Kaum ein Tag vergeht, an dem in den Schlagzeilen nicht von Firmen berichtet wird, die Opfer von Cyber Attacken wurden. Die kommerziellen Schäden auf Grund gehackter Daten und verbundener Imageverluste sind meist enorm. Die Dunkelziffer Betroffener ist verständlicherweise sehr hoch: Nicht zuletzt auf Grund potentieller Implikationen will kaum jemand zugeben, einer Erpressung durch Zahlung von Lösegeld begegnet zu sein, beispielsweise um seine durch Ransomware verschlüsselten Systeme und Daten wieder nutzen zu können.
Die Angreifer
Im Bereich der Cyber-Kriminalität hat sich eine mächtige Industrie entwickelt, die hochprofessionell agiert und auf Basis globalisierter Wertschöpfungsketten sehr arbeitsteilig funktioniert:
Anbieter stellen hochspezifische Funktionen und Komponenten einschließlich garantierter Erfolgsquoten, SLAs, Rabattmodelle, etc. zur Verfügung.
Angreifer stellen für den jeweiligen Einsatzzweck die erforderlichen Komponenten baukastenartig zusammen und konfigurieren sie nach Erfordernis.
Nach erfolgreichen Attacken werden die Gewinne aufgeteilt, oft sind Erfolgsprovisionsmodelle im Spiel. Die erzielten Gewinne werden für Weiterentwicklungen der jeweiligen Komponenten, deren Benutzerfreundlichkeit, Konfigurierbarkeit, Automatisierung der damit vorgetragenen Angriffe, selbstverständlich auch für die Bereitstellung neuer Services sowie Entdeckung und Erschließung neuer Angriffsmöglichkeiten genutzt.
Das Wissen um Security Defizite bei Hard- und Software wird meist auf dem Schwarzmarkt angeboten. Man kauft sich gleichsam eine Schwachstelle, der Kaufpreis hängt von der Qualität des Security-Defizits und dem damit verbundenen Schad- bzw. Ertragspotential ab.
Viele Angriffe bzw. Tools haben es mittlerweile zu zweifelhaftem Weltruhm gebracht (z.B. Stuxnet, WannaCry, RobinHood, Solarwinds-Hack, Kaseya VSA Angriff, …).
Oft sind nationale, militärische Interessen oder Geheimdienstaktivitäten im Spiel. Ein Großteil der Angriffe verfolgt jedoch ganz klar wirtschaftliche Ziele. Neben großen Konzernen werden zunehmend kleinere und mittlere Unternehmen zur leichten Beute und damit zu lukrativen Geldquellen für die Räuber. Fast jedes System kann geknackt werden – es ist nur eine Frage des Aufwandes.
Und damit gilt: Je besser Systeme geschützt sind, desto höher der Aufwand für den Angreifer und desto uninteressanter das Ziel. Die Wahrscheinlichkeit, dass sich Angreifer anderen, schlechter geschützten, sich lohnenderen und damit für sie attraktiveren Zielen zuwenden, steigt.
Warum funktioniert Cyber Kriminalität (anscheinend) so gut?
Wie bereits angesprochen sind vielfach architekturelle und technische Unzulänglichkeiten von Hardware und insbesondere Software zu beobachten, deren Defizite ausgenutzt werden.
Vielfach herrscht aber auch ein hohes Maß an Sorglosigkeit im Umgang mit den Systemen als solches, bei deren Konfiguration und Administration (zB Original- oder Standardpasswörter werden nie verändert), ebenso nachlässiger Umgang mit Systemwartungen und Patch Management: Updates zur Schließung erkannter Defizite, welche durch die Hersteller im Anlassfall rasch entwickelt und bereitgestellt werden, werden durch Anwender – so überhaupt – erst deutlich verspätet installiert.
Oftmals sind Schutzbehauptungen im Spiel („wir haben ohnehin nichts verändert“). Viele stecken gerne den Kopf in den Sand („wir sind ein uninteressantes Ziel“) in der Hoffnung, dass es sie nicht erwischt oder wiegen sich in trügerischer Sicherheit („wir sind noch nie angegriffen worden“).
Und, last but not least, ist der menschliche Faktor per se nicht zu unterschätzen: Neben Bequemlichkeit und Sorglosigkeit, etwa im Umgang mit Dokumenten, Passwörtern und Weitergabe von Informationen bietet professionell betriebenes Social Engineering ein reiches, sehr erfolgreiches Betätigungsfeld für Cyberkriminelle. Analysen durchgeführter Angriffe offenbaren oftmals, wie geradezu erschreckend leicht Angreifer an entscheidende Informationen gelangt sind.
Abwehr von Cyberangriffen – ein hoffnungsloses Unterfangen?
