Erfolgreiche Cyber-Attacken sind nur eine Frage der Zeit

IT-Systeme mit Sustainable Cyber Resilience für Angriffsfälle härten

Von unserem Gastautor Dirk Schrader, CMO von Greenbone Networks

[datensicherheit.de, 28.09.2018] Hacker gehen heute immer professioneller und aggressiver vor – und für Unternehmen ist es nur mehr eine Frage der Zeit, bis ein Angriff auf ihre IT-Systeme erfolgreich ist. Rein technologische Maßnahmen, die reaktiv auf die neuesten Hacker-Strategien ausgerichtet sind, reichen zur Abwehr jedoch nicht mehr aus. Vielmehr muss Cyber Security primär auch organisatorische Maßnahmen beinhalten. Das Konzept Sustainable Cyber Resilience zeigt, wie eine solche umfassende Sicherheitsstrategie aussehen kann.

Cyber-Attacken nehmen zu

Die Zahl an Cyber-Attacken auf Unternehmen nimmt stetig zu. Laut einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren 2016 und 2017 insgesamt bereits 70 Prozent der Unternehmen in Deutschland von Cyber-Angriffen betroffen. Doch die dabei eigentlich fatale Zahl: Bei knapp der Hälfte der Attacken konnten sich Hacker Zugriff auf die IT-Systeme der Unternehmen verschaffen und diese beeinflussen oder sogar manipulieren. Jeder zweite erfolgreiche Angriff zog zudem Produktions- oder Betriebsausfälle nach sich. Letzteres ist insbesondere bei Betreibern von Kritischen Infrastrukturen (KRITIS) höchst bedenklich – man male sich die Folgen eines Blackouts der Stromversorgung aus: Lebensmittel würden nicht mehr gekühlt, Notrufe ließen sich nicht tätigen und sogar die Frischwasserversorgung wäre gefährdet.

Unternehmen sind zum Schutz ihrer IT-Landschaft verpflichtet

Regulatorische Instanzen haben bereits auf die zunehmende Zahl von Cyber-Angriffen reagiert. Im Juli 2016 trat etwa die EU-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union, die NIS-Richtlinie, in Kraft. In Deutschland wurde dafür am 29. Juni 2017 das Umsetzungsgesetz zur NIS-Richtlinie verkündet. Es erweitert das bereits seit Juli 2015 existierende deutsche IT-Sicherheitsgesetz (IT-SIG), in dem schon viele der Regularien für kritische Infrastrukturen festgeschrieben sind, die das neue EU-Gesetz jetzt fordert. Das IT-SIG schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem „Stand der Technik“ umzusetzen und erhebliche IT-Störungen an das BSI zu melden. Auch die am 25. Mai 2018 verbindlich in Kraft getretene EU-DSGVO fordert, dass Unternehmen die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüfen. Zudem sind Sicherheitsvorfälle innerhalb von 72 Stunden zu melden.

Für Unternehmen ist es also höchste Zeit, die Sicherheitsvorkehrungen für die eigene IT-Landschaft unter die Lupe zu nehmen, um diesen Anforderungen gerecht zu werden und sich effektiv zu schützen. Denn Fakt ist: Fast alle Geschäftsprozesse in Unternehmen laufen heute digital ab oder haben elektronische Komponenten. Zudem sind sie meist komplex miteinander vernetzt. Das bedeutet: Hat sich ein Hacker einmal Zugriff auf das IT-System verschafft, kann er theoretisch auch auf andere am Netzwerk angeschlossene Geräte, Systeme und Applikationen oder auch Produktionsmaschinen zugreifen. So lautet die Frage heute nicht mehr, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann.

Auch bei erfolgreichen Hacker-Angriffen handlungsfähig bleiben

Das Vorhaben die komplette Unternehmens-IT angriffssicher zu machen, ist dabei jedoch aussichtslos. Denn mit jeder Änderung der Systemlandschaft – sei es eine neue Software, ein Update einer bestehenden Applikation oder auch ein nicht eingespieltes Patch – entstehen potenziell neue Schwachstellen. Daher empfiehlt es sich vielmehr, Risiken so gut wie möglich zu managen und so zu minimieren.

