Zuständigkeiten
Gezielte Cyber-Angriffe: So wappnen Sie sich gegen die wachsende Gefahr
Unternehmen müssen die Bedrohungen besser verstehen
Von Dr. Guy Bunker, CTO von Clearswift
Innerhalb des letzten Jahres konnte man den Eindruck gewinnen, dass es seltener die Presse war, die Cybersicherheitsverstöße meldete, sondern immer mehr Berichte von Organisationen und Einzelpersonen kamen, die Opfer gezielter Angriffe geworden waren. Sainsbury, Uber und Argos sind drei Beispiele für mehr als 100 Unternehmen, die in diesem Sommer der Capital One-Datenpanne zum Opfer gefallen sind.
Dieser hochkarätige Hack hat für den Finanzgiganten zu einer möglichen Geldstrafe von 500 Millionen US-Dollar geführt. Der betreffende Hacker wurde mit einer Freiheitsstrafe von fünf Jahren und einer Geldstrafe von über 200.000 britischen Pfund belegt. Die Kombination aus bekannten Namen und hohen Summen, die bei diesem Hack genannt werden, verdeutlicht den Schweregrad von Cyber-Angriffen im aktuellen Klima. Der Vorfall ist auch eine hinreichend publizierte und deutliche Mahnung an Unternehmen jeder Größe, Investitionen vorzunehmen, um sich gegen die sich verändernde Landschaft der Cyber-Bedrohungen zu wehren. Bevor dies jedoch erreicht werden kann, müssen Unternehmen die Bedrohungen vollständig verstehen.
Cloud-Dienste
Nach und nach beginnen Unternehmen, die Risiken, die mit Cloud-basierten Speichern wie SharePoint und Google sowie mit Filesharing-Anwendungen wie OneDrive und Dropbox verbunden sind, zu verstehen.
Nur, weil ein Link von einem großen Markennamen kommt, bedeutet dies nicht unbedingt, dass er aus einer vertrauenswürdigen Quelle stammt. Außerdem kommt es immer häufiger vor, dass als Waffen genutzte Dokumente auf diese Weise über Links geteilt werden. Sobald der Link angeklickt wird und die Malware sich in einem System befindet, kann sie sich selbst transformieren und mithilfe der Steganografie zum Herunterladen neuer Nutzdaten verwendet werden. So kann sie von jedem Ort, an dem harmlos aussehende Bilder gehostet werden, ihre Anweisungen erhalten. Mangelndes Verständnis über die potenziellen Sicherheitslücken führt bei Unternehmen, die Daten in der Cloud sichern, zu einem unnötigen Risiko. Selbst wenn ein Unternehmen nicht direkt ins Visier gerät, benötigt es eine detaillierte Abwehrstrategie für alle Informationen, die auf der Plattform geteilt werden und auf die zugegriffen werden kann, um bei einem erfolgreichen Angriff auf Cloud-Anbieter nicht als Kollateralschaden zu enden. Weiterhin sollten effektive Sicherheitsverfahren angewandt werden. Dazu gehört das regelmäßige Patchen von Servern und Betriebssystemen sowie das Aufspüren von Anomalien im Netzwerk. Generell sollte Vertrauen nicht mehr als eine Selbstverständlichkeit betrachtet werden.
Neu entstehende Technologien
Angesichts der derzeit angespannten Lage in der IT-Sicherheit geht es leider nicht mehr darum, “ob” Unternehmen Opfer eines Cyber-Sicherheitsverstoßes werden, sondern nur noch “wann”. Vor kurzem wurde bekannt dass 70 % der Finanzunternehmen im vergangenen Jahr einen Cybersicherheitsvorfall erlebt haben – was das Ausmaß der Bedrohung verdeutlicht. Stellt man diese Statistik auf den Kopf, kann man es auch als positiven Schritt betrachten, dass sich diese Finanzunternehmen bewusst sind, Opfer eines Angriffs geworden zu sein.