Auf den ersten Blick birgt die Position des potentiellen Opfers nur Nachteile:
- Ein Angreifer muss beispielsweise nur eine einzige, passende Schwachstelle finden – der Verteidiger muss jedoch alle potentiellen Defizite beseitigen und sich gegen verschiedenste Angriffsvektoren schützen.
- Der Angreifer kann zu einem beliebigen – für den Verteidiger möglichst unangenehmen – Zeitpunkt agieren (z.B. Nacht, Wochenende, Urlaub, Vertretung, …), der Verteidiger muss jederzeit handlungsfähig sein.
- Für den Angreifer genügt meist der einmalige Erfolg – für den Verteidiger ist dies jedoch genau ein Erfolg zu viel.
ABER:
- Für die Position des Verteidigers spricht, nicht bei Null beginnen zu müssen. Er kann auf hervorragende, sehr gute, zielführende und praxistaugliche Standards, Normen, Tools etc. zurückgreifen.
- Er kann seine Abwehr schrittweise aufbauen, diese laufend prüfen und perfektionieren und es dem Angreifer somit immer schwieriger machen, zum Erfolg zu gelangen.
- Der Verteidiger verfügt in der Regel über genügend Zeit, Schwachstellen aufzudecken und sich auf potentielle Angriffe vorzubereiten.
- Ein weiterer Vorteil: Maßnahmen an richtiger Stelle resultieren schnell in einem großen Plus an Sicherheit.
Cyberkriminalität als operatives Risiko
Cyberangriffe zählen mittlerweile mit zu den größten Risiken, auch bei Klein- und Mittelbetrieben. Das Positive: in den meisten Unternehmen ist der Geschäftsleitung Cyber Security als operatives Risiko sehr bewusst. Das althergebrachte Vorgehen, einen Security Incident als Anlassfall zu nehmen, um die Akzeptanz für erforderliche Verbesserungsmaßnahmen zu erhalten, ist schon lange nicht mehr angebracht. Zielführendes Handeln ist angesagt, das Entscheidende ist, DASS man das auch tut!
Eine der wichtigsten, in Zusammenhang mit Cyber Kriminalität zu stellenden Fragen ist: „Wie lange können Sie bzw. Ihre Organisation tatsächlich ohne funktionierende IT auskommen?“
Die Antwort liefert eine saubere Risikoanalyse, welche die Assets eines Unternehmens, potentielle Bedrohungen sowie erforderlichen Schutzbedarf umfasst und diesen transparent aufschlüsselt – oftmals mit überraschenden Ergebnissen! Ziel der darauf basierenden Risikominimierung ist es, unter wirtschaftlichen Gesichtspunkten im Spannungsfeld zwischen der Erreichung eines angemessenen Sicherheitsniveaus versus hierfür zu erwartenden Kosten und Investitionen ein Optimum zu erreichen.
Die gute Nachricht: Sicherheitsbewusstes Agieren und die Anwendung grundlegende Maßnahmen helfen bereits sehr, einen großen Teil der Angriffe abzuwehren. Rückblickende Analysen von erfolgreicher Cyber Attacken zeigen, dass oftmals durchaus bekannte, einfach zu schließende Schwachstellen ausgenutzt wurden. Gerade bei der Prävention und der Abwehr von Cyberangriffen lassen sich unter Anwendung des Pareto-Prinzips (80% der Ergebnisse werden mit 20% des Gesamtaufwandes erreicht, die verbleibenden 20% erfordern mit 80% des Gesamtaufwandes überproportional viel Arbeit) für Priorisierung und Auswahl der fundamentalsten Sicherheitsmechanismen mit dem jeweils größten Nutzen sehr schnell wichtige Erfolge erzielen.
Wie schützt man sich am besten? Was ist konkret zu tun?
Erster Schritt ist die Analyse der bestehenden Situation (hierbei kann Act2Perform© sehr helfen) unter Nutzung detaillierter Prüfkataloge z.B. ISMS Standards, ISO 2700x, ISO 27005, ISO 31010, IT-Grundschutz des BSI, aber auch des Österreichischen Informationssicherheitshandbuchs bzw. des WKO Leitfadens IT-Sicherheit. Solche Kataloge werden bspw. auch für geförderte Data & IT Security Erhebungen verwendet und sind ebenso für Belange des DSG bzw. der DSGVO relevant.
Aus diesen Ergebnissen leiten sich auf Basis grundlegender IT-strategischer Überlegungen und entsprechendem Risikomanagement die wichtigsten Handlungsfelder ab. Die konsequente Umsetzung der resultierenden TOMs (technisch organisatorische Maßnahmen) bildet dabei das Rückgrat der Cyberabwehr Maßnahmen.
Der Bogen der Betrachtung ist dabei weit gespannt und umfasst unter anderem die Bereiche Infrastruktur, Betrieb, Wartung, Netzwerksicherheit, Endpoint Management und Berechtigungen bis hin zum Personaleinsatz.
