Joerg Habermeier - stock.adobe.c
Cyber Resilience: Kritischen Bedrohungen richtig begegnen
Cyberattacken gehören längst zum Unternehmensalltag, IT-Entscheider sollten daher mehr über den Verlauf und die Folgen von Angriffen nachdenken – insbesondere beim Thema E-Mail.
Ende Januar 2018 veröffentliche das BSI die Ergebnisse seiner neuesten Cyber-Sicherheits-Umfrage (PDF) und die Ergebnisse lassen den Schluss zu, dass deutsche Unternehmen eine Veränderung der Gefahrenlage spüren. 66 Prozent der 879 befragten IT-Fachkräfte gaben an, dass sie mit einem Anstieg der Bedrohungen rechnen. Das BSI stellt zudem fest, dass „große Unternehmen (mit mehr als 500 Mitarbeitern) sich als besonders gefährdet betrachten.“
Die Erkenntnisse sind nicht neu, da immer wieder Schlagzeilen über erfolgreiche Attacken die Medien füllen. Viel wichtiger ist die Frage nach den Auswirkungen auf die Unternehmen und deren Umgang mit der Situation. Die häufigste Konsequenz von Attacken in über der Hälfte der Fälle sind Produktions- oder Betriebsausfälle. Sie verursachen den größten Schaden. 92 Prozent sind zudem der Meinung, dass Cyberattacken ihre Betriebsfähigkeit gefährden.
Am diesem Punkt braucht es ein Umdenken, denn bisher ging es beim Thema IT-Sicherheit immer um die reine Abwehr von Attacken. Kriminelle werden aber niemals mit der Weiterentwicklung ihrer Angriffsmethoden und Malware innehalten. Im Gegenteil, durch die zunehmende Virtualisierung von Unternehmensprozessen steigt die Lukrativität und damit auch die Anstrengung bei Cyberattacken.
Deshalb sollten IT-Entscheider mehr über den Verlauf und die Folgen von Angriffen nachdenken. Das Stichwort der Stunde heißt Cyber Resilience:
- Vorkehrungen, bevor es zu einem Vorfall kommt: Was sind die häufigsten Angriffsvektoren und wo liegt das schwächste Glied in der Kette? Schon hier müssen proaktiv Maßnahmen getroffen werden. Nicht allein zur Abwehr, sondern auch um eine Wiederherstellung im Falle einer Attacke zu ermöglichen.
- Während eines Angriffs sind natürlich immer noch Verteidigungsmaßnahmen nötig, gleichzeitig spielt aber das Thema Business Continuity eine Rolle. Grundsätzlich dürfen die Operationsfähigkeit und die Kommunikation von Angestellten nicht eingeschränkt werden – selbst wenn Teile der IT infolge einer Cyberattacke zeitweise nicht verfügbar sind.
- Nach einer Attacke darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.
Sichere Kommunikation als Grundlage der Wirtschaftlichkeit
Geschäftsführungen müssen sich also mit der Frage auseinandersetzen, wie man im Falle eines Angriffs aufgestellt ist. Das BSI spricht schon seit Jahren vom „Assume the Breach-Paradigma“. Die meisten Organisationen verstehen darunter höhere Investitionen in defensive Technologien, allerdings macht es wenig Sinn, mit den Werkzeugen von gestern auf die Bedrohungen von morgen zu reagieren.
Jede Organisation sollte davon ausgehen, dass sie Opfer einer Cyberattacke wird. Neben einem Umdenken über den Ablauf eines Incidents sollte man zudem über die kritischsten Bereiche der IT nachdenken. Grundsätzlich sollten IT-Entscheider überlegen, wo sie am verwundbarsten sind und auch dort ihren Fokus beim Thema Sicherheit setzen.
Schnell kommt man dann auf das Thema Informationsaustausch und Kommunikation. Ohne diese Dinge kann keine Organisation funktionieren. Hier sollte der Fokus beim Thema IT-Sicherheit liegen. Das Business Continuity Institute ist in einer Umfrage der praktischen Analyse dieser Bereiche nachgegangen. Befragt wurden 369 IT-Entscheider aus 63 Ländern nach ihren Prioritäten zu den Themen Datenaustausch und Kommunikation. Ein wichtiger Teil der Untersuchung drehte sich dabei um die eingesetzte Technologie. Nahezu alle Organisationen (97 Prozent) geben dabei E-Mail-Adressen der Mitarbeiter als Hauptkommunikationsmittel an.
In der Tat ist E-Mail-Kommunikation das Rückgrat der Unternehmenskommunikation, besonders wenn es um Kommunikation mit Kunden und externen Personen geht. Dies wissen auch Cyberkriminelle. Fast alle Arten von Online-Kriminalität und aktuelle Bedrohungen werden hauptsächlich über E-Mail ausgerollt. Ransomware, Trojaner, CEO-Fraud, Spam, Phishing, Social Engineering, Malware und sogar Krypto-Miner nutzen E-Mail als Angriffsvektor – und das leider erfolgreich.
