Illustration Absmeier foto freepik
Wie verschiedene Medien melden sind nach einem Cyberangriff mehrere Städte und Landkreise im Süden von Nordrhein-Westfalen seit Montag erreichbar. Grund ist Medienberichten zufolge eine Attacke auf den kommunalen Dienstleister »Südwestfalen IT«.
Thomas Lo Coco ist Regional Director Central Europe beim IT-Sicherheitsanbieter Absolute Software. Absolute Software sichert kritische Anwendungen auf Betriebssystemebene vom BIOS aus und verfolgt damit einen individuellen Ansatz für Cyberresilienz zur Verbesserung der Widerstandsfähigkeit selbst nach einer erfolgreichen Cyberattacke. Thomas Lo Coco weist auf die Bedeutung und Vielschichtigkeit von Cyber-Resilienz hin. :
»Angriffe auf IT-Dienstleister sind heutzutage an der Tagesordnung, und diese sind vor allem dann verheerend, wenn es den Angreifern gelingt auf die Systeme deren Kunden zuzugreifen. Dadurch multipliziert sich der potenzielle Schaden im Handumdrehen. Natürlich ist und bleibt es wichtig, es den Angreifern so schwer wie möglich zu machen in die Systeme einzudringen, aber jeder Verantwortliche weiß, dass es keine 100-prozentige Sicherheit gibt. Es gilt daher Vorkehrungen zu treffen, welche die möglichen Folgen einer Attacke so gering wie möglich halten.
Das bedeutet, dass es ebenso wichtig ist, eine Strategie zur Reduzierung der Auswirkungen zu entwickeln, anstatt sich in erster Linie darauf zu konzentrieren, Kriminelle vom Netzwerk fernzuhalten. Im Gegenzug haben viele Unternehmen damit begonnen, eine neue Strategie zur Bewältigung der zunehmenden Cyberbedrohungen einzuführen, die als ›Cyberresilienz‹ bezeichnet wird.
Der aktuelle Fall zeigt einmal mehr, dass die effektive Absicherung der PCs im BIOS beginnt und esseniell ist, wenn es darum geht, wieder sehr schnell einsatzbereit zu sein. Das Security-Konzept von Unternehmen, Ämtern und Behörden ist nur dann wirklich wirksam, wenn man die BIOS-Ebene mit einbezieht.
Laut MITRE und dem National Institute of Standards and Technology (NIST) ist Cyberresilienz ›die Fähigkeit, widrige Bedingungen, Belastungen, Angriffe oder Gefährdungen von Cyberressourcen zu antizipieren, ihnen standzuhalten, sich davon zu erholen und sich an sie anzupassen.‹
Der Bedarf an Cyberresilienz ergibt sich aus der wachsenden Erkenntnis, dass herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichen, um Systeme, Daten und das Netzwerk vor Kompromittierung zu schützen. Das Ziel der Cyberresilienz besteht darin, sicherzustellen, dass ein unerwünschtes Cyber-Ereignis keine negativen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Geschäftsbetriebs einer Organisation hat.
Cybersicherheit wendet Technologien, Prozesse und Maßnahmen an, die darauf abzielen, Systeme, Netzwerke und Daten vor Cyberangriffen zu schützen. Im Gegensatz dazu konzentriert sich Cyberresilienz auf detektierende und reaktive Kontrollen in der IT-Umgebung eines Unternehmens, um Lücken zu bewerten und Verbesserungen der gesamten Sicherheitslage voranzutreiben. Die meisten Cyberresilienz-Initiativen nutzen oder verbessern eine Vielzahl von Cybersicherheitsmaßnahmen. Beide sind am effektivsten, wenn sie gemeinsam angewendet werden.«
Wenn es um Cyberresilienz geht, glauben viele Unternehmen leider, dass die Datensicherung (Backup) ihre wichtigste beziehungsweise einzige Option zur Etablierung dieses Ansatzes ist.
Cyberresilienz-Strategien umfassen jedoch unter anderem die folgenden Aspekte, die Thomas Lo Coco abschließend ausführt:
»Halten Sie eine vertrauenswürdige Verbindung mit Endpunkten aufrecht, um unsicheres Verhalten oder Bedingungen zu erkennen, die sensible Daten gefährden könnten. Dazu gehören eine detaillierte Transparenz und Kontrolle über Endpunkt-Hardware, Betriebssysteme, Anwendungen und auf dem Gerät gesammelte Daten. Diese ständige Konnektivität kann im Falle eines Ransomware-Angriffs bei der Wiederherstellung des Betriebssystems hilfreich sein.
