Worawut - stock.adobe.com
Cyberresilienz: Den IT-Ernstfall meistern
Unternehmen konzentrieren sich häufig auf die Abwehr von Cyberattacken und vernachlässigen Maßnahmen deren Auswirkungen zu begrenzen. Dadurch sind die Schäden oft größer als nötig.
Ohne IT geht heute in den meisten Unternehmen nichts mehr. Fallen wichtige Systeme aus, können Mitarbeitende ihre Aufgaben nicht mehr nachkommen und geschäftliche Abläufe stehen still. Auf dieser Abhängigkeit haben Cyberkriminelle mit Ransomware-Erpressungen ein ganzes Geschäftsmodell aufgebaut und ihre Angriffsbemühungen in den vergangenen Jahren immer weiter verstärkt.
Da sich selbst fortschrittliche Angriffstools leicht im Darknet erwerben und sogar komplette Angriffe „as-a-Service“ buchen lassen, hat allerdings nicht nur die Zahl der Attacken, sondern auch deren Qualität zugenommen. Die Bedrohung sei „so hoch wie nie“, urteilt das BSI im seinem Lagebericht für 2022 und stellt fest: „Zentrale Herausforderung für die Unternehmen in Deutschland ist die Steigerung der Cyber-Resilienz, d. h. die Kombination aus guter Präventionsarbeit mit der Möglichkeit, auf Cyber-Angriffe zu reagieren mit dem Ziel, den Betrieb des Unternehmens aufrechtzuerhalten und zu sichern.“
Bislang kümmern sich viele Unternehmen vornehmlich um den ersten Teil – die Prävention – und haben dafür neue Sicherheitslösungen angeschafft, die ihre durch Fernarbeit und Cloud-Dienste offeneren Infrastrukturen schützen sollen. Dabei übersehen sie jedoch leicht, dass absolute IT-Sicherheit unmöglich zu erreichen ist und stets ein Restrisiko bleibt. Eine vergleichsweise einfache und kostengünstige Möglichkeit, dieses Risiko zu reduzieren, sind Awareness-Trainings. Hier werden die Mitarbeitenden in regelmäßigen Schulungen für Gefahren sensibilisiert, sodass sie sicherheitsbewusster mit Geräten, Anwendungen und Daten umgehen und Bedrohungen erkennen, die es an den Sicherheitssystemen vorbeigeschafft haben.
Letztlich lassen sich aber auch damit Sicherheitsvorfälle nicht vollständig vermeiden, weshalb Unternehmen unbedingt Konzepte und Lösungen benötigen, die die Auswirkungen eines Angriffs minimieren und eine schnelle Wiederherstellung aller betroffenen Systeme erlauben. Ohne solche Vorbereitungen auf den Ernstfall sind die Schäden in der Regel erheblich größer, als sie sein müssten – weil mehr Systeme betroffen sind, die Wiederherstellung aufwendiger ist, der Geschäftsbetrieb länger stillsteht und womöglich auch das Image des Unternehmens stärker leidet und Kunden abwandern. Bestes Beispiel dafür, wie lange es dauern kann, bis alles wieder reibungslos läuft, ist der Landkreis Anhalt-Bitterfeld, der auch ein Jahr nach einer Ransomware-Attacke noch mit den Folgen zu kämpfen hatte.
Zero Trust verringert die Tragweite von Angriffen
Geht es darum, den Handlungsspielraum von Cyberkriminellen nach der erfolgreichen Kompromittierung eines Systems einzuschränken, führt kein Weg an Zero Trust vorbei. Dabei handelt es sich um ein Sicherheitskonzept, bei dem Zugriffsrechte sehr restriktiv vergeben und alle Zugriffsanfragen konsequent verifiziert werden. Mitarbeitende oder auch Anwendungen erhalten somit nicht einfach Zugang zu einem System oder Netzwerkbereich, nur weil sie sich früher schon einmal dort oder an anderer Stelle angemeldet haben, sondern müssen sich – getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“ – jedes Mal authentifizieren. Zudem bekommen sie nur die Rechte zugewiesen, die sie für ihre Aufgaben benötigen. Zusätzliche Privilegien lassen sich bei Bedarf anfordern, werden jedoch anschließend wieder entzogen, um eine dauerhafte Rechteanhäufung zu vermeiden.
