Cyber Resilience

Andreas Mühlbauer,

Den Internetkriminellen immer einen Schritt voraus

Internetkriminalität ist mittlerweile allgegenwärtig. Was können Unternehmen und IT-Verantwortliche tun, damit diese Attacken erfolglos bleiben?

Cyber Resilience erfordert proaktive ebenso wie reaktive Maßnahmen. © Shutterstock

Je komplexer ein System, desto vielfältiger sind die Möglichkeiten, es aus der Balance zu bringen – diese Erkenntnis mag simpel klingen, für IT- und Kommunikationsumgebungen hat sie eine enorme Tragweite. Denn während digitale Infrastrukturen zusehends an Komplexität zulegen, strotzen Internetkriminelle vor Einfallsreichtum und Tatendrang. Mit einer ausgefeilten Cyber-Resilience-Strategie behalten Geschäftsführung und IT-Sicherheitsverantwortliche das große Ganze im Blick und verschaffen sich damit eine entscheidende Schrittlänge Vorsprung.

Angriffe auf IT-Systeme sind kein vereinzeltes Phänomen. Alle 39 Sekunden wird ein Computer von einem kriminellen Hacker angegangen. Das sind die Ergebnisse einer Studie der University of Maryland. Hochgerechnet fallen damit über 116.000 kriminelle Zugriffe pro Jahr auf ein einziges internetfähiges Endgerät. Ein teurer Spaß, der die globale Wirtschaft laut Cybersecurity Ventures mehr als sechs Billionen US-Dollar jährlich kosten könnte. Für IT-Security Manager ist klar, dass sie ganzheitliche Sicherheitskonzepte brauchen, wenn sie Cyber-Kriminellen das Handwerk legen wollen – und das am besten, bevor ein empfindlicher Schaden entstanden ist. Die Attacken können die verschiedensten Ziele haben: Industriespionage, Imageschädigung, Manipulation oder das Lahmlegen des Betriebs sind nur einige Beispiele.

Anzeige

Der Clou moderner Security-Strategien besteht darin, Datendieben und IT-Saboteuren stets einen Schritt voraus zu sein und im Zweifel schnell und vor allem gezielt reagieren zu können. Mit Cyber Resilience setzen Unternehmen auf einen holistischen Methodenkatalog, der ebenso vielseitig ist wie die illegalen Werkzeugkoffer der Internetganoven – und damit ein vorausschauendes und aktives Eingreifen möglich macht, das schädliche Auswirkungen von Angriffen eingrenzt oder diese sogar ganz verhindert.

Die häufigsten Tricks der Cyber-Kriminellen

Laut einer Bitkom-Studie aus dem Jahr 2018 waren in den vorangegangen zwei Jahren sieben von zehn Industrieunternehmen von Cyber-Attacken betroffen. Vor dem Hintergrund, dass 2020 der Bedarf an Remote-Diensten erheblich angestiegen ist und parallel dazu eine spürbare Prozessverlagerung in die Public Cloud stattgefunden hat, wird dieser Trend in absehbarer Zeit nicht rückläufig werden.

Eine eklatante Schwachstelle sind Zugangsdaten und Passwörter. Diese werden einerseits gestohlen, andererseits durch Brute-Force-Methoden automatisiert ausprobiert, bis mit einem zufälligen Treffer eine Authentifizierung erschlichen wird. Alternative Zugänge zu Anwendungen oder Hardware, so genannte Back Doors, sind ein ebenso populäres Mittel von Eindringlingen. Darüber hinaus hoch im Kurs ist Malware. So erklärt das BSI im Lagebericht 2020, dass die Vielfalt von Schadprogrammen immer größer wird – von Anfang 2019 bis Mitte 2020 wurde eine Zunahme von rund 117 Millionen Varianten registriert.

Nicht zu vernachlässigen ist zudem das Social Engineering, das im Wesentlichen darauf abzielt, durch persönliche Manipulation von Mitarbeiterinnen und Mitarbeitern Daten zu erschwindeln. Schließlich gibt es neben Bedrohungen, die von außen auf Unternehmen einwirken, eine Reihe von Sicherheitsrisiken, die aus der Organisation oder dem System heraus entstehen. Hierzu zählen unter anderem unübersichtliche Zugriffsberechtigungen oder auch unsachgemäß konfigurierte Applikationen sowie Anwenderfehler, die von Cyber-Kriminellen sofort ausgenutzt werden.