Das Konzept Sustainable Cyber Resilience bietet dafür die nötigen Handlungsansätze. Im Gegensatz zu herkömmlichen IT-Sicherheitsmaßnahmen, die vor allem auf Security-Technologie fokussieren, bezieht das Konzept auch die organisatorische Ebene mit ein. So gilt es, auch Mitarbeiter für Risiken zu sensibilisieren – sodass sie etwa betrügerische E-Mails erkennen können und infizierte Anhänge oder Links nicht öffnen. Auch die physische Sicherheit von Geräten (Safety) sollte ein zentraler Punkt in der Cyber-Resilience-Strategie eines Unternehmens sein, damit sich Mitarbeiter etwa im Falle eines Angriffs auf eine Produktionsmaschine nicht verletzen können. Zudem müssen auch Verantwortlichkeiten festgelegt werden, die genau regeln, wer bei welchem Sicherheitsvorfall für was zuständig ist. Ziel des Konzepts ist es, auch im Falle eines Angriffs handlungsfähig zu bleiben und den Betrieb aufrechtzuerhalten.

Schwachstellenmanagement ist elementar

Grundlage ist dabei ein effektives Schwachstellenmanagement (englisch: Vulnerability Management). Denn in erster Linie gilt es, die Angriffsfläche eines Unternehmens auf ein Minimum zu reduzieren. Ein gutes Tool scannt täglich alle an ein Netzwerk angeschlossenen Geräte auf Schwachstellen und gibt Hinweise, wie sie sich schließen lassen. Doch auch hier gilt: Alle Vulnerabilities flächendeckend zu bearbeiten, ist weder möglich noch wirtschaftlich. Vielmehr müssen sie gemäß ihrem Risiko priorisiert werden – sprich: Welchen Schaden könnte ein Angriff auf die jeweilige Schwachstelle verursachen? Notwendig ist zudem, einen Risikoschwellenwert zu definieren. Dieser beschreibt, welches Risiko ein Unternehmen bereit ist, einzugehen. In Bezugnahme auf beide Kennzahlen – dem potenziellen Schaden und dem Risikoschwellenwert – erstellt das Schwachstellen-Tool dann eine priorisierte Liste. Schwachstellen mit dem höchsten Risiko sollten Verantwortliche als Erstes schließen.

Fazit: Risiken lassen sich auf ein Minimum reduzieren

Die Gefahr durch Cyber-Angriffe steigt. Um auch im Falle einer erfolgreichen Hacker-Attacke – wie sie früher oder später der Fall sein wird – handlungsfähig zu bleiben, müssen Unternehmen widerstandsfähig gegen Angriffe werden. Das schreiben auch regulatorische Instanzen wie die EU vor. Kernbausteine einer guten Cyber-Resilience-Strategie sind sowohl organisatorische Maßnahmen als auch ein professionelles Vulnerability Management. Letzteres spürt bekannte Schwachstellen auf, bewertet ihr Risiko und gibt Handlungsempfehlungen, um sie zu schließen. Auf diese Weise lassen sich Risiken zwar nicht komplett ausschalten, aber auf ein Minimum reduzieren. So bleiben Unternehmen auch im Ernstfall handlungsfähig.

Bild: Greenbone Networks

Dirk Schrader, CMO Greenbone Networks

Über den Autor

Dirk Schrader (CISSP, CISM) ist Chief Marketing Officer (CMO) bei Greenbone, Lösungsanbieter zur Schwachstellen-Analyse von IT-Netzwerken. Er verfügt über mehr als 15 Jahre Erfahrung im Bereich IT Security. Bei Greenbone ist er im Management-Team für die Marketingaktivitäten sowie den internationalen Vertrieb mit einem erweiterten Partnernetzwerk verantwortlich.

Weitere Informationen zum Thema:

Greenbone Networks
Sustainable Cyber Resilience im Energiesektor

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

datensicherheit.de, 29.08.2018
Staatlicher Umgang mit Schwachstellen in Software

datensicherheit.de, 19.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit