Cyberattacken verhindern mit Basisschutz und maßgeschneiderten Tools
Wie wichtig IT-Sicherheit ist, dürfte inzwischen bekannt sein – im gefährlichen Gegensatz dazu steht jedoch, wie es in Unternehmen um das Know-how steht, wie sie sich konkret gegen Cyberangriffe schützen können und mit welchen kaum ausreichenden Maßnahmen sie hier oft aufgestellt sind. Um diese geschäftsgefährdende Situation zu entschärfen, sind Basisschutzmaßnahmen unumgänglich. Weitere passgenaue Tools und Services sollten in der Regel noch ergänzt werden, um Daten und Systeme des Unternehmens zuverlässig zu schützen. Wenn ein Unternehmen dies nicht leisten kann, lohnt es sich, externe Expertise hinzuzuziehen.
20.174 neu bekannt gewordene Schwachstellen in Softwareprodukten, zugleich mehr als 8 von 10 Unternehmen von Attacken betroffen, entstandener Schaden rund 203 Milliarden Euro [1]. Die Zahlen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Digitalverband Bitkom jüngst veröffentlicht haben, sind erschreckend, ergeben aber ein stimmiges Bild: Die Bedrohungslage für Unternehmen verschärft sich und Attacken verlagern sich zunehmend vom analogen in den digitalen Raum. Angesichts der immer noch zunehmenden Digitalisierung von Leben und Wirtschaft und dem gleichzeitigen Wachsen internationaler Spannungen dürfte sich diese Situation in Zukunft kaum bessern.
In der Bitkom-Befragung unter 1.000 Unternehmen aller Branchen gaben 84 Prozent an, im Jahr 2021 Opfer eines Angriffs geworden zu sein. Weitere 9 Prozent vermuten dies [2]. Gleichzeitig hat laut Bitkom nur gut jedes zweite Unternehmen einen Notfallplan für eine solche Situation.
Cyberangriff kann zum bedrohlichen Geschäftsrisiko werden
Dies ist vor allem angesichts dessen bemerkenswert, dass inzwischen bekannt zu sein scheint, wie gefährlich eine Cyberattacke für ein Unternehmen werden kann: Rund 45 Prozent der Befragten gaben in der Bitkom-Umfrage die Einschätzung ab, dass Cyberangriffe ihre geschäftliche Existenz bedrohen. Im Jahr zuvor, 2021, sagten dies lediglich 9 Prozent.
In den Medien publik gewordene Fälle von IT-Sicherheitsvorfällen zeigen eindrücklich, dass die Folgen eines Angriffs auf die IT-Systeme den Geschäftsbetrieb von einer auf die andere Sekunde nahezu zum Erliegen bringen können. So müssen in der Regel – auch teilweise schon bei unbestätigtem Verdacht – die IT-Systeme heruntergefahren und von allen Netzwerken getrennt werden. Zudem können Daten verloren gehen oder durch Erpresser zeitweise aus dem Zugriff geraten. In Ransomware, also eben dieser erpresserischen Datenverschlüsselung, sieht das BSI derzeit eine der größten Bedrohungen für Unternehmen. Wenn durch Cyberkriminelle Daten zudem nach außen gelangen, können Geschäftsgeheimnisse publik werden oder es droht gar ein Risiko für Imageschäden und empfindliche Geldstrafen, wenn personenbezogene Daten betroffen sind – Stichwort Datenschutzgrundverordnung.
Grundlegender Schutz der IT oft schon nicht abgedeckt
In den Unternehmen weiß man also, dass ein Angriff das Geschäft in existenzbedrohende Situationen bringen kann. Doch gerade in kleinen und mittelständischen Betrieben werden die notwendigen Schutzvorkehrungen trotzdem nicht getroffen. Dies belegt eine Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) im Sommer 2022 [3]: Mehr als ein halbes Jahr, nachdem das BSI auf die Log4j-Sicherheitslücke aufmerksam gemacht hatte und eine extrem kritische Bedrohungslage festgestellt hatte, hatten nur 40 Prozent der mittelständischen Unternehmen ihre Software und Systeme auf diese Lücke hin überprüft. Ein strategisches Schwachstellen-Management (VMS) in Verbindung mit einem strategischen Patchmanagement, essenzielle Managementaufgaben für die Unternehmens-IT, fehlen also bei vielen – eigentlich eine Basis-Maßnahme, die jeder sicherstellen sollte.
