliches Management-Portal, damit sich das Sicherheitsteam nicht mit Dutzenden unterschiedlicher Applikationen herumschlagen muss. MSS-Provider haben nicht selten eigene skalierbare Lösungen im Angebot. Durch gut definierte Service-Level-Agreements (SLAs) behalten Unternehmen die volle Kontrolle.

Fazit

Bei fortschreitender Digitalisierung und hoch integrierten Wertschöpfungsketten entwickelt sich die Verfügbarkeit von Services und Prozessen zur Existenzfrage für jedes Unternehmen – gesetzliche und aufsichtliche Anforderungen sind nicht mehr alleiniger Treiber. Ein effektives Cybersecurity-Programm erfordert allerdings eine sorgfältige Planung, eine konsequente Umsetzung, kontinuierliches Prüfen und Monitoring sowie die Verantwortung jedes einzelnen Mitarbeiters mit tatkräftiger Unterstützung der Geschäftsführung. Wenn Unternehmen eine entsprechende Kultur konsequent in den Köpfen verankern sowie ihre Prozesse und Infrastruktur mit „Security by Design“ von Anfang an cyberresilient aufsetzen, haben sie einen wesentlichen Baustein ihrer Business-Continuity und damit Business-Resilienz fertig.

Bernhard Kretschmer ist Vice President Service Germany bei NTT Ltd.

Literatur

[1] NTT, 2021 Global Threat Intelligence Report, Mai 2021, kostenlos verfügbar über https://hello.global.ntt/en-us/insights/2021-global-threat-intelligence-report (Registrierung erforderlich)
[2] Jörg Asma, Resilienz statt Perimeterschutz, Prävention reicht nicht mehr – Unternehmen müssen echte Widerstandsfähigkeit entwickeln, <kes> 2014#5, S. 6
[3] Bernhard R. Barz, Daniel Effenberg, Resilience und Management-Systeme, Aspekte der Qualität in Sicherheits- und Datenschutzmaßnahmen, <kes> 2019#3, S. 22

Diesen Beitrag teilen: