Artikel

Cyber Attacken: Ist Ihr Unternehmen ausreichend geschützt?

Kaum ein Tag vergeht, an dem in den Schlagzeilen nicht von Firmen berichtet wird, die Opfer von Cyber Attacken wurden. Die kommerziellen Schäden auf Grund gehackter Daten und verbundener Image­verluste sind meist enorm. Die Dunkelziffer Betroffener ist verständlicher­weise sehr hoch:  Nicht zuletzt auf Grund potentieller Implikationen will kaum jemand zugeben, einer Erpressung durch Zahlung von Lösegeld begegnet zu sein, beispielsweise um seine durch Ransomware verschlüsselten Systeme und Daten wieder nutzen zu können.

Die Angreifer

Im Bereich der Cyber-Kriminalität hat sich eine mächtige Industrie entwickelt, die hochprofessionell agiert und auf Basis globalisierter Wertschöpfungsketten sehr arbeitsteilig funktioniert:

Anbieter stellen hoch­spezi­fi­sche Funk­tio­nen und Kompo­nen­ten ein­schließ­lich garan­tierter Erfolgsquoten, SLAs, Rabatt­modelle, etc. zur Ver­fü­gung.

Angreifer stellen für den je­wei­ligen Einsatzzweck die erforderlichen Kom­ponen­ten bau­kastenartig zusammen und kon­figurieren sie nach Erforder­nis.

Nach erfolg­reichen Attacken werden die Gewinne aufgeteilt, oft sind Er­folgs­provisions­modelle im Spiel. Die erzielten Gewinne werden für Weiter­ent­wick­lun­gen der jeweiligen Kom­po­nen­ten, deren Benutzer­freundlich­keit, Kon­fi­gu­rier­bar­keit, Automatisierung der damit vorgetragenen Angriffe, selbstverständlich auch für die Bereitstellung neuer Services sowie Entdeckung und Erschließung neuer Angriffsmöglichkeiten genutzt.

Das Wissen um Security Defizite bei Hard- und Software wird meist auf dem Schwarzmarkt angeboten. Man kauft sich gleichsam eine Schwachstelle, der Kaufpreis hängt von der Qualität des Security-Defizits und dem damit verbundenen Schad- bzw. Ertragspotential ab.

Viele Angriffe bzw. Tools haben es mittlerweile zu zweifelhaftem Weltruhm gebracht (z.B. Stuxnet, WannaCry, RobinHood, Solarwinds-Hack, Kaseya VSA Angriff, …).

Oft sind nationale, militärische Inter­essen oder Geheimdienstaktivitäten im Spiel. Ein Groß­teil der Angriffe verfolgt jedoch ganz klar wirt­schaft­­liche Ziele. Neben großen Konzernen werden zunehmend kleinere und mittlere Unter­nehmen zur leichten Beute und damit zu lukrativen Geldquellen für die Räuber. Fast jedes System kann geknackt werden – es ist nur eine Frage des Auf­wan­des.

Und damit gilt: Je besser Systeme geschützt sind, desto höher der Auf­wand für den Angreifer und desto un­interes­santer das Ziel. Die Wahr­schein­lichkeit, dass sich Angreifer anderen, schlechter ge­schützten, sich lohnen­deren und damit für sie attraktiveren Zielen zu­wen­den, steigt.

Warum funktioniert Cyber Kriminalität (anscheinend) so gut?

Wie bereits angesprochen sind vielfach architekturelle und technische Unzulänglichkeiten von Hardware und insbesondere Software zu beobachten, deren Defizite ausgenutzt werden.

Vielfach herrscht aber auch ein hohes Maß an Sorglosigkeit im Umgang mit den Systemen als solches, bei deren Konfiguration und Administration (zB Original- oder Standardpasswörter werden nie verändert), ebenso nachlässiger Umgang mit System­wartungen und Patch Manage­ment: Updates zur Schließung erkannter Defizite, welche durch die Hersteller im Anlassfall rasch entwickelt und bereit­ge­stellt werden, werden durch Anwender – so überhaupt – erst deutlich verspätet installiert.

Oftmals sind Schutz­behauptungen im Spiel („wir haben ohnehin nichts verän­dert“). Viele stecken gerne den Kopf in den Sand („wir sind ein uninteressantes Ziel“) in der Hoffnung, dass es sie nicht erwischt oder wiegen sich in trüge­ri­scher Sicherheit („wir sind noch nie angegriffen worden“).

Und, last but not least, ist der menschliche Faktor per se nicht zu unterschätzen: Neben Bequem­lichkeit und Sorglosigkeit, etwa im Umgang mit Dokumenten, Passwörtern und Weitergabe von Informationen bietet professionell betriebenes Social Engineering ein reiches, sehr erfolgreiches Betätigungsfeld für Cyberkriminelle. Analysen durchgeführter Angriffe offenbaren oftmals, wie geradezu erschreckend leicht Angreifer an entscheidende Informationen gelangt sind.

Abwehr von Cyberangriffen – ein hoffnungsloses Unterfangen?