Die Gründe hierfür sind vielfältig: Die IT-Abteilungen in Unternehmen sind oft unterbesetzt und so überlastet, dass schlichtweg die Ressourcen fehlen, mit den rasanten Entwicklungen Schritt zu halten. Herausfordernd ist zudem, dass Angreifer auf IT-Systeme in hohem Tempo ihre Vorgehensweisen ändern, Muster beim Angriff anpassen oder neu bekanntwerdende Sicherheitslücken nutzen. Das Thema IT-Security muss für IT-Abteilungen im Unternehmen tägliche Routine und "Daily Business" sein. Einzelmaßnahmen und Einmal-Projekte bieten nicht den geeigneten Schutz, stattdessen muss dieser regelmäßig überprüft und gegebenenfalls angepasst werden. Doch was können Unternehmen tun, wenn bereits Basis-Maßnahmen nicht geleistet werden können, geschweige denn der umfassende und systematische IT-Schutz?
Beim IT-Schutz auf externe Expertise setzen
In einer solchen Situation kann es wertvoll und strategisch sinnvoll sein, externe Expertise in Anspruch zu nehmen und Verantwortung für die Unternehmens-IT an einen IT-Dienstleister zu delegieren. So können dessen Experten zum Thema IT-Sicherheit beraten, punktuell unterstützen oder in Form von Managed IT-Security-Services die notwendigen Aufgaben komplett übernehmen.
Einerseits können die Experten ganz "handfest" bei der professionellen Einrichtung und dem zuverlässigen Betrieb des IT-Basisschutzes unterstützen. Hier geht es unter anderem darum, die IT zu härten, etwa durch die Einführung eines Patch-Managements oder von Passwortvorgaben für alle Mitarbeitenden.
Wertvoll ist andererseits, dass IT-Dienstleister inzwischen auch als Berater an der Seite der Fachverantwortlichen und Entscheider stehen können sowie Shared-Service-Konzepte anbieten, die mit speziellen mandantenfähigen Tools die IT-Landschaften mehrerer Kunden gleichzeitig überwachen. So ist ein Expertiselevel verfügbar, das einzelne Unternehmen im Eigenbetrieb kaum erreichen könnten. Dies ist wichtig in einer (Business-)Welt, die in nahezu all ihren Aspekten von digitalisierten Prozessen und Lösungen sowie von funktionierenden IT-Anwendungen abhängig ist. Originäres Geschäft und IT lassen sich inzwischen weder organisatorisch noch inhaltlich trennen. Darum muss auch IT-Sicherheit in diesen Gesamtkontext eingebettet werden.
Wichtig ist, dass keine Daten abfließen oder entwendet werden können. Zudem muss gewährleistet sein, dass Sicherheitsmaßnahmen den regulären Betrieb, der auf funktionierender IT basiert, nicht beeinträchtigt. Bei der Gestaltung der Gesamtarchitektur sollte daher ein Blick auf Fragen geworfen werden:
- Welche Assets sind besonders schützenswert und wie kann der Schutz passend gestaltet werden?
- Wie werden regelmäßige Prozesse zur Pflege und Wartung der Systeme, zum Beispiel ein Patch-Prozess, sichergestellt?
- Wie sieht es mit Back-up-Erstellung aus?
- Wie können Rechte von Mitarbeitern auf den Systemen eingerichtet werden, damit sie nur die notwendigen Rechte bekommen und keine zu weit reichenden Zugriffe?
