Blog

10 Massnahmen für eine bessere Cyber Resilienz

/ Kategorie: Cybersecurity, ISPIN Viewpoint

Die Gefahr von Cyberangriffen ist allgegenwärtig. Aber: Das Gefahrenbewusstsein hat sich in den letzten Monaten deutlich verstärkt. Zurückzuführen ist das auch darauf, dass zahlreiche erfolgreiche Cyberangriffe auf Schweizer Unternehmen bekannt geworden sind. Auch die erste C-Level Cyber Crime Night, am 10. November im FIFA Museum, stand ganz im Zeichen des bereits im Namen erfassten Themas. Reto Zeidler, CMSO bei ISPIN, präsentierte zehn Massnahmen für eine bessere Cyber Resilienz.

Moderne Cyberkriminelle sind hoch-professionell und sehr erfolgreich. Experten gehen davon aus, dass die weltweite Cyberkriminalität mittlerweile mehr umsetzt, als was der globale Drogenhandel erwirtschaftet. Die von der Cyberkriminalität verursachten Kosten schätzt die US-amerikanische Analysefirma Cyber Security Ventures für 2021 sogar auf 6’000 Milliarden US Dollar. Es ist somit eine Industrie mit enormer Schlagkraft und Auswirkung. Jene Fälle, die in die Öffentlichkeit gelangen, stellen nur die Spitze des Eisbergs dar. Die Dunkelziffer ist sehr hoch, denn viele gehackte Unternehmen zahlen „leise“ das von den Kriminellen geforderte Lösegeld, wenn Sie gehackt wurden.

Kein Unternehmen ist vor ihnen sicher. Denn jedes Unternehmen, auch kleine und mittlere Betriebe, hat Informationen, die für einen Angreifer interessant sein können, z. B. Informationen über die Mitarbeitenden oder Kreditkarteninformationen von Kunden. Häufig wird übersehen, dass erfolgreich angegriffene KMU gar nicht das Endziel der Angreifer sind. Das Endziel kann auch ein grosses Unternehmen sein. Da diese in der Regel sehr gut geschützt sind, wählen die Kriminellen einen Umweg. Beispiel: Grosse Unternehmen arbeiten mit vielen Lieferanten zusammen. Einige davon haben eine Schnittstelle zum Netzwerk des Unternehmens. Dadurch werden die kleineren Unternehmen für Cyberangreifer interessant als mögliches Eintrittstor zum angepeilten grossen.

Folgende 10 Massnahmen können dabei helfen die eigene Resilienz zu erhöhen:

1. Security soll Digitalisierung ermöglichen, nicht verhindern

Der Security Bereich in Unternehmen wird heute häufig als Verhinderer angesehen. Als Verhinderer zu agieren, funktioniert aber in der digitalen Welt nicht mehr. Die zentralen IT-Verantwortlichen, die die Gralshüter der Digitalisierung sind, existieren nicht mehr. Mittlerweise bauen die Businesseinheiten die digitalen Geschäftsmodelle auf – und das in hoher Geschwindigkeit. Die IT oder die Security kann kaum mithalten. Daher braucht es ein Umdenken auch in der Security. Bis vor wenigen Jahren war die Hauptaufgabe der Security, sicherzustellen, dass das Unternehmen compliant ist, also den regulatorischen Anforderungen entspricht. Das genügt heute nicht mehr. Das ist nur noch eine der Aufgaben. Die zweite Aufgabe ist, die Fähigkeit aufzubauen, dass die Organisation Cyberbedrohungen erkennt und darauf richtig reagiert. Sehr wichtig ist: Security muss Enabler sein, nicht Verhinderer. Sie muss eine beratende Funktion haben und dazu beitragen, dass das Unternehmen abgesichert ist und seine Geschäfte ohne Probleme abwickeln kann.