Sich in unserer schnelllebigen Technologieumgebung der verschiedenen Bedrohungsvektoren bewusst zu sein, ist ein Schritt in die richtige Richtung; sie alle einzudämmen ist allerdings eine andere Herausforderung. Die Technologie, die wir in unserem Alltag einsetzen, entwickelt sich ständig weiter. Dies stellt Unternehmen und ihre Mitarbeiter vor die Aufgabe, mit den Cybersicherheitsrisiken, die sich hier ergeben, Schritt zu halten. Schließlich haben Kriminelle längst einen Weg gefunden, Antiviren- und Antispam-Filter zu umgehen – es bleibt also zu erwarten, dass sie auch Wege finden, neu aufkommende Technologien zu umgehen. Der Schlüssel liegt darin, der Zeit so weit wie möglich voraus zu sein und in Technologien zu investieren, die sie vor solchen Problemen schützen können.
Menschen und Schulungen
Im Zentrum der Cybersicherheitsstrategie von Betrieben jeglicher Größe stehen Bedrohungsminimierung und Schulung. Vorsichtsmaßnahmen wie die Überwachung von Aktivitäten sind äußerst wichtig um sicherzustellen, dass vertrauliche Informationen oder verborgene Metadaten nicht den falschen Personen angezeigt werden. Menschen sind häufig die Hauptursache des Problems, was durch die Tatsache belegt wird, dass fast die Hälfte der Cybersicherheitsvorfälle in den letzten 12 Monaten durch interne Fehler verursacht wurde, z. B. durch Mitarbeiter, die Sicherheitsprotokolle oder Datenschutzrichtlinien nicht befolgten. Das Problem ist hier, dass so ein Zwischenfall schnell passieren kann. Eine kleine Konzentrationsstörung und schon werden vertrauliche Daten an den falschen Empfänger gesendet. Angesichts der Tatsache, dass menschliches Versagen einen so großen Teil der Datenschutzverletzungen ausmacht, sind Investitionen in Technologien zum Schutz vor solchen Verstößen von grundlegender Bedeutung.
Technologie allein reicht jedoch nicht aus, um die Cyber-Risiken von heute zu minimieren. Die implementierte Technologie sollte nur als "Sicherheitsnetz" betrachtet werden, das Unternehmen vor Bedrohungen schützt. Langfristig müssen Unternehmen alles daransetzen, der Schulung ihrer Angestellten Priorität einzuräumen.
Prozesse
Mitarbeiter müssen verstehen, wie Routineprozesse ausgeführt werden können, ohne dass sensible Informationen gefährdet werden. Zu diesem Zweck muss ein Teil des Cybersicherheitsbudgets dafür eingesetzt werden, Mitarbeitern die Datenverarbeitungsprozesse zu vermitteln. Mit Angestellten über IT-Sicherheit und Datenschutz zu sprechen ist eine effektive Methode um zu verstehen, wo die Schwachstellen liegen, welche Prozesse umgangen werden und daher überarbeitet werden müssen. Wichtig ist hier zu beachten, dass sich die Informationen und ihre Bedrohungen täglich ändern.
Daher müssen die internen Prozesse auch mit sich ändernden Komplexitäten und Schwachstellen Schritt halten. Unternehmen müssen in Bezug auf Cybersicherheitstraining einen vielseitigen Ansatz verfolgen, um Schwachstellen zu erkennen, die nicht so leicht vorherzusehen sind, und sie mithilfe der richtigen Maßnahmen minimieren. Eine sich weiterentwickelnde Unternehmenskultur im Bereich der Cybersicherheit muss ganzheitlich und kollaborativ sein. Schulungen und Sensibilisierungsmaßnahmen müssen fortlaufend durchgeführt werden, um sicherzustellen, dass alle Mitarbeiter, vom CEO bis zum Reinigungspersonal, die Risiken verstehen und vor allem wissen, was zu tun ist, wenn sie ein Problem vermuten.
Technologie und Fremdgefährdungen
Obwohl Technologie die letzte Verteidigungslinie ist, ist sie doch ein wesentlicher Gesichtspunkt jeder Strategie zum Schutz vor Cyberangriffen. Zu diesem Zweck muss ein Teil des Budgets für Cybersicherheit darauf verwendet werden, die Technologie auf den neuesten Stand zu bringen und neue Sicherheitsnetze einzurichten. Letztendlich müssen Unternehmen nicht nur die Verantwortung für die Sicherheit ihrer eigenen Systeme innerhalb des Netzwerks übernehmen, sondern auch für ihre Partnerschaften und für Dritte, mit denen sie zusammenarbeiten.