Cyber-Resilienz schließt den Sicherheitskreis

Es wäre zwar ideal, Sicherheitslücken vollständig zu eliminieren und Angriffe komplett zu vereiteln, dieser Vorsatz ist allerdings nicht realistisch. Denn inzwischen sind nationale und internationale Cybercrime-Netzwerke so versiert und effizient organisiert, dass sie sich schnell an gängige Schutzmechanismen anpassen. Ihre Aktivitäten sind darauf ausgelegt, immer neue Lücken in Systemen zu entdecken. Hier sind Firewalls, E-Mail-Verschlüsselung & Co. nach wie vor unverzichtbar, sie können allerdings niemals 100-prozentigen Schutz bieten. Aus diesem Grund gilt es, Schwachstellen und tote Winkel systematisch zu identifizieren, vor Ort zu sein, wenn der Angriff an einer derartigen Sollbruchstell gelingt, und effektive Maßnahmen in die Wege zu leiten, die eine Attacke so gut wie möglich abfangen.

Eine effektive Cyber Resilience umfasst mehrere Stufen. © T-Systems

Sämtliche Maßnahmen – proaktive wie reaktive – müssen fortlaufend optimiert und an das Verhalten und die Methoden von Hackern angepasst werden. Eine weitreichende Cyber-Resilienz ist dann erreicht, wenn aus einzelnen Security-, Recovery- und Business Continuity-Methoden ein geschlossener Kreislauf wird, der mit der Identifizierung von Risiken beginnt (Identify), daraus Schutzmaßnahmen ableitet (Protect), Gefährdungen weitestgehend automatisiert erkennt (Detect), gezielt auf diese Gefahren reagiert (Respond), in allen Bereichen der Infrastruktur wieder den Normalzustand herstellt (Recover) und die analysierten Erkenntnisse aus Security-Vorfällen zur Optimierung der Cyber Resilience-Mechanismen nutzt. Unternehmen, die hierzu lernfähige KI-Algorithmen einsetzen, sind sogar in der Lage, zukünftige Bedrohungen und ihre Ausprägungen besser einzuschätzen (Predictive Security).

Identify: Risiken erkennen und bewerten

Eine übergreifende und wirksame Cyber Resilience-Strategie braucht vor allem eines: Durchblick. Wo im System sind Schwach- und Sollbruchstellen und wie weitreichend ist das Risiko, das von diesen neuralgischen Systembereichen ausgeht? Wie könnte ein Angriff erfolgen? Diese Fragestellungen sind nicht erst im operativen Betrieb von Relevanz, sondern sollten schon während der Entwicklung neuer Lösungen und Systembausteine berücksichtigt werden. Deshalb entwickeln sich DevSecOps-Mechanismen und automatisierte Scanning- und Testing-Aktivitäten mehr und mehr zum Standard für sichere IT-Infrastrukturen. Charmant an derartigen Lösungsansätzen ist zudem, dass sie ganz im Sinne durchgängiger Cyber-Resilienz den kompletten Lebenszyklus einer Software im Blick behalten und damit alle sicherheitsrelevanten Ereignisse erfassen und auswerten.

Protect: Sicherheitsmechanismen festlegen

Die Ergebnisse aus dem Identify-Prozess wirken sich direkt auf die Auswahl und die Gestaltung präventiver Sicherheitsmaßnahmen aus. Schließlich müssen die hierzu genutzten Lösungen und Prozesse gezielt aufeinander abgestimmt sein, damit sie weder Redundanzen schaffen noch ungewollt Lücken offenlassen. Eine stetige Anpassung der zugrundeliegenden Metriken und Funktionen sorgt dafür, dass die ausgearbeiteten Konzepte „dazulernen“ und die etablierten Mechanismen reaktionsfähig bleiben. Ebenso bedeutend wie der Einsatz kluger Software ist übrigens die Sensibilisierung der Belegschaft: Schließlich hilft die beste E-Mail-Verschlüsselung nichts, wenn etwa Mitarbeiterinnen und Mitarbeiter sensible Informationen leichtsinnig nach außen geben oder ihre Zugangsdaten nicht mit aller Sorgfalt unter Verschluss halten.