Auf den ersten Blick birgt die Position des potentiellen Opfers nur Nachteile:

  • Ein Angreifer muss beis­piels­­weise nur eine einzige, pas­sende Schwach­stelle finden – der Ver­tei­diger muss jedoch alle poten­tiellen Defizite be­sei­tigen und sich gegen ver­schiedenste Angriffs­vektoren schützen.
  • Der Angreifer kann zu einem be­lie­bigen – für den Verteidi­ger mög­lichst unangeneh­men – Zeit­punkt agieren (z.B. Nacht, Wochenende, Urlaub, Vertretung, …), der Ver­teidiger muss jederzeit handlungsfähig sein.
  • Für den Angreifer genügt meist der einmalige Erfolg – für den Verteidiger ist dies jedoch genau ein Erfolg zu viel. 

ABER:

  • Für die Position des Verteidigers spricht, nicht bei Null beginnen zu müssen. Er kann auf hervor­ragende, sehr gute, zielführende und praxistaugliche Standards, Normen, Tools etc. zurückgreifen.
  • Er kann seine Abwehr schrittweise aufbauen, diese laufend prüfen und perfektionieren und es dem Angreifer somit immer schwieriger machen, zum Erfolg zu gelangen.
  • Der Verteidiger verfügt in der Regel über genügend Zeit, Schwach­stellen aufzudecken und sich auf poten­tielle Angriffe vorzubereiten.
  • Ein weiterer Vorteil: Maßnahmen an richtiger Stelle resultieren schnell in einem großen Plus an Sicherheit.

Cyberkriminalität als operatives Risiko

Cyberangriffe zählen mittlerweile mit zu den größten Risiken, auch bei Klein- und Mittelbetrieben. Das Positive: in den meisten Unternehmen ist der Geschäftsleitung Cyber Security als operatives Risiko sehr bewusst. Das alther­gebrachte Vorgehen, einen Security Incident als Anlassfall zu nehmen, um die Akzeptanz für erforderliche Verbesserungsmaßnahmen zu erhalten, ist schon lange nicht mehr angebracht. Zielführendes Handeln ist angesagt, das Entscheidende ist, DASS man das auch tut!

Eine der wichtigsten, in Zusammenhang mit Cyber Kriminalität zu stellenden Fragen ist: „Wie lange können Sie bzw. Ihre Organisation tatsächlich ohne funktionierende IT auskommen?“

Die Antwort liefert eine sau­bere Risikoanalyse, welche die Assets eines Unter­neh­mens, potentielle Bedrohun­gen sowie erforderlichen Schutz­bedarf um­­fasst und diesen transpar­ent auf­schlüsselt – oftmals mit über­raschenden Ergebnissen! Ziel der darauf ba­sie­renden Risiko­mini­mie­rung ist es, unter wirtschaftlichen Gesichts­punk­ten im Spannungsfeld zwischen der Erreichung eines ange­mes­senen Sicherheits­niveaus ver­sus hierfür zu er­war­tenden Kosten und Investitionen ein Optimum zu erreichen.

Die gute Nachricht: Sicherheitsbewusstes Agieren und die Anwendung grundlegende Maßnahmen helfen bereits sehr, einen großen Teil der Angriffe abzuwehren. Rückblickende Analysen von erfolgreicher Cyber Attacken zeigen, dass oftmals durchaus bekannte, einfach zu schließende Schwachstellen ausgenutzt wurden. Gerade bei der Prävention und der Abwehr von Cyberangriffen lassen sich unter Anwendung des Pareto-Prinzips (80% der Ergebnisse werden mit 20% des Gesamt­aufwandes erreicht, die verbleibenden 20% erfordern mit 80% des Gesamtaufwandes überproportional viel Arbeit) für Priorisierung und Auswahl der fundamentalsten Sicherheitsmechanismen mit dem jeweils größten Nutzen sehr schnell wichtige Erfolge erzielen. 

Wie schützt man sich am besten? Was ist konkret zu tun?

Erster Schritt ist die Analyse der bestehenden Situation (hierbei kann Act2Perform© sehr helfen) unter Nutzung detaillierter Prüfkataloge z.B. ISMS Standards, ISO 2700x, ISO 27005, ISO 31010, IT-Grundschutz des BSI, aber auch des Österreichischen Informationssicherheitshandbuchs bzw. des WKO Leitfadens IT-Sicherheit. Solche Kataloge werden bspw. auch für geförderte Data & IT Security Erhebungen verwendet und sind ebenso für Belange des DSG bzw. der DSGVO relevant.

Aus diesen Ergeb­nissen leiten sich auf Basis grund­legender IT-stra­te­gischer Über­legungen und ent­sprechendem Risiko­management die wichtigsten Handlungs­felder ab. Die konse­quen­te Umsetzung der resultieren­den TOMs (technisch organisa­to­ri­sche Maßnahmen) bil­det dabei das Rückgrat der Cyber­abwehr Maßnahmen.