Auf diese Weise verhindert Zero Trust, dass Cyberkriminelle, die Zugangsdaten erbeutet oder ein System via Malware erfolgreich infiltriert haben, auf andere Systeme zugreifen und sich immer weiter innerhalb der Infrastruktur ausbreiten können. Das Risiko, dass sie weite Teile der IT lahmlegen oder größere Datenmengen erbeuten, sinkt dadurch deutlich.
Datensicherung ist Pflicht – auch in der Cloud
Wenn es dennoch zu einem Ausfall von IT-Systemen kommt, helfen durchdachte Konzepte für Backup und Recovery, diese schnell und zuverlässig wiederherzustellen. Allerdings bezweifeln die meisten Unternehmen, dass ihnen das nach einer Cyberattacke tatsächlich gelingt: 67 Prozent glauben dem aktuellen Global Data Protection Index (GDPI) von Dell Technologies zufolge, ihre Data Protection reiche nicht aus, um mit der Bedrohung durch Ransomware und andere Malware fertigzuwerden. Zudem sind 63 Prozent nicht sehr zuversichtlich, dass ihnen die Wiederherstellung aller geschäftskritischen Daten nach einer schwerwiegenden Attacke gelingt.
Dabei bedrohen nicht nur Cyberkriminelle die IT-Infrastruktur und damit den Geschäftsbetrieb von Unternehmen. Auch Brände und Hochwasser können zu weitreichenden Ausfällen führen, weil sie nicht nur einzelne Systeme betreffen, sondern gleich das ganze Rechenzentrum. Zumindest die wichtigsten Systeme, Anwendungen und Daten sollten daher redundant vorhanden sein – in einem zweiten Rechenzentrum an einem anderen Standort oder in der Cloud.
Welche Systeme, Anwendungen und Daten das sind, müssen Unternehmen zunächst in einem Assessment bestimmen. Hier ermitteln sie, über welche Daten sie überhaupt verfügen, wo diese gespeichert sind, welchen Risiken sie unterliegen und wie geschäftskritisch sie sind. Darauf basierend werden dann die Sicherungs- und Wiederherstellungskonzepte entwickelt. Dabei gilt: Je wichtiger die Daten sind, desto regelmäßiger sollten sie gesichert werden und desto schneller müssen sie sich wieder herstellen lassen.
In einer Welt, in der Informationen über unzählige Systeme, Standorte und Cloud-Dienste verteilt sind, ist das keine leichte Aufgabe. Daher kann es sinnvoll sein, einen erfahrenen externen Dienstleister hinzuzuziehen. Dieser unterstützt mit Best Practices und hilft, typische Fehler zu vermeiden. So vernachlässigen Unternehmen bisweilen beispielsweise die Sicherung von Daten in der Cloud, insbesondere bei SaaS-Diensten wie Microsoft 365 oder Salesforce, weil sie annehmen, der Cloud-Anbieter kümmere sich schon darum. Das jedoch ist eine Fehleinschätzung, da dieser nur die Sicherheit und Funktionsfähigkeit des Dienstes garantiert – die Verantwortung für die darin gespeicherten Daten obliegt immer und allein den jeweiligen Kunden.
Konsolidierung verkürzt Ausfallzeiten und verhindert Datenverluste
Unternehmen schaffen zudem häufig Datensicherungslösungen verschiedener Hersteller an, um bestimmte Systeme und Anwendungen zu sichern. Dabei arbeiten die einzelnen Tools nicht immer gut zusammen, was den IT-Teams unnötig viel Arbeit macht und im Ernstfall die Wiederherstellung verzögern oder sogar verhindern kann. Eine Konsolidierung auf einen oder wenige Anbieter beziehungsweise die Auswahl vielseitiger und integrationsfreudiger Lösungen ist daher ein wichtiger Schritt, um Downtimes zu verkürzen und dauerhafte Datenverluste zu vermeiden. Außerdem sollten Unternehmen auf eine leistungsstarke Deduplizierung achten, um die Datenmengen und damit Speicherkosten zu reduzieren, sowie die Backups regelmäßig auf Funktionsfähigkeit testen. Eine Datensicherung, die sich nicht einspielen lässt, wenn es darauf ankommt, ist schlussendlich wertlos.
