Cyber-Widerstandsfähigkeit auf allen Unternehmensebenen
Ein effektives Resilienz-Konzept umfasst mehr als nur Security-Technologien
Cyber-Angriffe zählen weiterhin zu den größten Geschäftsrisiken für Unternehmen. Um nachhaltig widerstandsfähig zu werden, sollten IT-Sicherheitsverantwortliche ein effektives Cyber-Resilience-Konzept entwerfen und umsetzen. Dabei geht es darum, die Angriffsfläche zu verkleinern, zu härten und Prozesse zu etablieren, die im Falle einer erfolgreichen Attacke greifen. Ziel ist es, auch in Krisensituationen betriebsfähig zu bleiben. Besonders wichtig ist dabei, alle drei Dimensionen von Cyber Resilience zu berücksichtigen: Menschen und Kultur, Prozesse und Organisation sowie Technologie und Infrastruktur.
Laut dem Cyber Readiness Report 2020 des Spezialversicherers Hiscox sind die durchschnittlichen Kosten durch Cyber-Attacken im Vergleich zum Vorjahr um das Sechsfache gestiegen [1]. Deutsche Firmen mussten im Schnitt deutlich höhere Summen zahlen und wurden im internationalen Vergleich besonders häufig angegriffen. Mit 66 Prozent zählt die Mehrheit der befragten Unternehmen zudem nach wie vor zu den sogenannten Cyber-Anfängern, die nicht im erforderlichen Maße für Cyber-Vorfälle gerüstet sind. 2019 waren es noch 70 Prozent.
Doch auch das beste Security-Konzept vermag es nicht, Cyber-Angriffe mit hundertprozentiger Sicherheit abzuwehren. Denn Angreifer agieren heute hochprofessionell und mit viel krimineller Energie. Anstatt zu versuchen, eine IT-Security-Mauer um ihr Unternehmen herum zu bauen – ein Vorhaben, das von vornherein zum Scheitern verurteilt ist – sollten Verantwortliche vielmehr darauf hinarbeiten, Risiken zu managen. Resilienz geht damit noch einen Schritt weiter als Cyber-Security und ist ein übergreifendes, eher strategisch ausgerichtetes Konzept. Es umfasst nicht nur Maßnahmen, um Angriffe zu vermeiden. Resilienz bedeutet auch, trotz einer Cyber-Attacke betriebsfähig zu bleiben. Elementar ist dabei, die eigenen Schwachstellen aufzuspüren, die daraus resultierenden Risiken zu bewerten und – wo möglich und sinnvoll – Gegenmaßnahmen zu ergreifen. Diese müssen auf allen drei genannten Ebenen greifen.
Mitarbeiter sensibilisieren und eine positive Fehlerkultur schaffen
Die eigenen Mitarbeiter sind noch immer eine der größten Gefahrenquellen in Unternehmen. Phishing-Angreifer kennen die menschlichen Schwächen und nutzen diese aus: Unaufmerksamkeit gepaart mit Unwissenheit über aktuelle Angriffsstrategien sowie fehlendes Know-how führen häufig dazu, dass Mitarbeiter auf Phishing-Angriffe hereinfallen. So kann es vorkommen, dass sie Kriminellen mit einer unabsichtlich heruntergeladenen Schadsoftware Zugriff auf sensible Unternehmensdaten und -systeme gewähren. Wichtig ist daher, Mitarbeiter durch regelmäßige Security-Schulungen für die Gefahren des sogenannten Social Engineering zu sensibilisieren. Dabei versuchen Angreifer das Vertrauen der Zielperson zu gewinnen, etwa indem sie sich als Autoritätsperson ausgeben, und sie zur Herausgabe von sensiblen Informationen wie etwa Passwörtern zu bewegen.
Doch es reicht nicht aus, das Risiko für menschliche Fehler zu minimieren. Der erste Schritt hin zur Resilienz ist die Erkenntnis, dass sich diese nie vollkommen ausschließen lassen. Denn nur dann ist es möglich, eine positive Fehlerkultur im Unternehmen zu etablieren. Schließlich ist niemandem geholfen, wenn Fehler aus Angst vor Gesichts- und Jobverlust totgeschwiegen werden. Nur wenn Mitarbeiter das Gefühl haben, dass sie offen darüber sprechen können, besteht die Chance, schnell zu handeln, aus ihnen zu lernen und andere Mitarbeiter davor zu bewahren, denselben Fehler zu machen.
