Cyber Defence – weil jede Sekunde zählt
Das Risiko von Cyberattacken steigt durch die zunehmende Digitalisierung zusätzlich. Nur wer Cyberattacken schnell erkennen, umgehend darauf reagieren und die Cybersecurity nachhaltig optimieren kann, wird einen Sicherheitsvorfall ohne grösseren Schaden überstehen.
Digitalisierung und Sicherheit sind untrennbar miteinander verbunden. Jeder Schritt in Richtung digitale Transformation löst automatisch Sicherheitsfragen aus. Denn täglich gibt es neue Cyberattacken auf Unternehmen, und die Qualität, Effizienz und Professionalität der Angriffe nimmt stetig zu. Ausserdem dauert es nicht selten Wochen, Monate oder gar Jahre, bis ein erfolgreicher Angriff entdeckt wird. Vor diesem Hintergrund ist es unerlässlich, mehr in die Erkennung von und Reaktion auf Cyberattacken zu investieren.
Risikomanagement als Managementaufgabe
Betriebsausfälle und Cyberangriffe gehören für Unternehmen zu den grössten Business-Risiken. Vor allem Cyberangriffe haben stark an Bedeutung gewonnen. Deshalb ist ein systematischer Sicherheitsansatz das A und O erfolgreicher Cybersecurity und der Schlüssel zur Digitalisierung. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden. Internationale Standards wie ISO 27001 oder das NIST Cybersecurity Framework bieten dazu anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience. Dabei reicht es aber nicht aus, sich alleine auf die Abwehr zu konzentrieren. Entscheidend ist, die Widerstandsfähigkeit insgesamt zu stärken, Angriffe schnell zu erkennen und noch schneller zu reagieren.
CSIRT als Schlüssel zur Cybersecurity
Ein CSIRT (Computer Security Incident Response Team) hilft dabei, die Auswirkungen eines Sicherheitsvorfalls zu minimieren. Es ist so etwas wie eine Sondereinsatztruppe, die aktiv wird, sobald Hacker die Sicherheitsmauern zu überlisten versuchen. Die Mitglieder sind Spezialisten, welche die Taktiken und Methoden der Angreifer kennen. Ihr Fokus liegt darauf, Sicherheitsvorfälle zu erkennen und entsprechend zu reagieren. Ohne ein CSIRT entdecken Unternehmen Angriffe möglicherweise gar nicht oder erst viel zu spät, wodurch nicht angemessen auf die Bedrohung reagiert werden kann. Es gilt also, mit den Cyberkriminellen Schritt zu halten, deren Methoden zu kennen und rechtzeitig Gegenmassnahmen einzuleiten. Ein CSIRT schafft dafür die operativen Voraussetzungen.
Cyber Defence ist eine 24x7-Aufgabe
Cyberattacken lassen sich leider nicht verhindern. Deshalb sind die Erkennung, Analyse und Reaktion so wichtig – und zwar rund um die Uhr. Mithilfe eines CSIRT in einem dedizierten Cyber Defence Center lassen sich die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden minimieren sowie den Business Impact drastisch reduzieren. Ein Cyber Defence Center sollte aber nicht nur auf Gefahren reagieren, sondern aktiv nach Bedrohungen und Anzeichen eines Angriffs suchen. Deshalb basiert Cyber Defence nicht nur auf einer defensiven, sondern insbesondere auch auf einer offensiven Sicherheitsstrategie.
Da sich die Risikosituation stetig ändert, ist Cybersecurity auch keine einmalige Angelegenheit. Dabei gilt es, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern – eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. So empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.
----------
Die Methoden der Angreifer werden immer ausgeklügelter
Cyberattacken können sich für Unternehmen als fatal erweisen. Wie Unternehmen ihre Cyber Resilience stärken können und wie sich die Cloud-Nutzung auf die Cybersecurity auswirkt, erklärt Mathias Fuchs, Head of Investigation & Intelligence von Infoguard. Interview: Kevin Fischer
Weshalb dauert es manchmal so lange, bis ein Cyberangriff bemerkt wird?
Mathias Fuchs: Leider fokussieren sich viele Unternehmen immer noch sehr stark auf den Schutz – Protection – vor und nur wenig auf die rasche Erkennung – Detection – von Angriffen. Sie versuchen zwar einen Angriff zu verhindern, gehen jedoch nicht von der Prämisse aus, dass dieser erfolgreich sein kann. Ein weiterer Faktor ist, dass sich Angreifer immer besser unbemerkt in Netzwerken bewegen. Daher ist es selbst für ein Unternehmen, das Detection einsetzt, oft schwierig, ernstzunehmende Angriffe in der Masse ungezielter Bedrohungen zu unterscheiden. Detektionswerkzeuge müssen somit sorgfältig konfiguriert und laufend verbessert werden – insbesondere, weil auch die Methoden der Angreifer immer ausgeklügelter werden.