Zudem können IT-Dienstleister ein Feld in den Blick nehmen, das häufig vergessen wird, wenn IT-Sicherheit konzeptioniert wird: die Mitarbeitenden. Deren Sensibilisierung durch Trainingsmaßnahmen ist mit entscheidend. So berichteten jeweils 25 Prozent der befragten Unternehmen 2022 bei der Bitkom-Befragung, dass in ihrem Unternehmen Angriffe auf Passwörter oder Phishing Schäden verursacht haben. Zudem wurden bei jeweils mehr als 30 Prozent der Betriebe versucht, Mitarbeiter am Telefon oder per E-Mail mittels Social Engineering zu beeinflussen – was IT-Sicherheitsvorfälle nach sich ziehen kann.
Dienstleister bieten bewährte Vorgehensweisen
Antworten auf die oben genannten Fragen und darauf basierend die nächste Handlungsschritte lassen sich gemeinsam mit einem erfahrenen IT-Dienstleister finden. Ein solcher kann dabei auf standardisierte und bewährte Vorgehensweisen und Methoden zurückgreifen, um in verlässlicher Qualität den Zustand der IT-Security im Kundenunternehmen zu erfassen. Häufig beginnt die Zusammenarbeit rund um Cybersecurity-Themen beispielsweise zunächst mit einem sogenannten "Security-Check". Dieser erfasst systematisch, in welchem Zustand die Kunden-IT mit Blick auf Sicherheitsthemen aktuell "dasteht". Dafür werden Infrastrukturen, Prozesse und Tools angeschaut, die bei Bedrohungsszenarien greifen sollen – vom Einbruch über Schadsoftware bis hin zu Datenverlust und -wiederherstellung.
Aus dieser Analyse und Bewertung kann eine Risikoeinschätzung zum Status Quo abgeleitet werden. Auch Cybersecurity-Versicherungen werden in der Analyse erfasst – falls noch keine vorhanden ist, können die externen IT-Experten dazu häufig auch beraten. Für deren Abschluss muss der aktuelle Status der Umsetzung von IT-Sicherheitsmaßnahmen im Unternehmen angegeben werden – die Ergebnisse der Analyse sind also auch in dieser Hinsicht wertvoll. Nächster Schritt im Vorgehensmodell muss das Erarbeiten einer Roadmap sein. Sie zeigt, wie die bestehende IT-Security-Landschaft im Unternehmen weiterentwickelt wird und welche Schwachstellen beseitigt werden müssen.
Nach der Planung ist vor der Umsetzung – im nächsten Schritt geht es darum, die Erkenntnisse aus der Analyse konkret umsetzen. Auch hierbei kann die Unterstützung vom IT-Dienstleister fortgesetzt werden und wertvoll sein. Grundlage für den Regelbetrieb der IT-Systeme im Unternehmen sind dabei im Normalfall State-of-the-Art-Security-Services, die eingerichtet oder angepasst werden sollten, je nach Ausgangssituation. Welche Services zum Einsatz kommen, hängt vom Schutzbedarf des Unternehmens bzw. einzelner Teilbereiche der Unternehmens-IT ab und auch von aktuellen Bedrohungs- und möglichen Angriffsszenarien. Zudem ist bei der Einrichtung wichtig, dass dies mit Blick auf die Gesamt-IT-Landschaft geschieht und sich in diese gut einpasst.
Überblick behalten mit Security Information and Event Management
In Unternehmen werden Schwachstellen, Unregelmäßigkeiten und tatsächliche Angriffe oft nur einzeln erfasst und bearbeitet, möglicherweise sogar nur die "Zufallsfunde". Dabei ist es gerade in der IT-Sicherheit wichtig, eine ganzheitliche Sicht auf die Strukturen zu nehmen. Nur so können Muster von Angriffen erkannt und nachhaltig Schäden von der IT-Infrastruktur abgewendet werden. Größere IT-Dienstleister, die einen breiten Kundenstamm bedienen, haben hier einen systematischen Vorteil, von dem ihre Kunden im Sinne eines Netzwerks profitieren können: das Security Information and Event Management (SIEM).