Natürlich gibt es andere Möglichkeiten, um Angriffe zu starten, aber kein anderer Weg wird im Alltag durch Kriminelle so stark frequentiert wie E-Mail. Zudem werden Nachrichten in Folge der Digitalisierung über eine immer größere und heterogene IT-Landschaft ausgetauscht. Durch Smartphones und Mobile Computing sind Accounts der Nutzer nicht immer durch klassische Sicherheits-Tools wie Anti-Virus und Firewall geschützt. E-Mails sind für jeden Bereich einer Organisation elementar.
Viele Unternehmen haben bereits Schutzmechanismen für E-Mail-Konten eingeführt, allerdings müssen diese auch dem Stand der Technik entsprechen und mehrschichtige Vorkehrungen mitbringen. E-Mail-Sicherheit hat höchste Priorität und sollte zur Grundlage jeder Sicherheitsstrategie gehören, auf deren Basis dann Threat Intelligence wie Data Loss Prevention, URL-Injection, Backup und Business Continuity aufgebaut werden sollten. Im Idealfall liefert eine Lösung diese Funktion aus einer Hand oder hat entsprechende Integrationen mit bestehenden Sicherheits-Tools.
Gefahr für E-Mail-Kommunikation verstehen
Anstatt auf einzelne Tools zur Abwehr der Symptome zu vertrauen, sollten Unternehmen an der Quelle der Bedrohung ansetzen. Dies ist besonders wichtig, da Kriminelle sich immer nach dem schwächsten Glied in der Kette umschauen. Sicherheitsexperten haben beispielsweise im letzten Jahr die „Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky“ oder kurz ROPEMAKER-Schwachstelle entdeckt, bei der E-Mails nach dem Empfang manipuliert wurden.
Dabei kann durch verschiedene Schwachstellen in E-Mail- und Webtechnologien durch Cascading Style Sheets (CSS) der Nutzer getäuscht werden. Der Exploit kann durch gängige Sicherheits-Tools nicht erkannt werden und ist in der Lage, auch geschulte User reinzulegen. Besonders kritisch ist, dass die Attacke nach dem Empfang der E-Mail stattfindet.
Auch Verschlüsselungsmechanismen wie PGB, S/MIME oder DKIM helfen nichts. Die Kriminellen könnten Schadcode auf das Endgerät des Nutzers laden oder ihn auf verseuchte URLs lotsen. Nach der Infektion stehen ihnen dann weitere Optionen offen, um neuerliche Aktionen starten.
„Ob Unterbrechung der Betriebsabläufe, Diebstahl von sensiblen Informationen oder andere Arten der Onlinekriminalität – die breite Masse der Attacken setzen bei der E-Mail an. Daher sollte hier die Veränderung beginnen.“
Michael Heuer, Mimecast
E-Mail-Sicherheit muss daher einerseits neue Angriffsvektoren absichern, sich aber gleichzeitig in die IT-Landschaft integrieren lassen, ohne IT-Abteilungen zu überlasten. Neue Tools für einzelne Bereiche bedeuten auch immer mehr Verwaltungsaufwand. Speziell in Bezug auf neue rechtliche Vorgaben, wie die DSGVO oder die Umsetzung von Normen wie ISO 22301 oder ISO 2700, ufert die Belastung schnell aus. Vorkehrungen zum Schutz der E-Mail-Kommunikation dürfen nicht zum Flaschenhals bei der Modernisierung werden.
Fazit
Die Digitalisierung wirkt sich auf fast alle Aspekte im Firmenalltag aus. Netzwerke werden immer größer und die Anzahl der Endpunkte wächst. Datenaustausch über Fernzugriffe, unterschiedliche Betriebssysteme, BYOD und immer mehr Endpunkte müssen entsprechend geschützt und in Sicherheitsstrategien eingebunden werden. Aber genau, weil es derart viel neue Innovation gibt, sollten IT-Entscheider nicht den Überblick verlieren und ihre Prioritäten richtig setzen.
Hier braucht es einen neuen Umgang mit der wachsenden Gefahr durch Cyberattacken. Da sie fest zum Unternehmensalltag gehören spielt das Thema Cyber Resilience eine größere Rolle. Hier ist und bleibt die E-Mail-Kommunikation das zentrale Thema. Egal, ob Unterbrechung der Betriebsabläufe, Diebstahl von sensiblen Informationen oder andere Arten der Onlinekriminalität – die breite Masse der Attacken setzen bei der E-Mail an. Daher sollte hier die Veränderung beginnen.
Über den Autor:
Michael Heuer ist VP Central Europe bei Mimecast.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!