Acht-Punkte-Programm als Voraussetzung für erfolgreiche digitale Zukunft.
Die weltweite Attacke mit dem Verschlüsselungstrojaner WannaCry zeigte 2017 überdeutlich: IT-Infrastrukturen sind global viel zu wenig geschützt. Cyberangriffe werden, selbst wenn sie sich gegen bekannte Schwachstellen richten, immer noch nicht ausreichend erkannt und abgewehrt. Sie können sich damit international weit verbreiten. In einem Acht-Punkte-Programm forderte daher Dirk Backofen, Leiter Telekom Security, Unternehmen auf, ihre Cybersicherheit massiv auszubauen.
Dirk Backofen, Leiter Telekom Security (Quelle: Deutsche Telekom AG)
»Ohne vernünftigen Cybersecurity-Schutz verschenken wir wichtigen Boden und ungeahnte ökonomische Werte an die Angreifer«, sagte Backofen auf dem 3. Telekom Fachkongress Magenta Security in Bonn. »Wir benötigen eine Immunisierung der gesamten Gesellschaft. Eine Art Cyberschutz-Impfung für alle Unternehmen. Denn Sicherheit funktioniert nur, wenn alle mitmachen und immun gegen Cyberattacken sind.«
Als sich am 12. Mai 2017 WannaCry anschickte, die Welt zu überrollen, markierte dieser Angriff einen bisherigen Höhepunkt in der Geschichte der Cyberkriminalität. Noch nie zuvor hatte eine Attacke ein solches Ausmaß erreicht. Die Bilanz: 230.000 infizierte Computer in 150 Ländern, betroffen waren zahlreiche global agierende Unternehmen, Behörden und Gesundheitseinrichtungen. Das Perfide an dem Angriff mit dem Verschlüsselungstrojaner: WannaCry verbreitete sich wurmartig von Rechner zu Rechner und fraß sich so geradezu durch IT-Systeme weltweit.
WannaCry führte der Welt massiv die globale Verwundbarkeit der IT-Infrastruktur vor Augen. Der Trojanerangriff zeigte, dass die Welt noch Lichtjahre entfernt ist von einer wirksamen Widerstandsfähigkeit gegenüber solchen Attacken. Oder anders ausgedrückt: Global vernetzte IT-Strukturen sind nur so stark und widerstandsfähig wie ihre schwächsten Glieder.
Was wir daraus lernen sollten? Wir brauchen die flächendeckende »Impfung« gegen Cyberattacken, wir brauchen die »Cyberimmunität«. Es führt kein Weg daran vorbei, dass Unternehmen weltweit ihre Maßnahmen zur Cybersicherheit erhöhen und dauerhaft auf einem sinnvollen Niveau weiterentwickeln.
Ja, es wird trotzdem weiterhin erfolgreiche Attacken geben, aber ihre Zahl wird bei einer guten »Impfquote« abnehmen. Und vor allem werden die richtigen »Impfstoffe« dafür sorgen, dass sich die Zahl der erfolgreichen Attacken verringert.
Widerstandsfähig oder neudeutsch cyber-resilient sind Unternehmen, die auf drei Säulen setzen: Prävention, Detektion und Reaktion. Für eine flächendeckende Cyber-Immunität basierend auf diesen Säulen müssen alle Unternehmen mindestens acht Maßnahmen umsetzen:
Folgende Punkte forderte Backofen in Bonn:
- Security by Design
Sicherheit ist kein Attribut, das dem fertigen Produkt angehängt werden kann. Sicherheit muss bei jeder Neu- oder Weiterentwicklung von Beginn an mitgedacht, muss quasi in die DNA eines Produkts eingeschrieben werden. Das gilt zum einen für Unternehmen, die Produkte entwickeln. Das gilt aber auch für Geschäftskunden, die Produkte beziehen: Sie sind gefordert, Security by Design bereits in ihren Ausschreibungsunterlagen zu verlangen.
- Verpflichtende Vulnerability Scans
IT-Systeme und Lösungen müssen nicht nur einmalig bei Launch neuer Produkte und Systeme, sondern kontinuierlich auf Schwachstellen getestet werden. Diese Tests müssen verpflichtend und überprüfbar sein.
- APT-Schutz für jedes geschäftliche Postfach und Web
Unternehmen müssen zwingend einen Schutz gegen sogenannte fortgeschrittene, andauernde Bedrohung (Advanced Persistent Threat), kurz APT für jedes Postfach und ihren Web-Zugang gewährleisten, um komplexe, zielgerichtete und effektive Angriffe sicher zu verhindern.
- DDoS-Absicherung im Terabit-Bereich
Unternehmen müssen ihren Schutz gegen volumenbasierte Attacken aus dem Internet, sogenannte DDoS-Attacken (Distributed Denial of Service) überprüfen und so aufrüsten, dass er gegen die immer stärker werdenden Angriffe bis in den Terabit-Bereich wirkt.
- Mobile Security für Unternehmen
Mobile Endgeräte benötigen eine Art Dauerradar als Schutzschild, der jedes einzelne Smartphone oder Tablet überwacht und bei Bedrohung vom Netz nimmt, um so Gefahren speziell beim Zugang zu Unternehmensnetzen rechtzeitig zu erkennen und fernzuhalten.
- Verpflichtende (gemanagte) Cyberabwehr für Unternehmensnetzwerke
Prävention alleine reicht für den Schutz von Unternehmen lange nicht mehr aus. Angreifer können sich über nachgeladene Schadsoftware oder infizierte USB-Sticks unbemerkt Zugang zu Unternehmensnetzwerken und wichtigen Daten verschaffen. Sogenannte Zero Day Exploits und Advanced Persistent Threats (APT) sind nur durch ausgefeilte Detektionsmaßnahmen und gezielte Abwehrmaßnahmen unter Kontrolle zu bringen. Dazu sollten Systeme zur Erkennung und Verarbeitung von Cyberattacken (SIEM) für die Unternehmen verpflichtend sein. Ein Kernelement ist dabei neben der Threat Intelligence, das Wissen über Angriffsvektoren und deren gezielte Bekämpfung.
- Industrienetzwerke wie kritische Infrastrukturen behandeln
Industrienetzwerke sind heute immer noch zu wenig geschützt, allerdings hoch sensibel. Sie müssen ebenso umfassend geschützt werden wie kritische Infrastrukturen.
- Reaktionsgeschwindigkeit erhöhen
Im Schnitt 180 Tage dauert es, bis Unternehmen merken, dass ein Angreifer in ihrem IT-Systems sensible Daten gestohlen hat oder noch danach sucht. 180 Tage Zeit, um Schaden anzurichten. Daher muss gelten: Zeit ist Sicherheit! Die Geschwindigkeit der Angriffswellen muss einhergehen mit schneller greifenden Detektions- und Abwehrmaßnahmen.
Automatisierte Sicherheitsanalytik: Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen
Post-Intrusion Report – Gesundheitswesen ist bevorzugtes Ziel von Cyberattacken
Die Mehrheit der deutschen Unternehmen ist schlecht auf Cyberattacken vorbereitet