Blick durch die geopolitische Linse mahnt zu mehr Cybersicherheit
Mal trifft es eine Bundesbehörde oder einen Großkonzern, mal die Verwaltung einer Kleinstadt oder ein kleines Softwareunternehmen – auf die Organisationsgröße kommt es Cyberkriminellen nicht unbedingt an. Selbst wenn der Angriff geopolitische Hintergründe hat, kann es jeden Betrieb treffen. Cyberangriffe finden immer öfter nicht nur zwischen Nationen statt. Ziele sind oft auch öffentliche und private Organisationen, wie auch der ENISA Threat Landscape (ETL) Report von 2023 bestätigt.
Laut der Europäischen Cybersicherheitsagentur (ENISA) betrafen allein fast ein Fünftel der Vorfälle die öffentliche Verwaltung. Weitere 13 Prozent hatten die digitale Infrastruktur und digitale Dienstleistungen als Ziel. Kleine Behörden oder Unternehmen (KMU) sind nicht zwingend das primäre Ziel. Sie können den Angreifern jedoch als Einfallstore für Großkonzerne oder Staaten dienen, zum Beispiel wenn diese KMUs ihre Lieferanten sind.
Geopolitische Linse: Lieferketten und Dienstleister im Visier
So sieht die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) Cyberattacken als eines der größten Risiken für den Finanzsektor. Der Grund für diese Einschätzung liegt bei Schwachstellen in eingesetzten Software-Produkten oder Unterbrechungen bei externen Dienstleistern. Um solche Verflechtungen herauszufinden, betreiben politisch motivierte Angreifer regelrecht Marktrecherche, um auch auf verschlungenen Pfaden an ihr Ziel zu gelangen. Die Cyberkriminellen nehmen somit bereits im Vorfeld einen ziemlich großen Aufwand in Kauf, denn das Ergebnis kann durchaus lukrativ sein. Das Beispiel Solarwinds zeigt, dass durch eine einzige Software verschiedenste Unternehmen infiltriert werden können.
Das Gleiche gilt in einer etwas kleineren Dimension für Rechenzentren oder IT-Dienstleister. Diese sind immer interessante Ziele, weil sie Zugänge in verschiedenste Unternehmen haben. Geopolitisch motivierten Angreifern geht es dabei nicht unbedingt um Geld. Sie wollen laut ENISA häufig Informationen, sensible Daten und Betriebsgeheimnisse erbeuten oder sogar eine (Zer-)Störung verursachen
Mit Phishing & Co. Zutritt verschaffen
Um einen Fuß in die Tür zu bekommen, nutzen die Angreifer verschiedene Vorgehensweisen. Beliebt ist nach wie vor das Phishing. Diese Methode des Einschleusens von Schadsoftware wird immer raffinierter. So kann das schädliche Programm zum Beispiel in der Anlage einer vermeintlichen Bewerbungsnachricht enthalten sein, die auf eine tatsächlich ausgeschriebene Stelle gemünzt ist. Vermehrt ausgenutzt werden Zero Day Schwachstellen, wenn der Software-Hersteller die Lücken zu spät schließt und Kriminellen die Türe öffnet. Aber auch unternehmensinterne Anlagen oder Bring your Own Devices sind nicht zu unterschätzen. Kaum nutzt ein Mitarbeiter nichtsahnend einen USB-Tassenwärmer oder USB-Ventilator und schon ist die Schadsoftware eingeschleust.
Ob die Angreifer nach einem erfolgreichen Angriff Forderungen stellen oder schweigen: Verhandlungen mit den Angreifern sind in der Regel nicht zielführend. Die verursachten Schäden können massive Auswirkungen haben – sowohl auf die Geschäftsfähigkeit einer Organisation als auch auf die gesamte Gesellschaft.
Fünf Punkte für ein gutes Cyber Security-Management
Wie gut sich Organisationen dagegen wehren beziehungsweise mit einem Sicherheitsvorfall umgehen können, ist nicht nur von ihrer Größe abhängig. Wichtig ist vor allem, welchen Stellenwert Cyber Security einnimmt und welche Ressourcen zur Verfügung gestellt werden.
- Chief Information Security Officer (CISO): Cybersicherheit ist kein Thema mehr, das sich nebenbei erledigen lässt. Idealerweise sollte es eine Person geben, die für die IT-Sicherheit voll verantwortlich ist.