Zweitens: Überwachen und beheben Sie Fehlkonfigurationen – automatisch, wenn möglich, da Unternehmen nicht davon ausgehen können, dass der Zustand ihrer IT-Kontrollen oder IT-Sicherheit im Laufe der Zeit stabil bleibt.
Überwachen Sie zudem den Status der Netzwerkkonnektivität, den Sicherheitsstatus und die potenzielle Bedrohungslage, um mithilfe dynamischer Webfilterung eine akzeptable Nutzung durchzusetzen.
Und abschließend: Erzwingen Sie dynamische, kontextbezogene Netzwerkzugriffsrichtlinien, um Personen, Geräten oder Anwendungen Zugriff zu gewähren. Dazu gehört die Analyse des Gerätestatus, des Anwendungszustands, der Netzwerkverbindungssicherheit sowie der Benutzeraktivität, um anschließend vordefinierte Richtlinien am Endpunkt und nicht über einen zentralen Proxy durchzusetzen.«
Cyberresilienz stabil und unternehmensindividuell aufbauen – IT-Sicherheit mit Augenmaß
Sicherheit braucht eine schlüssige und umsetzbare Steuerung. Ganzheitliche Security-Konzepte müssen in ihrem Umfang, Aufwand und in ihren Vorgaben zu einem Unternehmen passen. Nur dann machen sie Sinn und können gelebt werden.
Die sich dynamisch verändernde Bedrohungslage im Cyberumfeld macht es Wirtschaft und Politik schwer, sich schnell und wirksam auf Cyberangriffe einzustellen. Ob staatlich motiviert, automatisiert oder gezielt auf bestimmte Industriezweige – die Angriffe zeigen: Unternehmen werden verwundbarer. Sicherheitsstandards wie die ISO-Normen und gesetzliche Vorgaben sollen für ein stabil hohes Sicherheitsniveau über Branchen und Unternehmensgrößen hinweg sorgen. Seitens der Politik lag der Fokus bisher auf großen Unternehmen, die für die Aufrechterhaltung kritischer Infrastrukturen zuständig sind. Mit NIS2 (Network and Information Security), der überarbeiteten Version der von der EU 2016 festgelegten Cybersecurity-Richtlinie NIS, werden nun auch kleine und mittlere Unternehmen der kritischen Infrastruktur ab 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro verstärkt in die Pflicht genommen – sofern sie zu einem der 18 Sektoren gehören –, umfassende Maßnahmen für eine hohe IT-Sicherheit zu ergreifen.
IT-Sicherheit: Anforderungen (über )fordern Unternehmen. Die Anforderungen sind ein wichtiger Impuls und zugleich auch Verpflichtung, in Sachen IT-Sicherheit am Ball zu bleiben. Doch der Anforderungskatalog ist lang: Von Leitlinien für die Informationssicherheit über präventive Maßnahmen bis hin zu Abwehrmechanismen und strengen Vorgaben zum Meldewesen stehen die betroffenen Unternehmen vor großen Herausforderungen. Eine Situation, die sie überfordern kann. Das beginnt schon mit der Auswahl einer passenden IT-Sicherheitslösung. Das Lösungsangebot ist groß, eine Orientierung fällt zunehmend schwer. Hinzukommt die Frage nach der Einführung und Umsetzung der IT-Sicherheitsmaßnahmen. Wann und mit welchen Ressourcen können Organisationen diesen Kraftakt stemmen? Denn schließlich müssen sie auch ihr Kerngeschäft im Blick behalten und darin wirtschaftlich agieren.
Technische und prozessuale Maßnahmen verzahnen. Einige Unternehmen meistern diese Anforderungen mit ihren eigenen Security-Experten und einer fachlich gut aufgestellten IT-Abteilung im Haus. Je nach Unternehmensgröße und Branche mangelt es jedoch bei einer Vielzahl von Organisationen an Budget, Ressourcen oder auch Reputation, um geeignete und rar gesäte Mitarbeitende für ihre Sicherheitsteams zu finden, zumal auch die abverlangten Detection & Response-Fähigkeiten eine zusätzliche Belastung darstellen. Darüber hinaus fehlt oft auch das interne Commitment. Dieses ist jedoch erforderlich, um Maßnahmen organisationsweit und verbindlich durchzusetzen.
