Getty Images
Cybercrime: Mit Resilienz Kriminellen das Handwerk legen
Je mehr Aufwand Angreifer für Cyberattacken vorsehen müssen, desto unwahrscheinlicher werden diese. Daher sollten Unternehmen ihre Widerstandsfähigkeit stärken.
Da immer größere Datenschutzvorfälle und Cyberattacken für Schlagzeilen sorgen, könnte man denken, dass die organisierte Kriminalität auf immer bessere Malware zurückgreife und daher so erfolgreich schwerwiegende Angriffe verübe. Dies ist nur bedingt richtig. Sicherlich werden Schädlinge ausgeklügelter. Fakt ist aber, dass es das alles oftmals gar nicht braucht.
Im Rahmen einer Untersuchung mit 1.000 Teilnehmern stellte man fest, dass 90 Prozent aller Sicherheitsverletzungen durch den Faktor Mensch verursacht wurden. Dazu gehören fahrlässiger Umgang mit Passwörtern oder Öffnen von verseuchten E-Mail-Anhängen. Ein Viertel der Befragten gibt zudem an, nicht zu wissen, worin genau die Bedrohung durch Ransomware liegt oder wie Phishing funktioniert. Die Awareness von Mitarbeitern ist geringer, als viele IT-Verantwortliche annehmen. Dessen sollte man sich bewusst sein, zudem geben 69 Prozent alle Angestellten an, dass sie Firmengeräte auch für private Zwecke nutzen.
Ein Beispiel sind die Angriffe auf E-Mail- und Social-Media-Accounts von Politikern Anfang 2019. Es steht noch nicht fest, ob es sich wirklich um einen Einzeltäter handelte und ob dieser wirklich die Passwörter der Opfer einfach erraten hat. Es ist aber sicher, dass einzelne Abgeordnete unsichere Kennwörter für ihre Accounts genutzt haben. Damit handelten sie leichtsinnig.
Ein anderes Beispiel, wie der Faktor Mensch seit Jahren erfolgreich ausgenutzt wird, ist der Angriff mit verseuchten Bewerbungen. Im Januar 2018 sorgte die GandCrab-Malware für Schlagzeilen: Obwohl das Angriffsmuster und der Schädling seit Jahren bekannt sind, kommt es zu massenhaften Infektionen. Nach dem Öffnen der Word-Datei wird der Nutzer zur Aktivierung von Makros aufgefordert. Erlaubt man deren Ausführung, entlädt sich der Payload und setzt den Schadcode auf dem System des Opfers zusammen – ohne dass der Anti-Virus-Scanner dies umgehend erkennen kann.
Kriminelle folgen den Regeln des Marktes
Cyberangriffe sind so alt wie das Internet selbst und die meisten Angreifer folgen dem Weg des geringsten Widerstandes. Das größte Problem ist, dass man diese Tatsache nicht bedenkt. Die generelle Verteidigungsfähigkeit ist zu gering und Kriminelle haben leichtes Spiel. Die meisten Unternehmen erkennen die Gefahr, investieren aber immer nur punktuell. Oft fehlt ein grundlegendes Leitbild, an dem sich eine Sicherheitsstrategie orientiert.
Und genau hier wird der Mensch zur Zielscheibe. Denn im Gegensatz zu Software und Maschinen brauchen Nutzer subjektive Orientierung und angepasste Schulungen. Der Anwender hinter dem Endgerät tickt anders als ein Computer und muss entsprechend abgeholt werden. Die beste Sicherheitstechnologie ist machtlos, wenn Unternehmen nicht auf den Faktor Mensch eingehen.
Es geht um mehr als um ein einmaliges Security-Seminar. Organisationen verändern sich im Zeitalter von Big Data, Cloud Computing und IoT sehr schnell. Daher braucht es neben einem Leitbild wiederkehrende Trainings, die individuell angepasst sind. Gleichzeitig müssen diese auf die eingesetzten Sicherheitsmechanismen und neue Bedrohungen eingehen. Führen genügend Organisationen grundlegende Mechanismen ein, wird es für Kriminelle schwieriger, aus Angriffen Profit zu schlagen, deshalb ist ein kollektives Umdenken so wichtig.