Incident Response Plan zur Schadensbegrenzung erstellen
Ist doch einmal ein Fehler passiert, geht es darum Schaden zu begrenzen. Was Unternehmen jetzt brauchen, sind konkrete Prozesse, um schnell und effektiv zu handeln. In einem sogenannten Incident Response Plan muss genau festgeschrieben sein, welche Schritte – beispielsweise nach einem Ransomware-Angriff – erfolgen, wer für was verantwortlich ist und wer wen informiert. Der Vorfall muss so schnell wie möglich analysiert werden, um größeren Schaden zu verhindern und die Betriebsfähigkeit wieder voll herzustellen. Hier besteht jedoch noch Nachholbedarf. Wie eine Studie des Ponemon Instituts und IBM Security zeigt, haben die meisten Unternehmen (77 Prozent) noch keinen konsistent angewendeten Incident Response Plan, der solche Prozesse klar regelt und dokumentiert [2]. Befragt wurden IT- und Security-Professionals aus 11 Ländern.
IT-Sicherheit endet nicht an den Grenzen des eigenen Unternehmens.
Darüber hinaus gibt es hier auch rechtliche Vorgaben, die zu erfüllen sind. Gemäß der DSGVO müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden bei der zuständigen Aufsichtsratsbehörde melden. Außerdem endet IT-Sicherheit nicht an den Grenzen des eigenen Unternehmens. Heute schließen digitale Prozesse auch Lieferanten und Kunden ein. Diese können daher ebenfalls von Angriffen betroffen sein und müssen dann umgehend informiert werden. In diesem Zusammenhang sollten sich Unternehmen auch Gedanken über einen Notfallplan für die Krisenkommunikation machen. Nur so lässt sich Reputationsverlust nach einem Cyber-Angriff begrenzen. Es gilt also, mögliche Szenarien im Vorfeld durchzudenken und dedizierte Handlungspläne zu erstellen, um im Ernstfall schnell und richtig zu agieren.
Systemausfälle prozessoral durchdenken
Die Prozessorientierung eines guten Cyber-Resilience-Konzepts erstreckt sich auch auf die technischen Abläufe und Systeme. Traditionell sichern Unternehmen ihre kritischen Systeme durch technische Redundanzen ab. Das bedeutet, dass wichtige Assets doppelt vorhanden sind, sodass bei einem Ausfall der Betrieb nahtlos weitergehen kann. Man unterscheidet dabei Cold Standby, Warm Standby und Hot Standby. Gerade Hot-Standby-Systeme sind aber extrem kostspielig, da sie komplett durchkonfiguriert sind und parallel laufen. Aus Kostensicht ist dieses Vorgehen daher gerade für kleine und mittelständische Unternehmen nur schwer umsetzbar.
Um widerstandsfähig zu werden und trotzdem wirtschaftlich zu bleiben, sollten Unternehmen daher das Ziel Geschäftskontinuität nicht nur technisch, sondern auch prozessorientiert betrachten. Mitarbeiter müssen in der Lage sein, weiterzuarbeiten – egal was passiert. Daher gilt es, im Vorfeld die Geschäftsprozesse genau zu analysieren. Welche Assets sind mit welchen Prozessen verknüpft? Wo besteht ein hohes Fehlerrisiko und wo wären Ausfälle besonders kritisch? Versagt etwa eine wichtige Produktionsmaschine, drohen hohe Umsatzeinbußen. Sie muss also so schnell wie möglich wieder betriebsfähig sein oder es muss die Möglichkeit geben, auf eine andere Maschine auszuweichen. Andererseits lassen sich vielleicht auch einige Tage ohne bestimmte Teilprozesse überbrücken. So können Mitarbeiter in der Verwaltung bei bestimmten Vorgängen auch einmal auf Papier ausweichen. Aus dieser Prozess- und Risikoanalyse ergibt sich, welche Systeme unbedingt redundant vorgehalten werden müssen und welche weniger geschäftskritisch sind und damit einen längeren Zeitraum zur Problembehebung zulassen.