Fokuspunkte sind unter anderem:
- Schutz der (kritischen) Infrastruktur, Implementierung zielführender Zutritts-, Zugangs- und Berechtigungskonzepte. Selbstverständlich müssen die gesetzten Maßnahmen mit bestehenden Vorkehrungen zum Schutz der Infrastruktur zusammenarbeiten und diese ergänzen, z.B. USV- / Notstromversorgung, Datenanbindungen, Klimatechnik, Ausweichstandorte, aber auch Schlüsselmanagement, Aufsichtspflichten bei Zutrittskontrollen, etc.
- Im Anlassfall müssen intelligente Sicherungskonzepte und Notfallvorsorgen, leistungsfähige Backup und Disaster Recovery Mechanismen greifen, die im operativen Betrieb auch immer wieder erprobt und perfektioniert werden. Krisenmanagement und Notfallplanung (inkl. DSGVO relevanter Meldepflichten!) gehören selbstverständlich ebenfalls dazu.
- Regelmäßige Wartung der Systeme, laufendes Patch Management (insbesondere bei erkannten Sicherheitslücken!).
- Dazu gehören auch Verfügbarkeit und Dimensionierung von Komponenten, Monitoring, Alarmierungen im Fall von Angriffen
- Kontrollierte Beschaffung von Software und stringente Demand Prozesse
- Einsatz von (Fremd-)Personal, Umgang mit personellen Veränderungen
- Berechtigungskonzepte inkl. Entzug(!) der Berechtigungen auf Basis „need to know / least privilege“, Passwort Management (besonders kritisch: Rücksetz-Prozess!)
- Klassifizierung von Dokumenten, Entsorgung von Dokumenten, Daten und Datenträgern, Umgang mit Wechselmedien, USB-Sticks, etc.
- Verschlüsselung von Arbeitsplatzsystemen, Datenverschlüsselung, Clear Desk / Clear Screen Policies
- Remote Access Security (Home Office!), Mehr-Faktor-Authentifizierung, Umgang mit fehlgeschlagenen Anmeldeversuchen
- Netzwerksegmentierung, Firewall Konfiguration, Nutzung sicherer Protokolle, Einsatz von VPN, Layered Defense / Filtermechanismen, Hardening relevanter Systeme, Application Whitelisting, WLAN Sicherheit, Technischer Virenschutz, Anti-Malware Konzept, etc.
- Regelungen und Richtlinien für Mitarbeiter bzgl. Nutzung (privater) Geräte, Einsatz des Equipments und Benutzung von Endgeräten, Mobile Devices, E-Mail, etc.) Schulung im Umgang mit den Tools und Umgang mit Ausnahmen
- Regelungen für spezifische Personengruppen wie IT Administratoren, Unterzeichnung von Verpflichtungserklärungen
- Unterrichtung der Mitarbeiter bzgl. Security Awareness und Bewusstseinsbildung bzgl. Social Engineering (eines der klassischen Eingangstore!), laufende Trainings, Umgang mit Phishing, CEO Fraud, Verhalten im Internet und in sozialen Medien, etc.
- Umgang mit Security Vorfällen (Verantwortlichkeiten, Kommunikation, …), richtiges Verhalten im Anlassfall
Zu den wichtigsten Aktivitäten zum Schutz gegen Cyber Angriffen zählen die regelmäßige Durchführung von Audits bzw. Assessments und Folge-Assessments bei Veränderungen (etwa nach Einspielung neuer Software-Versionen im Zug von Wartungsaktivitäten, Erneuerung von Komponenten), ebenso wie Vulnerability Scans und Penetration Tests sowie wiederkehrende Überprüfung der Einhaltung der Datenschutz-Vorgaben.
Viele dieser Maßnahmen sind selbsterklärend und meist „ohnehin klar“, im Konkreten bedarf das eine oder andere Thema dann aber doch intensiverer Betrachtung. Da selbst Experten auf Grund von „Betriebsblindheit“ durchaus auch einmal Dinge übersehen bzw. vor (Flüchtigkeits-) Fehlern nicht gefeit sind, ist die Hinzunahme externer Expertise sehr zu empfehlen.
Damit Ihr Unternehmen kein Fall für die Schlagzeilen wird, ist ResultONE der richtige Partner: ResultONE kann – gemeinsam mit hochspezialisierten Partnern – die erforderlichen Prüfungen vornehmen und Empfehlungen abgeben. ResultONE verfügt auch über das Zertifikat „certified Data & IT Security Expert“, welches Voraussetzung für geförderte Beratungen und Einreichung entsprechender Förderungen ist.
Nehmen Sie Kontakt mit uns auf – der richtige Zeitpunkt hierfür ist: JETZT!