Von:
Tim Berghoff,
Security Evangelist
bei G DATA CyberDefense
Seit Jahren nimmt die Zahl der Cyberattacken zu. Fast täglich berichten Medien über erfolgreiche Angriffe auf Unternehmen. Hinzu kommt: Cyberkriminelle agieren immer professioneller, sodass auch die Schadenssummen steigen. Nach Berechnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben Ransomware-Attacken in Deutschland im Jahre 2021 einen Schaden von 24,3 Milliarden Euro verursacht (2019: 5,3 Mrd.).
Vor diesem Hintergrund erhöhen viele Unternehmen ihre Investitionen in Cybersicherheit. Aber: IT-Sicherheit ‚richtig‘ zu machen, ist nicht ganz billig. Experten empfehlen, je nach Unternehmen und IT-Infrastruktur einen Betrag zwischen 0,5 und einem Prozent des Gesamtumsatzes zu investieren. Dabei sollten Verantwortliche die Auseinandersetzung mit IT-Sicherheit als Chance begreifen, um business-kritische Prozesse zu prüfen und sinnvoll abzusichern. Darüber hinaus ist es empfehlenswert, zusätzlich zu allen Sicherheitsmaßnahmen stets auch das Eintreten eines IT-Notfalls in die Überlegungen einzubeziehen. Fachleute sprechen in diesem Zusammenhang von Incident Readiness.
Kritische Netzwerke segmentieren
Versorgungsunternehmen nutzen Anlagen, die oftmals über mehrere Jahrzehnte im Einsatz sind. Deren Steuerungsanlagen arbeiten häufig noch mit veralteten Betriebssystemen, die schon seit mehreren Jahren keine Updates mehr erhalten. Allerdings bestehen vielfältige Schnittstellen mit anderen Systemen. Diese Abhängigkeiten müssen Verantwortliche im Blick behalten, wenn sie ein Netzwerk planen.
Dann können sie kritische Systeme vom Rest des Netzwerkes segmentieren und sicher weiterbetreiben. Eine solche Segmentierung lässt sich mit Hilfe virtueller Netzwerke umsetzen. Dabei ist auch der Verkehr zwischen den Subnetzwerken zu regeln.
Papier ist geduldig – und sicher
Für IT-Notfälle brauchen Unternehmen unbedingt einen Plan - am besten auf Papier. Dieser Plan sollte unter anderem eine Übersicht des eigenen Netzwerkes und der verwendeten Geräte enthalten. Im Notfall sind diese Informationen wichtig und im Aktenschrank eindeutig praktischer aufgehoben, als auf dem verschlüsselten Server oder dem nicht funktionsfähigen Notebook des Administrators oder der Administratorin.
Dieser Krisenplan sorgt dafür, dass ein externes Incident-Response-Team deutlich schneller die Arbeit aufnehmen kann und das Unternehmen in kürzerer Zeit wieder arbeitsfähig ist. Gleichzeitig lässt sich der finanzielle Schaden begrenzen.
Human Centered Security
Technische Maßnahmen alleine verhindern keine Cyberattacke. Immer wieder manipulieren kriminelle Hacker Mitarbeitende und erhalten auf diese Weise Zugang zum Firmennetzwerk. Daher sind die eigenen Angestellten ein integraler Teil der Notfallvorsorge. Dies gelingt mit einem Update des menschlichen Verhaltens – mit Security Awareness Trainings.
Diese Schulungen stellen den Menschen in den Mittelpunkt, nicht die Technik. Mit diesen Trainings lässt sich langfristig nicht nur Aufmerksamkeit im wörtlichen Sinne, sondern ein generelles Umdenken erreichen. Mitarbeitende verstehen, welchen Beitrag sie für die IT-Sicherheit des eigenen Unternehmens leisten können. Sie erkennen dabei, welche Auswirkungen ihr Handeln hat: Denn mit dem richtigen Verhalten schützen sie nicht nur sich selbst und ihr eigenes Postfach, sondern ihren Arbeitgeber und damit auch die Arbeitsplätze der Kolleg*innen.