Sich widersprechende Regularien aufspüren und Kompromisse finden
Prozesse unterliegen jedoch auch verschiedenen Interessen oder Regularien – die sich nicht selten widersprechen. Ein Beispiel dafür sind Konflikte zwischen Safety und Security im IoT-Bereich. Bei Safety geht es um die Betriebssicherheit, also sicherzustellen, dass die Maschine den Mitarbeiter nicht gefährdet. Security hingegen schützt die Maschine vor Manipulationen, wie sie durch Cyber-Angriffe drohen. Eine Security-Vorgabe ist daher laut Norm IEC62443-2-3 (IT-Sicherheit für Netze und Systeme), dass Systeme gepatcht werden sollten, um die Angriffsfläche für Cyber-Kriminelle zu minimieren. Eine solche Veränderung kann sich aber auf notwendige ISO-Zertifizierungen der Betriebssicherheit ISO13849-2 (Validierung der Sicherheit von Steuerungen) auswirken. Doch was ist nun wichtiger? Je nach Verantwortungsbereich werden die zuständigen Mitarbeiter eine andere Antwort geben. Dem IT-Leiter ist der Security-Aspekt wichtiger. Der Produktionsleiter hingegen wird der Betriebssicherheit den Vorrang geben, denn er ist für die Sicherheit seiner Mitarbeiter zuständig. Eine Kompromisslösung wären hier zum Beispiel zeitlich begrenzte alternative Sicherheitsmaßnahmen, die bis zur endgültigen Freigabe des Patches eingesetzt werden.
Ähnliche Konflikte treten zwischen IT und Informationssicherheit auf. Die IT-Abteilung muss dafür sorgen, dass alle Hard- und Software-Systeme rund um die Uhr betriebsfähig sind. Die Security-Abteilung hat im Grunde dasselbe Ziel: Die Betriebsfähigkeit der Systeme aufrechterhalten. Doch die dafür notwendigen Maßnahmen konterkarieren sich. Um IT-Security zu gewährleisten, kann es beispielsweise nötig sein, einen Webserver zeitweise aus dem operativen Betrieb zu nehmen. Nur so ist es möglich, ihn ordnungsgemäß zu patchen und ihn gegen Angriffe zu härten. Um zu entscheiden, was Vorrang hat, muss sich das Unternehmen darüber klar werden, welche Risiken es in Kauf nehmen möchte. Eine Betriebsunterbrechung, weil der Server offline ist oder unter Umständen gestohlene Kundendaten? Eine Möglichkeit wäre hier, den Server von vornherein redundant auf einem Backup-System zu betreiben. So kann er gepatcht werden, ohne den laufenden Geschäftsbetrieb zu stören.
Risikoeinschätzung obliegt der Geschäftsführung
Entscheidungen wie zwischen Safety und Security sowie IT und Informationssicherheit kann und sollte nur die Geschäftsführung treffen – in enger Abstimmung mit den IT- und Fachbereichsleitern. Denn dazu ist ein grundlegender Überblick über die Geschäftsprozesse im Unternehmen notwendig sowie ein Verständnis dafür, wie sie mit der IT verknüpft sind. Schließlich gibt es in einem modernen Unternehmen kaum noch einen Prozess, der ohne digitale Unterstützung funktioniert. Nicht umsonst kommt das Allianz Risk Barometer 2020 zu dem Ergebnis, dass Cyber-Vorfälle das wichtigste Geschäftsrisiko für Unternehmen weltweit sind [3]. Es obliegt also der Führungsebene zu entscheiden, wie hoch die Risikobereitschaft des Unternehmens sein sollte. Im Idealfall erkennt sie mögliche Konflikte schon im Vorfeld und plant Lösungen, die die Interessen aller Seiten berücksichtigen.
In der Praxis zeigt sich meist, dass vor allem größere Betriebe schon auf einem guten Weg sind. Sie verfügen über mehr Ressourcen wie etwa Tools für Impact-Business-Analysen, die Abhängigkeiten zwischen Geschäftsprozessen und IT-Assets aufzeigen. In kleineren und mittleren Unternehmen ist das Bewusstsein über den Zusammenhang von Geschäftsprozessen und IT hingegen häufig noch weniger stark ausgeprägt.
Schwachstellen aufspüren und Hackern zuvorkommen
Neben Mitarbeitern, Unternehmenskultur und Prozessen sind auch ausgeklügelte Technologien und Infrastrukturen maßgeblich, um das Unternehmen widerstandsfähig gegen Cyber-Angriffe zu machen – dabei sind alle Bereiche eng miteinander verknüpft. Beispielsweise lassen sich menschliche Fehler zwar nicht ganz vermeiden, aber die negativen Auswirkungen doch mithilfe von soliden IT-Sicherheitstechnologien und -Architekturen eindämmen. Eine gute Vulnerability-Management-Lösung ist hier elementarer Bestandteil. Sie scannt alle an ein Netzwerk angeschlossenen Systeme in einem sich kontinuierlich widerholenden Prozess auf Schwachstellen. Die Lösung nutzt dazu Tausende von Schwachstellen-Tests, die auf CVE-Berichten (Common Vulnerabilities and Exposures) sowie Informationen von Herstellern über ihre Systeme basieren. Gefundene Sicherheitslücken werden gemäß ihrem Risikopotenzial priorisiert. Anschließend erhält der Anwender einen Bericht, der auch Handlungsempfehlungen umfasst, um Schwachstellen zu schließen – etwa Updates zu installieren. Eine gute Lösung lässt sich unkompliziert in vorhandene Sicherheitssysteme wie Firewalls und Intrusion-Detection-(IDS)- oder Prevention-Systemen integrieren.
