afm Update | Artikel Cyberbedrohung

Cyberbedrohung

Angriffe immer wahrscheinlicher

Es kann jeden treffen. Und wenn es passiert, dann meist unvorbereitet und oft mit unabsehbaren Folgen. Die Rede ist von Cyberkriminalität. Und gefährlich wird es nicht nur für das eigene Unternehmen, sondern auch für Kunden und Partner. Doch wer ein paar Grundsätze beherzigt, hat gute Chancen, mit einem blauen Auge davonzukommen. Wo die größten Sicherheitslücken liegen und was man dagegen tun kann, erklärt Peter Wirnsperger, Partner Enterprise Risk Services bei Deloitte.

Unwahrscheinlich? Unvermeidbar? – Unvorbereitet!
Cyberattacken – die Vorbereitung macht den Unterschied.

Der letzte große Kreditkarten-Scoop Anfang Mai hat die Dimensionen erschreckend deutlich aufgezeigt:

- innerhalb weniger Stunden wurden weltweit 45 Mio. $ über Geldautomaten abgezockt
- die Logistik dahinter und die punktgenaue Planung hat den Charme der Geschichte von „Ocean‘s 11“
- der Ausgangspunkt basierte auf der Ausnutzung von allseits bekannten und gut dokumentierten Systemschwachstellen und mit Tools, die jedem Benutzer im Internet zur Verfügung stehen

Unwahrscheinlich?
Dass es jedes Unternehmen treffen kann, mussten wir inzwischen zu oft leidlich erfahren – egal ob Großkonzern oder Unternehmen aus dem Mittelstand. Alle sind potenzielle und lohnende Angriffsziele. Oft geht es nicht um einen direkten Nutzen oder Diebstahl von Informationen, sehr häufig wählen Angreifer ein „einfaches“ Ziel, um sich in Liefer- und Kommunikationsketten einzunisten und von dort die nächste Angriffsstufe zu erklimmen. Stellen Sie sich die Situation vor: Zwei Unternehmen arbeiten gemeinsam an einem Projekt und tauschen Informationen über gemeinsame Plattformen aus. Wenn ein Angreifer sich Zugriff auf die projektinternen Informationen verschafft, kann er erstmal „nur“ das Projekt stören. Allerdings hat die Vergangenheit gezeigt, dass diese Informationen auch sehr nützlich sind, um andere Systeme im Unternehmen anzugreifen, noch tiefer einzudringen und kritische Geschäftsinformationen abzugreifen.

Angriffe finden täglich auch in unserem direkten Umfeld statt und sind für Security-Spezialisten mehr als nur ein Ausnahmeereignis. Bei der Risikobewertung der Sicherheitslage sprechen wir nicht mehr von der Eintrittswahrscheinlichkeit eines Vorfalls, sondern davon, wie einfach es für einen Angreifer ist, Schwachstellen in Systemen auszunutzen und Sicherheitsbarrieren zu umgehen.

Unvermeidbar?
Wenn Sie im Internet Geschäfte machen und über das Internet kommunizieren, dann können Sie Angriffe leider auch nicht per se vermeiden. Ohne die Angstklaviatur spielen zu wollen – aber man muss sich als Unternehmen der Realität von organisierter Kriminalität und Hacktivisten stellen.

Unvorbereitet!
Was garantiert nicht hilft, ist die Vogel-Strauß-Taktik. Wenn man aus dem zuvor Beschriebenen die Konsequenz ableitet, könnte man dem Management, das sein Unternehmen nicht auf Cyberattacken vorbereitet, schon fast fahrlässiges Nichthandeln vorwerfen.

Unsere Beratungspraxis zeigt uns leider noch zu häufig auf, dass Unternehmen das Thema Informationssicherheit und Cybersecurity noch unzureichend berücksichtigen und sich damit unweigerlich den Gefahren des Cyberspace ungeschützt ausliefern.

Vorbereitung macht den Unterschied
Es klingt wie ein abgedroschener Hit: Ohne umfassende Vorbereitung auf das Offensichtliche ist man schon verloren und etwaige IT-Security-Maßnahmen werden Makulatur.
Bei der Vorbereitung müssen alle Sicherheitstechnologien auf ihre technische Standhaftigkeit und die Software und Konfigurationen auf ihre Aktualität überprüft werden. Daraus muss die IT einen laufenden Prozess gestalten, damit die Systeme zu jeder Zeit gegen neue Softwareschwächen abgesichert werden.

Der aufwendigere Bereich umfasst die Abläufe um das Sicherheitsmanagement. Es ist naheliegend, dass man sich auf den Ernstfall vorbereitet und die Meldeketten im Unternehmen, aber auch zu den Behörden durchplant und am besten auch in Angriffssimulationen „durchspielt“. In unseren Projekten erleben wir hierbei oft sehr heilsame Aha-Effekte, wenn den Teilnehmern die Zusammenhänge zwischen dem Vertrieb, der IT, der Personalabteilung oder auch den Geschäftspartnern aufgezeigt werden.

Als weitere Maßnahme sind die laufende Überwachung kritischer System- und Anwendungsaktivitäten und die Auswertung von Verkehrsverhaltensmustern im Unternehmensnetzwerk unerlässlich. Hierbei geht es nicht darum, die Aktivitäten von Mitarbeitern auszuspionieren. Vielmehr soll festgestellt werden, ob unübliche Systemzugriffe oder Daten(ab)flüsse erfolgen oder einfach Anomalien im IT-Betrieb auftreten. So ist es doch eine Erklärung wert, wenn von einem Server im internen Netzwerk plötzlich sehr große Mengen an Excel- und PowerPoint-Dateien an eine unbekannte Adresse im Internet kopiert werden. Das Beispiel klingt sehr banal, aber ohne geeignete Monitoringmethoden wird ein Unternehmen den Datenabfluss nie bemerken.

Zuvor haben wir von der Unvermeidbarkeit eines Vorfalls gesprochen. Wie im richtigen Leben wird man auch hier versuchen, die Spuren der Einbrecher nachzuvollziehen. Ziel dabei ist es einerseits, die möglichen Täter zu identifizieren. Noch viel wichtiger ist jedoch die Zielsetzung, die Spuren auszuwerten, um wirklich alle Einfallstore zu identifizieren. Und am Ende müssen alle Systeme so bereinigt werden, dass die Eindringlinge nicht wieder durch Hintertüren zurückkommen können.

Sie haben es in der Hand
Gerade weil das Ereignis mit hoher Wahrscheinlichkeit eintreffen wird, muss das Management eines Unternehmens die Vorbereitung auf Cyberattacken ernst nehmen und wohlüberlegte Maßnahmen einführen. Neben der Sicherheitstechnologie gehören vor allem geeignete organisatorische Maßnahmen zum Vorsorgerepertoire – und nicht zuletzt auch die ergänzende Risikoübertragung in Form einer Versicherung.
Das Einzige, was nicht weiterführt, ist Kapitulation vor den Angreifern – Sie haben es in der Hand.

« zurück