Das SIEM gibt auf Basis von permanent laufenden Aktivitätenscans in den betreuten Netzwerken einen Rundumblick auf diese Systeme. So kann in Echtzeit auf Bedrohungen reagiert werden, die den Experten im SIEM auffallen. Für die schnelle Reaktionsfähigkeit wird dort auf Basis von vordefinierten Use Cases gearbeitet. Zudem bietet das SIEM einen Vulnerability Management Service (VMS), der präventiv nach Schwachstellen sucht und diese behebt, bevor Angreifende diese ausnutzen können. Auch VMS läuft als kontinuierlicher Prozess, wobei beispielsweise Assets im Netzwerk proaktiv erfasst werden.
Der schlagende Vorteil des SIEM eines IT-Dienstleisters beruht darauf, dass das Know-how dort zentral vorhanden ist und alle Kunden davon profitieren können: Werden in einem Unternehmen im Netzwerk des Dienstleisters Auffälligkeiten, systematische Schwachstellen oder gar ein Angriff entdeckt, dann profitieren von Analyse und Gegenmaßnahmen zu diesen (möglichen) Bedrohungen alle Unternehmen im Netzwerk. Denn die Schutzmaßnahmen werden nicht nur beim konkret bedrohten Unternehmen umgesetzt, sondern – wenn plausibel und passend – auch bei den anderen Unternehmen im Netzwerk. Gesteuert wird dieses Vorgehen vom sogenannten Security Operation Center (SOC) aus, das das Herzstück des SIEM ist und das – wie das SIEM – beim IT-Dienstleister angesiedelt sein kann. Im Regelbetrieb laufen im SOC durchgehend Internet Scannings, die IP-Adressbereiche, die für das spezifische Unternehmen relevant sind, auf Sicherheitslücken überprüfen. Sobald eine Lücke gefunden wird, meldet das SOC an das Kunden-Unternehmen, schätzt Risiko und Gefahren ein und unterstützt bei der Auswahl der richtigen Maßnahmen und deren Umsetzung.
Gerade auch bei Sicherheitslücken, die einer breiten Öffentlichkeit bekannt werden, wie Log4j, kann ein SOC alle von ihm betreuten Unternehmen zeitnah mit adäquater technischer Abhilfe versorgen, bevor breite Angriffswellen starten – und so die internen IT-Abteilungen entlasten.
Scanner behalten die Aktivitäten im Netzwerk im Blick
Eine weitere sinnvolle Erweiterung der Security-Systeme kann ein Kompromittierungsscanner sein. Er ergänzt den Virenscanner, leistet weitere Analysen und beschleunigt das Finden verdächtiger Aktivitäten in der Unternehmens-IT.
Der Scanner arbeitet – anders als ein Virenscanner – auf Basis von Signaturen, die Aktivitäten von Angreifern auf einem System sichtbar machen. Vielfältige Überprüfungsmechanismen stehen mit dem Kompromittierungsscanner bereit, um die Systeme laufend zu checken. Er kann typische Angreifermuster oder Anomalien zum Beispiel in Benutzerkonten, Sitzungen, Speichern und Netzwerken erkennen oder auffällige Aktivitäten in Logs entdecken. Der Scanner meldet einen Alarm, wenn solche verdächtigen Vorgänge auffallen. Zudem kann das System so konfiguriert werden, dass dann automatisch Schutzmaßnahmen starten, zum Beispiel das Trennen von bestimmten Teilen der IT vom Netzwerk.
IT-Abteilungen stehen außerdem vor der Herausforderung, dass heutzutage nahezu jeder Mitarbeitende auch Mobile Devices wie Laptops, Tablets oder Smartphones für seine Arbeit im Einsatz hat. Diese müssen ebenfalls in die Überwachungsaktivitäten eingebunden werden, zumal mobile Geräte auch in Netzwerken zum Einsatz kommen können, die nicht so gut geschützt sind wie das Unternehmensnetz. Geeignete Tools, die dafür zum Einsatz kommen können, sind sogenannte EDR-Lösungen (Endpoint Detection and Response). Sie erkennen und untersuchen verdächtige Aktivitäten, die an allen Endpunkten des Firmennetzes auftreten können und sind so eine wichtige Ergänzung zu Virenscannern auf einzelnen Geräten.