Da verwundert es nicht, dass eine Lücke klafft zwischen dem, was sich Unternehmen vornehmen und dem, was sie tatsächlich tun. Um den Vorgaben gerecht zu werden, kratzen sie häufig mit rein technischen Maßnahmen nur an der Oberfläche. Darin bestärkt sie auch der Markt. Denn der suggeriert ihnen teilweise, dass die Antworten auf Fragen der IT-Sicherheit nur in technischen Lösungen zu finden sind. Ein ganzheitlicher IT-Sicherheitsansatz ist jedoch erst komplett, wenn auch Sicherheitsprozesse selbst, beispielsweise ein Schwachstellen- oder Incident-Management, betrachtet werden. Deshalb ist es wesentlich, die technischen Maßnahmen auch prozessual in den nachgelagerten Betriebsprozessen zu verankern. Dabei sind auch kleine Schritte sinnvoll. Sie führen eher zu einem adäquaten Reifegrad als der Versuch, den Anforderungen von Anfang an in vollem Umfang zu entsprechen.
Grundsätzlich muss deshalb auch beim Thema Prozesse Grundlagenarbeit geleistet werden. Oder anders gesagt: Die Hausaufgaben müssen gemacht werden. Dabei gilt es, neben den technischen Themen auch die organisatorische, prozessuale Ebene zu berücksichtigen.
1. IT-Assets konsistent erfassen
Welche Assets, zum Beispiel Geräte, Know-how, Ressourcen, Systeme und Services, sind im Unternehmen beziehungsweise Unternehmensnetzwerk vorhanden?
2. Risiken erkennen und einschätzen
Welchen Risiken sind die Assets ausgesetzt? Sind die Risiken bekannt, können sie priorisiert und eingedämmt werden. Für eine solch komplexe, aber wichtige Aufgabe stehen auch einfache Modelle wie das FAIR Risk Model (Factor Analysis of Information Risk) zur Verfügung. Sie unterstützen dabei, Risiken zu analysieren und zu bewerten. Zudem lassen sich dadurch die ohnehin knappen Ressourcen zielgerichtet lenken.
3. Schwachstellen managen
Welche Schwachstellen sind öffentlich bekannt? Darüber können sich Organisationen beziehungsweise die Asset-Administratoren an zahlreichen Stellen informieren, zum Beispiel bei Softwareherstellern, Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder IT-spezifischen Mediendiensten wie heise. Es ist jedoch ein Prozess zu etablieren, mit dem Schwachstellen über unterschiedliche Wege und Kanäle erfasst, bewertet und behandelt werden.
4. Verhaltens- und Vorgehensweisen im Angriffsfall festlegen
Was ist im Angriffsfall zu tun? Welche Meldewege sind zu berücksichtigen? Sind Standardmaßnahmen (Standard Operating Procedures) definiert? Ein dokumentierter und etablierter Incident-Management-Prozess ebnet den Weg dafür, die erforderliche Qualität der Aktivitäten im Kontext eines Incident Managements sicherzustellen.
5. Betriebshandbücher anlegen und pflegen
Existieren – zumindest zu den relevanten Systemen – Dokumente zu deren Betrieb (Aufgabe, Konfiguration, Zugriff, Zuständigkeit, Support und weitere)? Werden diese Dokumente auch gepflegt? Können die Informationen im Bedarfsfall dabei unterstützen, die Systeme wiederherzustellen? Sind sie zudem so aufbereitet, dass dies nicht nur für Experten möglich ist?
6. Sensibilisierung und Awareness schaffen
Führen Organisationen regelmäßige, auf einzelne Personengruppen abgestimmte Awareness und allgemeine Security-Trainings in der Belegschaft durch, schaffen sie mehr Sensibilität für IT-Risiken und Gefahren. So bauen sie außerdem Wissen im Mitarbeiterstamm auf.