Der Bogen der Betrachtung ist dabei weit gespannt und umfasst unter anderem die Bereiche Infrastruktur, Betrieb, Wartung, Netzwerksicherheit, Endpoint Management und Berechtigungen bis hin zum Personal­einsatz.

Fokuspunkte sind unter anderem:

  • Schutz der (kritischen) Infrastruktur, Implementierung zielführender Zutritts-, Zugangs- und Berechtigungs­konzepte. Selbstverständlich müssen die gesetzten Maßnahmen mit bestehenden Vorkehrungen zum Schutz der Infrastruktur zusammenarbeiten und diese ergänzen, z.B. USV- / Notstrom­versorgung, Datenanbindungen, Klimatechnik, Ausweichstandorte, aber auch Schlüssel­management, Aufsichtspflichten bei Zutritts­kontrollen, etc.
  • Im Anlassfall müssen intelligente Sicherungskonzepte und Notfallvorsorgen, leistungsfähige Backup und Disaster Recovery Mechanismen greifen, die im operativen Betrieb auch immer wieder erprobt und perfektioniert werden. Krisenmanagement und Notfallplanung (inkl. DSGVO relevanter Meldepflichten!) gehören selbstverständlich ebenfalls dazu.
  • Regelmäßige Wartung der Systeme, laufendes Patch Management (insbesondere bei erkannten Sicherheitslücken!).
  • Dazu gehören auch Verfügbarkeit und Dimensionierung von Komponenten, Monitoring, Alarmierungen im Fall von Angriffen
  • Kontrollierte Beschaffung von Software und stringente Demand Prozesse
  • Einsatz von (Fremd-)Personal, Umgang mit personellen Veränderungen
  • Berechtigungskonzepte inkl. Entzug(!) der Berechtigungen auf Basis „need to know / least privilege“, Passwort Management (besonders kritisch: Rücksetz-Prozess!)
  • Klassifizierung von Dokumenten, Entsorgung von Dokumenten, Daten und Datenträgern, Umgang mit Wechselmedien, USB-Sticks, etc.
  • Verschlüsselung von Arbeitsplatzsystemen, Datenverschlüsselung, Clear Desk / Clear Screen Policies
  • Remote Access Security (Home Office!), Mehr-Faktor-Authentifizierung, Umgang mit fehl­geschlagenen Anmeldeversuchen
  • Netzwerksegmentierung, Firewall Konfiguration, Nutzung sicherer Protokolle, Einsatz von VPN, Layered Defense / Filtermechanismen, Hardening relevanter Systeme, Application Whitelisting, WLAN Sicherheit, Technischer Virenschutz, Anti-Malware Konzept, etc.
  • Regelungen und Richtlinien für Mitarbeiter bzgl. Nutzung (privater) Geräte, Einsatz des Equipments und Benutzung von Endgeräten, Mobile Devices, E-Mail, etc.) Schulung im Umgang mit den Tools und Umgang mit Ausnahmen
  • Regelungen für spezifische Personengruppen wie IT Administratoren, Unterzeichnung von Verpflichtungserklärungen
  • Unterrichtung der Mitarbeiter bzgl. Security Awareness und Bewusstseinsbildung bzgl. Social Engineering (eines der klassischen Eingangstore!), laufende Trainings, Umgang mit Phishing, CEO Fraud, Verhalten im Internet und in sozialen Medien, etc.
  • Umgang mit Security Vorfällen (Verantwortlichkeiten, Kommunikation, …), richtiges Verhalten im Anlassfall

Zu den wichtigsten Aktivitäten zum Schutz gegen Cyber Angriffen zählen die regelmäßige Durchführung von Audits bzw. Assessments und Folge-Assessments bei Veränderungen (etwa nach Einspielung neuer Software-Versionen im Zug von Wartungsaktivitäten, Erneuerung von Komponenten), ebenso wie Vulnerability Scans und Penetration Tests sowie wiederkehrende Überprüfung der Einhaltung der Datenschutz-Vorgaben.

Viele dieser Maßnahmen sind selbsterklärend und meist „ohnehin klar“, im Konkreten bedarf das eine oder andere Thema dann aber doch intensiverer Betrachtung. Da selbst Experten auf Grund von „Betriebsblindheit“ durchaus auch einmal Dinge übersehen bzw. vor (Flüchtigkeits-) Fehlern nicht gefeit sind, ist die Hinzunahme externer Expertise sehr zu empfehlen.

Damit Ihr Unternehmen kein Fall für die Schlagzeilen wird, ist ResultONE der richtige Partner: ResultONE kann – gemeinsam mit hochspezialisierten Partnern – die erforderlichen Prüfungen vornehmen und Empfehlungen abgeben. ResultONE verfügt auch über das Zertifikat „certified Data & IT Security Expert“, welches Voraussetzung für geförderte Beratungen und Einreichung entsprechender Förderungen ist.

Nehmen Sie Kontakt mit uns auf – der richtige Zeitpunkt hierfür ist: JETZT!

Fragen?

Rufen Sie uns an: +43 676 3456 340 oder +43 676 3456 342.