Wenn es um die Quelle des Cyberrisikos für große Unternehmen geht, gibt es zwei Denkansätze, die beide gleichermaßen Gültigkeit haben: Einer davon besagt, dass die meisten Menschen zwar das Gefühl haben, Cyber-Bedrohungen würden vorwiegend von externen Quellen aus in das Unternehmen eindringen, die meisten Vorfälle jedoch innerhalb des Unternehmens stattfinden. Andererseits wird bei einem Ansatz, der sich zu stark auf interne Bedrohungen konzentriert, die Bedrohung durch Drittanbieter und Anwendungen außer Acht gelassen.
Für letzteren Fall gilt der Ausdruck " Jede Kette ist nur so stark wie ihr schwächstes Glied": Man weiß, dass Cyberkriminelle häufig kleinere, vernetzte Organisationen ins Visier nehmen, da sie der leichtere Weg zu dem Unternehmen sind, das sie tatsächlich infiltrieren möchten. Das ist zwar ein Beispiel für ein eher großes Problem, doch ein ähnliches Prinzip gilt auch für Mitarbeiter, die externe Apps herunterladen, die leicht unter den Radar von IT- und Sicherheitsteams geraten können. Beispielsweise kann eine harmlos aussehende Anwendung unbemerkt Berechtigungen beinhalten, die im Hintergrund laufen und Angreifern einen alternativen Weg in das gesamte Netzwerk eines Unternehmens ermöglichen.
Fazit
Generell kann man sagen, dass schwerwiegende Datenschutzverletzungen in der Regel auf einen Mangel an Zuständigkeit und Verantwortung innerhalb des Betriebs hinweisen. Cybersicherheit muss eine gemeinsame Verantwortlichkeit aller Mitarbeiter sein. In einer Umgebung, in der das Vertrauen der Verbraucher in die Sicherheit ihrer Daten so niedrig ist wie nie zuvor, gibt es keinen Platz für unkonstruktive Schuldzuweisungen.
Klar ist, dass Unternehmen jeder Art und Größe Verantwortung für die Cybersicherheit ihres Betriebs übernehmen müssen. Es stimmt, dass sich ein Großteil der Vorfälle aufgrund von Mitarbeiterfehlern ereignet; doch durch Einführung von Schulungen und Verfahrensabläufen würden sich diese Vorfälle drastisch reduzieren. Verständlicherweise kann der aktuelle Stand der Cybersicherheit auf große wie kleine Unternehmen beängstigend wirken. Ein vorsichtiger und besonnener Ansatz könnte jedoch einen Großteil der Risiken, denen sich die meisten Unternehmen derzeit selbst aussetzen, mindern.
Investitionen in Technologie sind mit Sicherheit ein entscheidender Schritt, aber auch Schulungen für Sicherheits- und IT-Teams sind wichtig, um sicherzustellen, dass die erforderliche Software korrekt implementiert wird. Die gleiche Bedeutung sollte IT-fernen Mitarbeitern beigemessen werden und es sollte eine Unternehmenskultur geschaffen werden, in der alle Mitarbeiter am selben Strang ziehen, wenn es um Best Practices und die geeigneten Datenrichtlinien und -verfahren geht.
Insgesamt sollten Unternehmen vorsichtiger vorgehen: dies gilt zum einen für wichtige Entscheidungen in Bezug auf die Projektzusammenarbeit mit Dritten oder die Verwendung nicht überprüfter externer Anwendungen treffen. Aber auch bei der Bewertung des potenziellen Risikos, das mit ihren Maßnahmen verbunden ist, sollten Betriebe besonnen vorgehen.
Sehr oft besteht der Unterschied zwischen normalem Geschäftsbetrieb und einer erheblichen Gefährdung darin, dass der angemessene Weitblick fehlt, wenn es um die Entscheidung geht, welche Daten mit Dritten geteilt werden oder von Dritten kommen. Alles in allem ist ein vorsichtiges, verantwortungsbewusstes und langfristiges Cybersicherheitskonzept, zusammen mit Investitionen in Technologie und dem Fokus auf unternehmensweite Schulung, der nachhaltigste Weg, mit der sich entwickelnden Cyber-Bedrohungslandschaft von heute Schritt zu halten.