Wie kann ein Unternehmen die Widerstandsfähigkeit gegen Angriffe insgesamt stärken?
Grundsätzlich gilt es, die erwähnte «Dwell Time» zu reduzieren. Daneben ist eine Risikoanalyse zentral. Dazu muss man sich die Verwundbarkeit des Unternehmens ehrlich vor Augen führen und wissen, welche Vorfälle einen Business Impact haben können und wie dieser aussieht. Wie bereits erwähnt, bestätigt es sich bei meiner Arbeit immer wieder, dass der Fokus vieler Unternehmen noch stark auf Protect und zu wenig auf Detect, Respond und Recover liegt. Das Gute ist aber, dass wir hier von einer Kette sprechen. Erst muss der Schutz gewährleistet werden, da sonst eine Vielzahl einfacher Angriffe erfolgreich ist, was wiederum die Erkennung schwerwiegender Angriffe zusätzlich erschwert. Die eigentliche Nadel im Heuhaufen wird so schnell übersehen. Erst wenn man gezielte Angriffe erkennt und auch versteht, können Respond und Recover erfolgreich sein.
Daten werden zunehmend in die Cloud ausgelagert. Welche Herausforderungen stellt das für die Cybersecurity dar?
Public-Cloud-Produkte bieten viele Vor-, aber auch einige Nachteile. Positiv ist sicherlich, dass grosse Player wie Google, Amazon oder Microsoft tendenziell sehr auf die Sicherheit ihrer Infrastruktur achten und dafür mehr finanzielle Ressourcen haben als KMUs. Negativ ist, dass man sich bei einer Untersuchung mit dem begnügen muss, was der Cloud-Provider zur Verfügung stellt. Das ist mal mehr, mal weniger nützlich. Nur sehr selten lassen die Cloud-Verträge ein umfassendes «Right to Audit» zu – eine Karte, die man im Falle eines Vorfalls ausspielen kann, um tiefergreifenden Zugriff zu erlangen. Es gilt also bei Cloud-Produkten, solche Risiken bereits bei der Evaluation zu beachten und sich zu überlegen, welche Vorfälle realistisch sind. Daraus kann man erkennen, ob die verfügbaren Daten ausreichen würden, um den Vorfall zu stoppen. Grundsätzlich kann gesagt werden: Clouds machen uns als Incident Responder das Leben nicht zwangsläufig schwerer. Denn das Einfallstor Nummer eins ist und bleibt immer noch der Mensch. So spielt es oft nur eine untergeordnete Rolle, ob das Unternehmen Cloud- oder On-premise-Systeme im Einsatz hat.
Welche Gegenmassnahmen kann ein CSIRT treffen? (als 2. Frage)
Hier gibt es grosse Unterschiede im Auftrag und der Ausstattung eines CSIRT. Unternehmensinterne CSIRT kennen zwar die Abläufe und die Infrastruktur im Unternehmen bestens, haben dafür oft weniger Erfahrung als externe Partner. Zudem gibt es häufig grosse Unterschiede bei den Werkzeugen und Möglichkeiten. Manche CSIRT können sich bei Untersuchungen nur auf Logfiles beziehen, anderen stehen komplexe EDR-Lösungen zur Verfügung. Damit haben CSIRT-Analysten die Möglichkeit, sich ein Bild der aktuellen Lage zu verschaffen, das Ausmass des Angriffs zu erkennen und gegebenenfalls sogar aktiv die Angriffskette zu unterbrechen. Häufige Gegenmassnahmen, die mein CSIRT in unserem Cyber Defence Center in Baar trifft, gehen vom Abkapseln einzelner Geräte vom Unternehmensnetz und dem Internet, bis hin zum aktivem Eingreifen wie dem Entfernen von Malware. Für alle Eingriffe gilt jedoch, dass die vollständige Bereinigung erst erfolgen kann, wenn man den Angriffsmechanismus verstanden hat. Andernfalls besteht ein hohes Risiko, eine Hintertür des Angreifers zu übersehen. In diesem Fall können sie sich darauf verlassen: Der Angreifer wird den Fehler, der zu seiner Entdeckung geführt hat, kein zweites Mal machen – und stärker als zuvor zurückkehren.