Die Hausaufgaben – zumindest grundlegende Sicherheitsprozesse zu standardisieren und zu dokumentieren – betreffen jede Organisation. Sie sind unabdingbar, um sich wirkungsvoll gegen Cyberangriffe zu wappnen. Damit wird ein erstes Management der IT-Sicherheit etabliert, sodass Unternehmen darüber Sicherheitsmaßnahmen orchestrieren können. Um die notwendige Geschwindigkeit zu erreichen, ist es legitim, schon vorab grundlegende technische Maßnahmen zu ergreifen, die zum Beispiel im Kontext einer »Best Practices Cyberhygiene« zu sehen sind.
Der Start mit technischen Basismaßnahmen bei gleichzeitiger Etablierung von grundlegenden Sicherheitsprozessen führt zu einer IT-Security-Strategie, die gelebt und schrittweise verbessert werden kann. Denn auch beim Thema Sicherheit kommt es letztendlich darauf an, die Organisation als solche nicht zu überfordern.
Stabile Cyberresilienz aufbauen. Sind Maßnahmen umgesetzt und erste Aktivitäten im Rahmen der konzeptionellen Sicherheit ergriffen, sollten sie kontinuierlich überprüft werden. Mit definierten Kontrollpunkten lässt sich überwachen, ob die gesteckten Sicherheitsziele erreicht werden. Im Bedarfsfall können Organisationen dann gegensteuern.
Wie entwickelt sich der Security-Reifegrad des Unternehmens? Welche neuen Sicherheitsanforderungen müssen berücksichtigt werden? Wer seine Risiken kennt und ein auch zunächst sehr einfaches Risikomanagement etabliert, kann darauf aufsetzend eine stabile Cyberresilienz aufbauen und Cyberangriffen gut gerüstet entgegentreten.
Gleichzeitig gilt es zu bedenken: Für einen Großteil der von den Regularien betroffenen Unternehmen gehört Cybersecurity nicht zum Kerngeschäft. Daher steht die zentrale Fragestellung im Raum, bis zu welchem Security-Reifegrad sich ein Unternehmen überhaupt entwickeln kann und sollte. Sicherheit ist unternehmensspezifisch und muss nicht immer in einem komplexen Konstrukt enden. Im Gegenteil: Die prozessualen und technischen Schritte müssen einfach und konsumierbar sein. Werden sie zudem kontinuierlich begleitet und geprüft – zum Beispiel von IT-Partnern, Branchenverbänden oder anderen Experten – profitieren Unternehmen von einem IT-Sicherheitsniveau mit Augenmaß, das zu ihrer Organisation passt und umsetzbar ist.
Denn es geht nicht darum, in Rekordzeit und am Fließband Richt- und Leitlinien zu generieren. Deren Notwendigkeit steht insbesondere im Kontext einer Zertifizierung außer Frage. Wichtig ist eine schlüssige und umsetzbare Steuerung der Sicherheit. Security-Konzepte müssen sinnig sein, in ihrem Umfang, Aufwand und in ihren Vorgaben zu einem Unternehmen passen. Nur dann können sie auch gelebt werden.
Cybersecurity hautnah – Damovo auf der it-sa
Cybersecurity ganzheitlich denken:
Dazu informiert Damovo auf der it-sa, 10.-12. Oktober 2023, Messe Nürnberg: Halle 7A, Stand 508 (Cisco-Stand)Wie sich ein ganzheitliches Security-Konzept aufbauen und umsetzen lässt, zeigt Edgar Reinke auf dem Cisco Cybersecurity Day am 11.10.2023 auf, der im Rahmen der it-sa stattfindet. In seinem Vortrag »Ganzheitliche Krisenbewältigung: Cybersecurity als integratives Konzept« vermittelt der Cybersicherheitsexperte einen Fahrplan zur systematisch gesteuerten Sicherheit.
Vortrag Edgar Reinke, Security-Experte, auf dem Cisco Cybersecurity Day:
»Ganzheitliche Krisenbewältigung«:
Mittwoch, 11.10.2023, 15:00 Uhr,
Raum Kopenhagen/Oslo,
Ebene 2 im Kongresszentrum Ost,
Messegelände NürnbergAnmeldungen zu m exklusiven Cisco Cybersecurity Day sind über folgenden Link möglich:
Edgar Reinke,
Security-Experte und
Strategic Technology Officer
bei Damovo