- Budget für Security-Tools: Der CISO sollte genug Budget zur Verfügung haben, um die nötige Security-Technologie anzuschaffen, die auch automatisiert verdächtige Vorgänge im Unternehmensnetzwerk erkennen kann.
- Personelle Ressourcen: Neben der technischen Komponente braucht ein Unternehmen eine gut aufgestellte IT-Sicherheitsabteilung. Zum einen ist der Schutz von Cyberangriffen ein breites Feld, das verschiedenste Kompetenzen erfordert. Zum anderen ist Cybersicherheit sehr zeitaufwändig, da sich die Angreifer nicht an Geschäftszeiten halten und die Angriffsmethoden immer komplexer werden.
- Verortung des CISO: Cyber-Risiken können zur existenziellen Bedrohung eines Unternehmens werden. Die Cybersicherheit sollte deshalb eng mit der Geschäftsstrategie verwoben sein. Daher sollte der CISO und sein Team nicht der IT-Abteilung zugeordnet sein, sondern direkt an Geschäftsführung und Vorstand berichten.
- Prozess-Ketten: Auch wenn die Cybersicherheit gut aufgestellt ist, kann es zu einem Sicherheitsvorfall kommen. Dann ist es wichtig, ein Konzept parat zu haben, wie man im Fall der Fälle vorgeht. Die Prozesse sollten sich über alle Bereiche spannen: von der Technik, über die Experten und die IT, über Provider bis hin zu anderen Stakeholdern. Geplant werden sollte, wer wen im Ernstfall informiert und wie auf einen Vorfall reagiert wird. Wichtig ist auch ein Plan zur Geschäftskontinuität (BCM) um den Betrieb bestmöglich aufrechtzuerhalten, während der Schaden durch einen Cyberangriff behoben wird.
Der Weg zu einer wirkungsvollen Cybersicherheitsstrategie
Der Aufbau einer Cybersicherheitsstrategie ist oft mühsam. Zunächst muss ein Bewusstsein im Unternehmen für die Bedrohungslage entstehen, damit der IT-Sicherheit der notwendige Stellenwert eingeräumt werden kann. Erst dann kann ein Konzept erstellt werden. Nicht zu unterschätzen sind auch interne Widerstände. Wichtig ist es deshalb, alle Mitarbeitenden mit ins Boot zu holen. Sowohl für den Aufbau eines Konzepts als auch für das Tagesgeschäft kann es hilfreich sein, sich externe Unterstützung anzufordern, zum Beispiel von einem Managed Security Service Provider (MSSP) und SOC as a Service. Denn die Technologie muss regelmäßig evaluiert und auf den neuesten Stand gebracht werden. Das gilt auch für das Fachpersonal selbst. Sie brauchen immer die neuesten Informationen darüber, welche Angriffsmethoden/-vektoren und Erkenntnisse über Sicherheitsrisiken aus verschiedensten Bereichen vorliegen. Hilfreich kann es sein, die Technik an einen Dienstleister auszulagern und beispielsweise ein SOC-as-a-Service in Anspruch zu nehmen – je nach Anforderungen als cloud- oder On Premise basiertes Betriebsmodell. So kann dafür gesorgt werden, dass die Sicherheitstechnik und das Know-how stets aktuell bleiben. Damit wird Raum für den SOC-Auftragnehmer geschaffen, sich auf sein Kerngeschäft zu konzentrieren.
Fazit: Abschottung allein reicht nicht mehr aus
Eine Organisation ist vor geopolitisch motivierten Cyberangriffen aufgrund der Lieferketten-Thematik nicht gefeit. Darum gilt: Vorsicht ist besser als Nachsicht. Behörden und Unternehmen jeder Größe sollten sich so darauf ausrüsten als wäre der Vorfall bereits passiert – um so im Ernstfall in einen vorbereiteten Modus zu gelangen, um das Ruder der Kontrolle schnell wieder zurück zu erlangen. Wer das nötige Wissen, die entsprechende Technik und die Expertenschaft nicht allein aufstellen kann, sollte sich Unterstützung durch einen SOC-Dienstleister einkaufen. Mit einer ausgefeilten Cybersicherheitsstrategie und Überwachung durch ein Security Operations Center können Organisationen in eingetretenen Sicherheitsvorfällen gut gegensteuern.