Insbesondere in Zeiten von Corona sollten Unternehmen auch Homeoffice-Umgebungen in das Schwachstellen-Management-System integrieren. Denn diese sind in der Regel weniger gut abgesichert als das Unternehmensnetzwerk. Es gilt: das schwächste Glied in der Kette bestimmt deren Stabilität. So sind in Privatnetzwerken häufig auch Geräte eingebunden, die nicht auf dem neuesten Security-Stand sind – beispielsweise der veraltete Laptop für die Kinder. Cyber-Kriminelle sind sich dessen bewusst und nutzen die Gunst der Stunde. Die E-Mail-Anbieter web.de und GMX verzeichnen seit dem Lockdown beispielsweise einen erheblichen Zuwachs an Phishing-E-Mails [4]. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Domain-Registrierungen mit Corona- oder Covid-Bezug [5]. Vor diesem Hintergrund erscheint es noch wichtiger, Firmen-Laptops oder auch Privatgeräte, die von zuhause in die Firmen-IT eingebunden werden, bestmöglich zu schützen – andernfalls steht die IT-Security des gesamten Unternehmens auf dem Spiel.
Grundlegend ist die Einsicht, dass sich das Risiko von Cyber-Vorfällen niemals ausschließen lässt.
Eine gute Lösung hierfür ist Schwachstellen-Management aus der Cloud. Dafür muss die IT-Abteilung lediglich ein Gateway auf die Plattform einrichten. Anschließend scannt der Managed Service die gesamte Homeoffice-Umgebung eines Mitarbeiters kontinuierlich auf mögliche Schwachstellen und gibt Hinweise, wie sich diese beseitigen lassen. Auf diese Weise kann das Unternehmen das Risiko von Hacker-Angriffen auf das Homeoffice minimieren.
Fazit
IT-Sicherheit bedeutet mehr als nur Technik. Auch jeder einzelne Mitarbeiter, die Unternehmenskultur sowie Prozesse und Organisation müssen ineinandergreifen, um ein möglichst hohes Security-Niveau im Sinne eines belastbaren Cyber-Resilience-Konzepts zu etablieren. Es reicht daher nicht aus, nur einen Bereich zu optimieren. Denn auch der beste Spamfilter wird niemals alle Phishing-Mails herausgreifen, auf die ein nicht für die Gefahren sensibilisierter Mitarbeiter hereinfallen kann. Umgekehrt ist auch der aufgeklärteste Angestellte nicht vor Fehlern in einem unbedachten Moment gefeit und profitiert daher von ausgefeilter IT-Security-Technologie. Grundlegend ist die Einsicht, dass sich das Risiko von Cyber-Vorfällen niemals ausschließen lässt. Daher sollten Unternehmen sich auch auf einer Prozess- und Organisationsebene genau auf diesen Ernstfall vorbereiten. Welche Mechanismen greifen, um auch bei einem erfolgreichen Angriff die Betriebsfähigkeit aufrechtzuerhalten oder schnell wiederherzustellen? Welche Vorkehrungen lassen sich treffen, um kritische Assets auch prozessoral bestmöglich zu sichern? Es gilt, zu analysieren, wo Fehler passieren können und welche Konsequenzen daraus im Worst Case resultieren. Da Resilienz sich nicht nur auf die Technologie-Ebene beschränkt, sondern auch Geschäftsprozesse und Mitarbeiter betrifft, sollte das Thema im Top-Management verankert sein. Denn schlussendlich kann nur die Geschäftsführung darüber entscheiden, wie viel Risiko ein Unternehmen bereit ist, einzugehen.
- Cyber Readiness Report 2020
- Studie des Ponemon Instituts und IBM Security: Cyber Resilience Study
- Allianz Risk Barometer 2020
- WEB.DE und GMX warnen vor Phishing-Mails mit Bezug zum Coronavirus
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Cyber-Kriminelle nutzen Corona-Krise vermehrt aus