2. Cybercrime folgt den Gesetzen der Natur

Warum sind manche Unternehmen stärker bedroht als andere? Weil Cyberkriminelle einer bestimmten Logik folgen, die es auch in der Natur gibt. Wenn Raubtiere zuschlagen, achten sie darauf, möglichst wenig Energie dafür einzusetzen. Das heisst, sie suchen sich ihre Opfer gezielt aus – in der Regel die schwächeren Tiere. Cyberkriminelle suchen sich die Opfer auch gezielt aus. Sie zielen auf jene Unternehmen, die signalisieren, dass sie bereit sind, zu zahlen. Sie nutzen Schwachstellen, technische Schwachstellen, aber häufig auch menschliche Schwachstellen. Cyberkriminelle greifen also dort an, wo es für sie am einfachsten ist. Und sie zielen darauf ab, die Opfer mehrfach zu verwerten. Lösegelder sind auf eine Mehrfachnutzung ausgelegt. Zuerst wird Ransomware in die Unternehmensnetzwerke eingeschmuggelt und damit einher geht die Erpressung für die Entschlüsselung der Daten. Sobald dafür bezahlt wurde, erfolgt die zweite Erpressung für das Nicht-Veröffentlichen der Daten. Und danach erfolgt noch ein Angriff auf eine Schwachstelle, die den Angreifern ja bestens bekannt ist, weil sie die Systeme des Unternehmens bestens kennen. Das Unternehmen wird mehrere Tage lahmgelegt und muss somit noch einmal bezahlen. Unternehmen sollten also mit den geeigneten Security-Konzepten dafür sorgen, dass sie nicht als leichte Beute angesehen werden.

3. Embrace the Breach

Jedes Unternehmen wird es irgendwann treffen. Unklar ist, wann und wie massiv der Cyberangriff sein wird, bzw. wie gross die Folgen sein werden, die er nach sich zieht. An diesem Risiko Opfer eines Cyberangriffs zu werden kann man nicht viel ändern. Es ist da und muss akzeptiert werden. Bei einem Incident gibt es nicht das eine richtige Vorgehen. Es geht darum, die Massnahmen mit den geringsten Nebenwirkungen zu definieren und konsequent umzusetzen.

4. Schwachstellen kennen, priorisieren

Die Anzahl der Schwachstellen nimmt zu, die Anzahl der entsprechenden Updates auch. Die Zeit, um die Systeme zu aktualisieren, aber wird geringer. Werden Schwachstellen bekannt, muss innerhalb von Stunden mit einem Angriff gerechnet werden. Das heisst, die Verantwortlichen müssen priorisieren. Man kann nicht mehr die gesamte Umgebung im Blick haben. Drei Faktoren spielen in Bezug auf Cyberrisiken eine Rolle:

  1. Die Threaths, z. B. Fishing, CEO-Fraud, etc., selbst. Diese sind vorhanden und können nicht beeinflusst werden.
  2. Die Schwachstelle auf dem System. Es ist unrealistisch anzunehmen, dass man jederzeit jede Schwachstelle im Griff hat, selbst mit einem vorzüglichen Patch-Management.
  3. Die Zugänglichkeit einer Schwachstelle. Wie gut kann sie von einem Angreifer ausgenutzt werden? Das ist der Faktor, der beeinflusst werden kann. Mit technischen Massnahmen ist man in der Lage, die Zugänglichkeit, die Ausnutzbarkeit der Schwachstelle zu steuern bzw. zu kontrollieren. Dabei geht es nicht darum, sämtliche Schwachstellen immer im Griff zu haben, sondern dafür zu sorgen, dass die Schwachstelle nicht gerade dort steht, wo sie aus dem Internet heraus leicht nutzbar ist.