BSI spricht von Schlüsselfaktor Resilienz
IT-Entscheider müssen verstehen, dass der erste Schritt beim Aufbau oder der Anpassung einer Sicherheitsstrategie keine technischen Maßnahmen sein dürfen. Stattdessen geht es um die grundlegende Frage, wie alle Mechanismen funktionieren und ineinandergreifen sollen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem aktuellen Lagebericht zur IT-Sicherheit auf einen wichtigen Punkt zurück. Wörtlich heißt es: „Der Schlüsselfaktor Resilienz, der in Zukunft immer bedeutsamer wird, sollte sowohl bei großen Unternehmen als auch bei KMU mehr Bedeutung bekommen. Vorfalltrainings sind hier ein wichtiger Faktor.“
Um den Bezug zum Thema Trainings zu verstehen, sollte man sich zunächst klarmachen, worum es bei dem Begriff Resilienz in Hinsicht auf die Cybersicherheit geht. Dabei handelt es sich nicht nur um eine reine Abwehr oder Härtung von Systemen, sondern darum, zu jeden Zeitpunkt den bestmöglichen Schutz und die umfassende Funktion des eigenen Unternehmens zu sichern.
Dazu gehören auch Vorkehrungen über mögliche Angriffsvektoren und proaktive Maßnahmen, um mögliche Schwächen frühzeitig zu entdecken und zu beseitigen. Außerdem müssen Notfallpläne für den Fall der Fälle erstellt werden.
Bei einem Angriff geht es nicht mehr länger nur um die Verteidigungsmaßnahmen allein, sondern auch um Business Continuity – wie sorge ich dafür, dass mein Betriebsablauf auch während einer Attacke immer noch möglichst ohne Beeinträchtigung weiterläuft? Hier ist der Übergang fließend zum Thema Nachbearbeitung. Waren Systeme betroffen, sollte man Backups nicht nur durchgeführt werden, sondern auch ohne Unterbrechung des Betriebs einspielbar sein. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen.
Cyber-Resillience ist aber mehr als ein Selbstzweck. Denn, wie angemerkt, geht es darum, gemeinsam Kriminalität in der digitalen Welt möglichst unattraktiv zu machen. Je mehr Aufwand Angreifer für Attacken einplanen müssen, desto unwahrscheinlicher werden diese. Deshalb muss sich jede Organisation als Glied einer Kette verstehen und für mehr Widerstandskraft eintreten.
„Cyber-Resillience ist aber mehr als ein Selbstzweck. Denn wie angemerkt geht es darum, gemeinsam Kriminalität in der digitalen Welt möglichst unattraktiv zu machen.“
Michael Heuer, Mimecast
Man muss sich vor Augen führen, dass digitale Innovation Unternehmen in jeder Branche und Größe durchdringt. In der Praxis sollten sich also Führungsetagen Gedanken darüber machen, wie sie ihre Widerstandsfähigkeit erhöhen. Große Unternehmen haben in der Regel eigene IT-Sicherheitsteams und zahlreiche Sicherheits-Tools. Hier ist es an erster Stelle sinnvoll, über die Verzahnung von Belegschaft und Technologie nachzudenken, da es hier häufig zu unbemerkten Risiken kommt.
Wichtig ist aber auch der Verweis auf KMU durch das BSI. Viele Mittelständler unterschätzen den Grad der Digitalisierung. Dabei besitzt jeder Handwerker E-Mail-Adressen und oft auch eine eigene Homepage. Kleinstunternehmen wickeln zumindest Teile ihre Buchhaltung fast immer digital ab. Hier macht es Sinn über den Einsatz eines Dienstleisters nachzudenken.
Fazit
Jedes Unternehmen sollte sich die Frage stellen: Wie resilient bin ich eigentlich? Nicht nur, um aktuelle Bedrohungen abzuwehren, sondern auch um das Gemeingut „sicheres Internet“ zu erhalten. Der Grad der Digitalisierung ist so weit vorangeschritten, dass die Abwehr von Cyberattacken nicht eine Aufgabe einer einzelnen Institution oder allein Sache von einigen Sicherheitsunternehmen ist. Jeder muss seinen Teil beitragen, damit der Online-Kriminalität ein Riegel vorgeschoben werden kann.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.