Ransomware & Co: Unveränderliche Back-ups
Doch auch die beste Verteidigung braucht ein zusätzliches Sicherheitsnetz, falls es doch zu einem Angriff kommt, der nicht früh genug abgewehrt werden kann. Sollten in so einem Fall Daten verloren gehen oder mit Malware infiziert sein, bedarf es eines Back-ups, also einer Datensicherung. Auf Basis eines Back-ups können nach einer Cyberattacke die Systeme wieder hochgefahren und in den Zustand vor dem Angriff versetzt werden. Leider haben die Anforderungen an und die Ausgestaltung von Back-ups in vielen Unternehmen noch keine ausreichende Qualität – dabei gelten Daten in der digitalisierten Wirtschaft zurecht als "neues Gold".
Für Back-ups ist einerseits wichtig, dass sie in einer technisch vollständig getrennten Umgebung gesichert sind, die bei einem Angriff auf die IT-Systeme nicht "mit angegriffen" werden kann. Nur aus einer so gesicherten Umgebung können die gesicherten Daten in beschädigte Systeme gefahrlos zurückgeladen werden. Darüber hinaus sollte auf sogenannte "Immutable Back-ups" gesetzt werden. In dieser Art von Sicherung werden Daten so gespeichert, dass sie unveränderlich sind. Dies stellt sicher, dass das Back-up auch dann eingesetzt werden kann, wenn Ransomware oder böswilliges Löschen darauf abzielen, auch ein Back-up zu beschädigen.
Ein gutes Back-up-System ist aufwändig, denn auch wenn IT-Abteilungen Back-up-Protokolle eingestellt haben, muss dennoch regelmäßig überprüft werden, ob sich die Daten auch zurückspielen lassen.
Fazit und Ausblick: Cybersecurity braucht Management-Attention und Experten
In Zeiten, in denen die Digitalisierung zur Grundlage nahezu aller Geschäftsmodelle und gleichzeitig die Bedrohung durch Cyberkriminelle immer größer wird, ist IT-Sicherheit eine zentrale Aufgabe des Managements. Der Mangel an IT-Fachkräften auf dem Arbeitsmarkt macht diese Kernaufgabe für viele Betriebe zu einer großen Herausforderung – die IT-Abteilungen sind überlastet, es fehlt zusätzliches Personal und mit ihm häufig die Expertise.
Diese Lücke kann mit Hilfe eines IT-Dienstleisters geschlossen werden, der umfassend zu Cybersecurity beraten und in den Bereichen IT-Infrastruktur und -Betrieb die laufenden Aufgaben zur Erhaltung und Verbesserung der IT-Sicherheit weitreichend übernehmen kann. Um bei den sich ständig wechselnden und vielfältiger werdenden Szenarien für Angriffe up to date zu bleiben, haben sie die notwendigen Experten, das Spezialwissen und jahrelange Erfahrung. Außerdem bieten IT-Dienstleister Lösungen an, die einerseits einen hohen Standardisierungs- und damit Zuverlässigkeitsgrad haben. Andererseits bieten sie ihre Services oft modular an, so dass "out of the box" von ihren Kunden passgenau die Lösungen gewählt werden können, die benötigt werden. In diesem Modell der Zusammenarbeit lässt sich die Effizienz bei der IT-Sicherheit steigern und kann immer wieder im Sinne eines Baukastensystems individuell nachjustiert werden, indem Module erweitert oder entfernt werden. Dieser Rundum-Service sorgt dafür, dass Unternehmen sich wieder auf ihr Kerngeschäft konzentrieren können, da ihnen IT-seitig "der Rücken freigehalten wird".