„Jeder Tag, den ein Unternehmen aufgrund verschlüsselter Daten oder eines IT-Ausfalls stillsteht, kostet enorme Summen – in der Regel deutlich mehr als die Stärkung der Cyberresilienz.“
Geraldine Schurek, Dell Technologies
Ohnehin nützt die beste Data Protection nur wenig, wenn keine Prozesse zur Wiederherstellung definiert wurden oder diese nur stockend ablaufen. Ein IT-Notfallplan, in dem genau festgelegt ist, welche Maßnahmen wann eingeleitet werden, wer sie umsetzt und wer für notwendige Entscheidungen zuständig ist, gehört daher zur Cyberresilienz unbedingt dazu. Dieser Notfallplan muss regelmäßig getestet und immer weiter verbessert werden, damit auch in Ausnahmesituationen alles routiniert abläuft und ein Rädchen perfekt ins andere greift. Dabei muss der Plan auch Antworten darauf liefern, was unternommen wird, wenn nicht nur einzelne Systeme, sondern mehr oder weniger die komplette IT ausfällt – etwas, was bei einer Ransomware-Attacke oder einer Naturkatastrophe nicht selten der Fall ist.
Die wertvollsten Daten schützen
Da auch Cyberkriminelle um den Wert einer guten Datensicherung wissen, suchen sie insbesondere bei ihren Ransomware-Attacken inzwischen gezielt nach Backups und machen diese ebenso wie die Produktivsysteme durch Verschlüsselung unbrauchbar. Das BSI empfiehlt in seinem „Maßnahmenkatalog Ransomware“ daher, eine Datenkopie offline aufzubewahren – unerreichbar für Eindringlinge. Dafür eignen sich zum Beispiel sogenannte Cyber Vaults, die durch ein operatives Air Gap vom Rest der Infrastruktur getrennt und nur zu bestimmten Zeiten im Netzwerk sichtbar sind, um die wertvollsten Daten aufzunehmen. Aus dem Vault können Unternehmen diese nach einer Ransomware-Attacke oder anderen Sicherheitsvorfällen zuverlässig wiederherstellen.
Gute Vaults lassen sich sowohl auf lokalen Speichersystemen als auch in der Cloud einrichten und besitzen eine forensische Analytik, die ungewöhnliche Veränderungen an den abgelegten Daten erkennt und verhindert. Darüber hinaus ist eine gute Performance wichtig, damit der Restore nicht zu lange dauert und Unternehmen schnell wieder handlungsfähig sind.
Natürlich ist Cyberresilienz nicht zum Nulltarif zu haben, doch das Geld ist in der Regel klug investiert. Jeder Tag, den ein Unternehmen aufgrund verschlüsselter Daten oder eines IT-Ausfalls stillsteht, kostet enorme Summen – in der Regel deutlich mehr als die Stärkung der Cyberresilienz. Zumal Unternehmen viele Kosten gar nicht auf dem Zettel haben, seien es Vertragsstrafen, Bußgelder, steigende Prämien für die Cyberversicherung oder Ausgaben für die Kommunikation mit Behörden und Kunden. Hinzu kommen Reputationseinbußen, die sich meist gar nicht genau beziffern lassen und ein Unternehmen langfristig schädigen, weil Kunden und Fachkräfte künftig lieber zum Wettbewerber mit dem besseren Ruf gehen.
Über die Autorin:
Geraldine Schurek ist Senior Sales Manager, Data Protection Solutions bei Dell Technologies.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.