Detect: Abweichungen erfassen, Angriffe erkennen

In diesem Abschnitt des Cyber Resilience-Zyklus zeigt sich, wie stichhaltig die Klassifikation von Schwachstellen aus der Identify-Phase ist und wie gut die eingesetzten Überwachungstools die daraus erstellten Metriken auswerten können. Lernfähige, KI-basierte Monitoring-Instrumente erfassen auf Basis definierter Parameter automatisch, ob es in der Infrastruktur zu Unregelmäßigkeiten kommt, die auf einen Angriff hinweisen – möglich ist dies unter anderem durch die Überwachung der Netzwerkkommunikation und eine intelligente Mustererkennung. Die Zwischenfälle reichen von kriminellen Hackern, die in die interne Datenbank gelangen, über akute Denial-of-Service (DOS)-Attacken oder datenklauende Trojaner bis hin zu Bots, die durch Spamming die Statistik der eigenen Webseite verfälschen und damit zum Beispiel die Cost-per-Click-Gebühren in die Höhe treiben.

Respond: Maßnahmen planvoll und besonnen umsetzen

Die Herausforderung in dieser Phase besteht darin, Schäden zu vermeiden und den Geschäftsbetrieb so gut wie möglich von einer Bedrohung abzuschirmen. Klar ist: Erfassen die Detect-Mechanismen eine Bedrohung schnell und effizient, können auch Gegenmaßnahmen mit einer entsprechend kurzen Reaktionszeit eingeleitet werden. Ebenso wichtig wie eine hohe Erkennungsgeschwindigkeit ist ein möglichst differenzierter Maßnahmenkatalog. Denn umso gezielter und zugleich vielseitiger ein „Incident Response Plan“ gestaltet ist, umso leichter ist es, im Falle eines Sicherheitsvorfalls direkt in die richtige Schublade zu greifen. So ist ein planvolles Vorgehen möglich, bei dem Schritt für Schritt besonnen auf einen Vorfall reagiert werden kann – und das sowohl bei leichten, alltäglichen Sicherheitsereignissen wie etwa einem Bot, der echtes Nutzerverhalten simuliert, als auch bei einer schweren Sabotage-Attacke, welche die operativen Prozesse des kompletten Unternehmens in Gefahr bringt.

Recover: Schadensbehebung und Systemstabilität

Harmlose Vorfälle wie etwa eine Bot-Attacke können mit leichten Mitteln behoben werden. Hier reicht es oft schon aus, die Schadsoftware zu blockieren, den Angriff im Log zu dokumentieren und das System aus dem Backup wiederherzustellen – natürlich ohne Schadsoftware. Bei heftigeren Attacken sind allerdings weitreichendere Recovery-Maßnahmen gefragt, um so zeitnah wie möglich wieder einen stabilen Systemzustand zu schaffen und damit in den Regelbetrieb zurückzukehren. Je nach Ausprägung und Schweregrad eines sicherheitsrelevanten Ereignisses greifen hier die in den Strategien zur Business Continuity und Disaster Recovery festgelegten Prozesse.

Predict: Vorausschauende Analysen

Dieser wichtige Prozessabschnitt schließt den Kreislauf einer intelligenten Cyber Resilience-Strategie, indem er die Monitoring- und Analyse-Ergebnisse aus Sicherheitsvorfällen einbindet und daraus gezielt Einschätzungen und Vorhersagen für neue, potenzielle Gefährdungen entwickelt. Die prädiktiven Auswertungen fließen direkt in die Identifizierung von sicherheitsrelevanten Schwachstellen der Unternehmensinfrastruktur ein. KI-basierte Überwachungstools schaffen den nötigen Rahmen für automatisierte Erfassungs- und Auswertungsprozesse, die für eine reaktionsstarke und treffsichere Taktik zur Erreichung von Cyber-Resilienz unabdingbar sind.

Es liegt auf der Hand: Eine Sicherheitsstrategie, die auch in komplexen IT-Umgebungen für ein Höchstmaß an Daten- und Systemschutz sorgen soll, muss mehr sein als ein Sammelsurium von Einzelmaßnahmen. Cyber Resilience lebt davon, dass alle sicherheitsrelevanten Prozesse optimal aufeinander abgestimmt sind und die zugrundeliegenden Lösungen fortlaufend weiterlernen. So können Unternehmen dem hohen Erfindungsreichtum der Cyber-Kriminellen wirkungsvoll etwas entgegensetzen und stets die nötige Schrittlänge voraus sein. 

Frank Schönefeld, Leiter Business Area Digital Reliability und Mitglied der Geschäftsleitung und Katja Tietze, Senior Business Development Manager und Consultant, beide T-Systems Multimedia Solutions

Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Sicherheit im IIoT

Industrial Security 4.0

Das produzierende Gewerbe erfährt durch Edge Computing viele Vorteile: IoT-Geräte, Maschinen und Systeme profitieren von einer geringen Latenz, und sollte das Internet ausfallen, funktionieren IoT-Geräte weiterhin. Doch entstehen durch die...

mehr...