Cyber-Sicherheit: Warum Prävention nicht mehr ausreicht

Der  Enkel-Trick oder die große Liebe übers Internet: Vermeintliche zwischenmenschliche Beziehungen werden schon lange ausgenutzt, um die Preisgabe von vertraulichen Informationen oder Geldbeträgen zu erwirken. Was im privaten Umfeld funktioniert, ist oftmals auch im Unternehmenskontext lukrativ. Eine Mail vom Chef zur Veranlassung einer Zahlung oder die Bitte um Herausgabe der LogIn-Daten durch eine Kolleg*in aus der IT – die Angriffe beim Social Engineering sind oftmals so gut gemacht, dass beim Empfänger keinerlei Verdacht aufkommt. Angst und Besorgnis im Zusammenhang mit COVID-19 waren in letzter Zeit zudem ein perfekter Einstiegspunkt für eCrime-Akteure. Das Ergebnis: Eine rekordverdächtige Zunahme von Social-Engineering-Angriffen.

Natürlich existieren neben dem Social Engineering noch zig weitere Formen von Cyberangriffen. Gemein ist den meisten, dass sie sich immer weniger durch Präventivmaßnahmen verhindern lassen. Was Sie ergänzend tun können, um Ihr Unternehmen vor Cyber-Angriffen zu schützen, erfahren Sie im folgenden Blogpost.

• Stetiger Anstieg von Hacking-Angriffen
• Prävention und Detektion
• Permanentes Monitoring durch SIEM
• Schutz kritischer Geschäftsprozesse muss Vorrang haben
• Entwickeln Sie einen Incident Response Plan
• Fazit

Stetiger Anstieg von Hacking-Angriffen

Hacking-Angriffe auf Unternehmen nehmen weiterhin stetig zu. Die Zahl der gemeldeten Datenschutzpannen nach Art. 33 DSGVO ist im Jahr 2020 um mehr als 5.000 Meldungen auf 26.057 gegenüber dem Vorjahr gestiegen. Das entspricht einer Steigerung von 19,4 Prozent. Allein im Freistaat Bayern wurden 3.794 Pannen gemeldet.

Diesen Trend können wir aus unserem Alltag bestätigen. Wir werden immer häufiger gebeten, betroffene Unternehmen bei der Bewältigung von Sicherheitsvorfällen zu begleiten. Dabei zeigt sich vermehrt, dass präventive Maßnahmen nicht mehr ausreichen, um eine gute Cyber-Resilienz zu erreichen. Vielen Unternehmen fehlt die Transparenz darüber, ob die ergriffenen Schutzmaßnahmen Angreifer wirklich aus dem Unternehmensnetzwerk fernhalten. Andere können nicht ausschließen, dass sie bereits angegriffen wurden. Diese Entwicklung bestätigen Angaben des Security-Anbieters Fireeye: Laut dessen M-Trends 2021 bleiben Angriffe durchschnittlich bis zu 225 Tage unentdeckt – enorm viel Zeit für einen Angreifer, großen Schaden anzurichten.

Prävention und Detektion

Was also ist zu tun, um wieder Herr der Lage zu werden? Der erste, aber entscheidende Schritt auf dem Weg zu Cyber-Resilienz ist zu akzeptieren, dass es keinen hundertprozentigen Schutz vor Attacken gibt. Man kann vorsorgen und sich in Stellung bringen, aber Malware, Viren oder Phishing entwickeln sich permanent weiter. Zudem passieren Fehler – egal ob ausgelöst durch Schwachstellen in Systemen oder das so oft zitierte menschliche Versagen.

"Der erste, aber entscheidende Schritt auf dem Weg zu Cyber-Resilienz ist zu akzeptieren, dass es keinen hundertprozentigen Schutz vor Attacken gibt."

Unabhängig davon, wie sich Kriminelle Zugang zu Ihrem Unternehmen verschafft haben – ein Hacker-Angriff kann enorme Auswirkungen auf die Betriebsfähigkeit eines Unternehmens haben. Der Fokus von IT-Sicherheit muss daher neben der Prävention künftig stärker auf der Detektion von Sicherheitsvorfällen liegen. Es geht darum, Eindringlinge schnell zu erkennen und schnell auf sie reagieren zu können.