5. Unterschied zwischen Verzögern und Verhindern

In Bezug auf präventive und weitergehende Massnahmen, etwa Security Monitoring, gibt es sehr viele Missverständnisse. Beispiel: Eine Tür, die man abschliesst, ist keine Schutzmassnahme, sondern eine Verzögerungsmassnahme. Denn mit genügend Zeit und dem passenden Werkzeug öffnen Kriminelle jede Tür. So ist es auch in der IT: Ein angreifbares System ist mit ausreichend Zeit und den nötigen Werkzeugen hackbar. Was kann man also unternehmen, um das zu verhindern? Man muss seine Verzögerungsmassnahmen überwachen. Sicherheit muss so eingebaut werden, dass bemerkt wird, wenn kriminelle Machenschaften vonstattengehen. Was bei der privaten Wohnungstür die Videokamera ist, ist das Security Monitoring in Unternehmen. Das Security Monitoring soll aufzeigen, wenn das Kontrollsystem umgangen wird. Das ist der Unterschied zwischen präventiven Massnahmen und der Überwachung dahinter. Eine Security Überwachung ist sozusagen das Ohr und das Auge des CISO.

6.Die Identität ist der neue Perimeter

Kriminelle, die eine Organisation angreifen, machen sich nicht die Mühe, zu versuchen, deren Systeme frontal anzugreifen. Sie schauen stattdessen ins Darkweb und stellen fest, welche Benutzeraccounts der Ziel-Organisation schon vorhanden sind, im Idealfall schon mit entschlüsseltem Passwort. Daher werden heute nicht mehr die Systeme in den Rechenzentren geschützt. Mit den klassischen Security-Konzepten kommen Unternehmen nicht mehr voran. Das führt dazu, dass man sich nicht mehr so stark auf die Systeme selbst konzentriert, sondern auf die Identitäten, auf den Zugang zu den Systemen.

7. Security Awareness ist eine der kosteneffizientesten Schutz-Massnahmen

Häufig sind es menschliche Schwachstellen, die Angreifern Chancen geben. Security-Verantwortliche sollten die Menschen dennoch nicht als Gefahr sehen, sondern sie zu Verbündeten machen. Wenn das gelingt, haben die Unternehmen ein extrem mächtiges Werkzeug, das noch dazu sehr günstig ist. In Awareness-Massnahmen zu investieren, ist eine der kostengünstigsten Massnahmen in der IT-Security.

8. Seinen Gegner kennen

Threat Intelligence und Dark Web Monitoring helfen dabei, mögliche Angriffe frühzeitig zu erkennen. Zu wissen, was in der Welt draussen passiert und welche Angriffsarten aktuell sind, ist zu einem unverzichtbaren Bestandteil der IT-Security geworden. Denn daraus kann der Schluss gezogen werden, was das für das eigene Unternehmen bedeutet. Das grösste Risiko in der Cloud ist, dass unabsichtlich bzw. aus Unwissenheit Daten freigegeben werden. Cloud-Plattformen werden gehackt und damit landen diese Daten im Dark Web. Es ist in jedem Fall eine schlechte Idee, zu warten, bis es das eigene Unternehmen erwischt.

9. Security by Design

Es sind immer die Basics, die nicht funktionieren, wenn es zu einem erfolgreichen Cyberangriff kommt. Der grösste Gewinn im Bereich IT-Sicherheit sind daher immer noch die grundlegenden Hygieneprinzipien: Die Assets kennen, Netzwerke segmentieren, nicht jedem User alle Rechte einzuräumen oder Multifactor Authentifizierung.

10. Backup, Backup, Backup

Im Sinne einer erfolgreichen Business Continuity – das Backup gibt Entscheidungsfreiheit und höhere Sicherheit. Denn letztlich kommt es darauf an, dass Unternehmen sich nicht zu leichten Opfern machen.

Widerstandsfähigkeit gegen Cyberangriffe besteht aus einer Kombination von organisatorischen und technischen Massnahmen und der Fähigkeit, im Schadensfall schnell und effektiv zu reagieren. Diese Massnahmen umzusetzen, bringt Unternehmen weg von der Opferrolle, hin zu maximalem Schutz.

Zusammen. Sicher.

Ist Ihr Unternehmen ausreichend resilient? Kontaktieren Sie uns. Unsere Security-Experten beraten und unterstützen Sie in allen Sicherheitsbelangen.

Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.

Sie haben einen Security-Notfall – auf uns ist Verlass.
Der richtige Umgang mit Sicherheitsvorfällen ist entscheidend. Incident melden!