Einzelkämpfer gewinnen keinen IT-Sicherheitskampf
Auch an anderer Stelle kommt den Mitarbeitenden eine zentrale Rolle zu. So sollte die Größe der IT-Abteilung der Unternehmensgröße angemessen sein, damit die Mitarbeitenden in der Lage sind, alle Systeme auf dem aktuellen Stand zu halten und Angriffe frühzeitig zu erkennen. In der Realität mangelt es vielen Unternehmen allerdings an ausreichendem IT-Personal. Gerade im Mittelstand sind nicht selten nur ein oder wenige Mitarbeitende sowohl für den First-Level-Support als auch für die Wartung wichtiger Assets verantwortlich.
Wenn es an IT-Fachleuten mangelt, lassen sich beispielsweise die Warnmeldungen einer Endpoint-Protection weder regelmäßig betrachten noch auswerten. Und wer höherwertige Lösungen, wie etwa ein Security Information and Event Management (SIEM), nutzt, kann diese zusätzlich generierte Datenflut erst recht nicht bewältigen. Auch wenn ein SIEM grundsätzlich eine nützliche Sache ist, kann es ohne entsprechende Fachkräfte den optimalen Nutzen gar nicht entfalten.
Daher empfiehlt es sich gerade bei größeren und komplexen Netzwerken, eigenes IT-Sicherheitspersonal zu beschäftigen, welches nicht primär die Administration des Netzwerkes verantwortet, sondern explizit die Sicherheit im Auge behält. Das betrifft sowohl die kontinuierliche Prüfung der Infrastruktur entsprechend definierter Mindeststandards als auch das Monitoring der eingesetzten Sicherheitslösungen.
Fachleute zurate ziehen
Aktuelle Beispiele belegen: Ein Cyberangriff lässt sich nicht mit Gewissheit verhindern. Daher gilt es, für den Krisenfall alle Prozesse vorzudenken. Es beginnt schon damit, klare Verantwortlichkeiten festzulegen: Eine Stelle sollte den Krisenstab leiten und alle notwendigen Informationen zusammenführen. Diese sollte neben den technischen Fragestellungen auch rechtliche Aspekte berücksichtigen.
Angesichts des hohen Bedrohungsrisikos sollten Verantwortliche in Betracht ziehen, schon im Vorfeld Kontakt zu einem qualifizierten Dienstleister für Incident Response aufzunehmen. So sichern sich Unternehmen mit einem sogenannten Incident-Response-Retainer die Unterstützung von Fachleuten. Der Vorteil: Es gibt vertraglich zugesicherte Fristen, innerhalb derer die Experten ihre Arbeit aufnehmen. Hinzu kommt: Bei Großlagen, wie einer gravierenden Schwachstelle in einem geschäftskritischen System, ist die kurzfristige Verfügbarkeit entsprechender Dienstleister nicht immer garantiert. Wer vorab einen Vertrag abschließt, genießt hier Priorität, bleibt im Krisenfall handlungsfähig und muss nicht untätig zuschauen.
Reden hilft
Wenn die IT und damit das Unternehmen stillsteht, haben Verantwortliche andere Dinge im Sinn als die Kommunikation mit Mitarbeiter*innen, Kunden und der Öffentlichkeit. Zu groß ist die Unsicherheit, vielleicht auch die Scham, zuzugeben, einer Cyberattacke zum Opfer gefallen zu sein. Doch gerade in der Notlage gilt: Wer gut kommuniziert, verhindert einen langfristigen Imageschaden und kann gleichzeitig die Krise als Chance nutzen.
Dabei sollte nur kommuniziert werden, was bereits gesichert ist. Deshalb ist es wichtig, dass Verantwortliche auf Spekulationen über Folgen oder Reichweite des Angriffs verzichten, wenn dazu noch keine gesicherten Informationen vorliegen. Somit ist die Unternehmenskommunikation ein elementarer Bestandteil eines jeden Krisenstabes.
Fazit: Wer Geld in IT-Sicherheit investiert, spart am Ende
Wer für Incident Readiness sorgt, steht im IT-Notfall deutlich besser da und ist auch schneller wieder handlungsfähig. Untersuchungen haben ergeben, dass bei einem IT-Notfall nicht der Einsatz des Incident-Response-Teams der größte Kostenpunkt ist, sondern der entgangene Umsatz durch den Stillstand des Unternehmens.
Verantwortliche sollten sich besser heute als morgen mit dem Thema IT-Sicherheit auseinandersetzen und ihre Strategie anpassen. Das kostet erst einmal Geld und macht Arbeit – wird aber langfristig von großem Nutzen sein. Denn bereits ein verhinderter Incident kann die Kosten für die Sicherheit mehrfach decken. (sg)