Permanentes Monitoring durch SIEM

Unternehmen haben in der Regel unterschiedliche Sicherheitslösungen im Einsatz. Die Krux: Deren Protokolle werden nicht oder nur unzureichend ausgewertet. Die Bandbreite der Protokolle reicht von den Log-Files einzelner Anwendungen über Betriebssysteme von (mobilen) Endpunkten und Servern, sowie Hardware-Firmware und Netzwerke bis hin zu diversen Clouds. Werden die sicherheitsrelevanten Informationen aus diesen verschiedenen Datenquellen nicht oder nicht zeitnah ausgewertet, werden mögliche Angriffe und Vorfälle nicht erkannt – oder erst dann, wenn es bereits zu spät ist.

Ein guter Weg, um die eben genannte Vielzahl an Protokollen im Blick zu haben, ist ein „Next Generation“ SIEM (Security Information and Event Management). Ein solcher Ansatz stellt sicher, dass verschiedenste Datenquellen und -formate unterstützt werden und dadurch eine große Menge an sicherheitsrelevanten Daten verarbeitet werden kann. Wichtig ist hierbei, dass die Lösung über eine hohe Analyse-Performance verfügt. Zudem sollte sie um eine Security Intelligence ergänzt werden, die mit Hilfe von künstlicher Intelligenz (KI) Bedrohungen und Vorfälle analysiert. So werden bekannte, aber auch neue Sicherheitslücken erkannt.

Um mögliche Angriffe und Vorfälle umgehend  erkennen zu können, müssen die Protokolle aus allen eingesetzten Sicherheitslösungen permanent ausgewertet werden.

Schutz kritischer Geschäftsprozesse muss Vorrang haben

Sind die Sicherheitsrisiken bekannt, müssen diese natürlich auch gelöst werden. Vor allem die Reaktion auf kritische Sicherheitsereignisse muss zeitnah erfolgen. Damit dies jederzeit, also 24 Stunden am Tag an 365 Tagen im Jahr, geschehen kann, sollten kritische Geschäftsprozesse idealerweise durch ein Security Operation Center (SOC) abgesichert werden. Ein SOC ist eine zentrale Instanz für Sicherheitsangelegenheiten in einem Unternehmen, deren Fokus darauf liegt, Cyber-Resilienz operativ umzusetzen und die Widerstandsfähigkeit dauerhaft zu stärken.

„Ein Security Operation Center (SOC) ist eine zentrale Instanz für Sicherheitsangelegenheiten in einem Unternehmen, deren Fokus darauf liegt, Cyber-Resilienz operativ umzusetzen und die Widerstandsfähigkeit dauerhaft zu stärken.“

In der Regel setzt sich das SOC aus hochqualifizierten Security-Analysten zusammen. Diese kümmern sich darum, dass IT-Systeme aktiv und permanent überwacht und analysiert werden. So gewährleistet das Team aus Sicherheitsexperten, dass IT-Schwachstellen erkannt und entfernt, Abwehrmaßnahmen eingeleitet, Security-Assessments durchgeführt und die Compliance-Richtlinien eingehalten werden.

Entwickeln Sie einen Incident Response Plan

Ergibt sich trotz der Arbeit des SOC ein Security-Notfall, müssen die Rollen im Unternehmen klar verteilt und die Prozesse definiert sein. Dafür ist es hilfreich, einen Incident Response Plan zu erstellen. Ein solcher Plan beinhaltet einen Prozess zur Behandlung von Sicherheitsvorfällen und definiert einen zuständigen Krisenstab, der sämtliche Aktivitäten zur Lösung des Vorfalls koordiniert – dazu zählen beispielsweise die interne und externe Kommunikation, das Einbinden von externen Spezialisten oder das Einhalten von Meldefristen von Datenschutzpannen. Zudem obliegt es dem Krisenstab, zu prüfen und festzustellen, ob eine Beweissicherung sowie der Einsatz forensischer Untersuchungen notwendig sind.

Fazit

Die Bedrohungen im Cyber-Umfeld wachsen und ändern sich rasant. Reine Prävention wird künftig nicht ausreichen, um sich als Unternehmen vor Angriffen von eCrime-Akteuren zu schützen. Unternehmen sollten das Budget zur Minimierung von Cyber-Risiken daher vermehrt in die Erkennung und Reaktionsfähigkeit von Sicherheitsvorfällen investieren als in präventive Sicherheitsmaßnahmen.

GERNE UNTERSTÜTZEN WIR SIE AUF DIESEM WEG!