Ungefähr jeder zweite CISO sagt, dass das eigene Unternehmen nicht mit einem koordinierten Angriff umgehen kann. Also werden Unsummen ins Risikomanagement investiert. Deloitte hat berichtet, dass Firmen mehr als 10 % ihres jährlichen IT-Budgets für Cybersicherheit aufwenden. Das sind für ein typisches Unternehmen etwa 2 bis 5 Mio. US-Dollar pro Jahr.
In der Cybersicherheitsbranche werden viele Tools angeboten, die helfen sollen, einen Angriff zu verhindern. Laut einer Untersuchung von Dynatrace machen sich 75 % der CISOs Sorgen über Sicherheitslücken bei Anwendungen. Jedes Produkt muss natürlich lizenziert, aber auch verwaltet werden. Dies führt zu einem zusätzlichen Bedarf an Mitarbeitern, Schulungen, Anpassungen und Integrationen – und das alles in einer Zeit, in der CISOs Schwierigkeiten haben, die benötigten qualifizierten Mitarbeiter zu finden.
Am schlimmsten ist aber, dass sich diese enormen Investitionen in die Cybersicherheit nicht ausgezahlt haben. Das zeigt sich besonders in der Tatsache, dass zwei Drittel der CISOs angeben, dass sie damit rechnen, mindestens einmal innerhalb der nächsten 12 Monate Opfer eines Ransomware-Angriffs zu werden. Noch ärgerlicher ist, dass von denjenigen, die gezwungen sind, das Lösegeld zu zahlen, weil ihre Verteidigungsvorkehrungen einen Angriff nicht verhindern konnten, 92 % ihre Daten trotzdem nicht wiederherstellen können.
Es ist Zeit, sich einzugestehen, dass Prävention nicht unfehlbar ist
Wir müssen anders an das Thema Cybersicherheit herangehen. Wenn unsere Kunden davon ausgehen, dass man sie angreifen wird, oder sich zumindest mental auf einen möglichen Angriff vorbereiten, ist das keine Schwarzseherei, sondern schlicht vernünftig. Vorausschauende CISOs haben gelernt, dass sich besonders solche Sicherheitsinvestition lohnen, die einen Angriff zwar nicht unbedingt verhindern, aber seine Auswirkungen minimieren.
Treten wir einen Schritt zurück. Die Ursache für erfolgreiche Angriffe, beispielsweise durch Ransomware, ist eine ungenügende Resilienz:
Zu viele Schwachstellen auf der gesamten Angriffsoberfläche wurden nicht ausgeräumt.
Man ist nicht in der Lage, effizient, effektiv und schnell zu reagieren.
Was passiert also in einem Unternehmen, das sich auf Vorbeugung konzentriert hat, wenn dann doch ein erfolgreicher Angriff erfolgt und die Systemsicherheit ausgehebelt wird?
Das Sicherheitsteam erkennt den Angriff und gibt ein Ticket an die IT-Abteilung aus, die eine Wiederherstellung von einem Backup durchführt – vorausgesetzt, dieses ist nicht ebenfalls durch den Angreifer unbrauchbar gemacht worden. Leider enthält das Backup immer noch die vom Angreifer ausgenutzte Schwachstelle, oder schlimmer noch, es enthält Artefakte des Angriffs wie die Administratorkonten, die der Angreifer erstellt hat, um Code auszunutzen.
Unternehmen und Behörden benötigen einen stärker integrierten und iterativen Ansatz, bei dem Backups den zuständigen Mitarbeitern eine digitale forensische Zeitleiste der von den Angreifern ergriffenen Schritte liefern. Schwachstellen können gezielt gesucht und behoben werden, um die Systeme wieder zum Laufen zu bringen, ohne dass weitere Ausfallzeiten oder doppelte Erpressung (Double Extortion) zu befürchten sind.
Bei herkömmlichen, auf Exfiltration abzielenden Cyberangriffen machten sich CISOs hauptsächlich Gedanken über die Auswirkungen sekundärer Verluste: Reputationsschäden, Geldstrafen und Rechtsstreitigkeiten. Wenn der Vorfall nicht noch während der akuten Phase erkannt wurde, führte er vor allem zu finanziellen Einbußen. Der Schaden war bereits angerichtet. Allerdings musste man mit mehr Rechtsstreitigkeiten rechnen, je nachlässiger man auf den Vorfall reagiert hatte.
Im Hinblick auf Ransomware ist der CISO jetzt für primäre Verluste zuständig: die Unfähigkeit des Unternehmens, seine Hauptaufgabe zu erfüllen und seine Kunden zu bedienen. Jetzt gilt: Wenn keine Einnahmen erzielt werden, wenn ein Krankenhaus kritische Dienstleistungen nicht erbringen kann, wenn eine ganze nachgelagerte Lieferkette beeinträchtigt ist, zählt jede Sekunde. Kompetente Sicherheitsteams erkennen und vereiteln mögliche Risiken nach Kräften, indem sie die Angriffsoberfläche verwalten, ihre Gegner verstehen und auf sehr zuverlässige und vertrauenswürdige Warnungen reagieren. Aber immer mehr Ressourcen werden für Tools aufgewendet, mit denen sie nach Angriffen schnell den Betrieb wiederaufnehmen können.
Digitale Transformation ist gut für die Sicherheit
Viele Unternehmen verlagern derzeit ihre Daten und Anwendungen in die Cloud, und viele ihrer Tools werden auf SaaS-Abonnementmodelle (Software-as-a-Service) umgestellt. Manche CISOs haben sich damit begnügt, erst einmal nur zuzusehen, da sie das Thema Sicherheit für zu strategisch wichtig hielten, um auch nur ein wenig Kontrolle darüber abzugeben. Das ist ein Fehler und eine verpasste Gelegenheit.
Erstens bietet die Cloud ein viel besseres Verständnis dafür, was wir eigentlich schützen, da der Kontext der Assets oft schon bei der Instanziierung erfasst wird. Das Gegenstück dazu bildet der Prozess der Bereitstellung eines physischen Servers, eines Netzwerks und eines Software-Stacks bei oft nur lückenhaft und unvollständig erfassten Assets.
Noch wichtiger ist, dass die Cloud viele Bestandselemente besser absichert, solange die richtigen Prozesse und die richtige Governance für Architektur und Konfiguration dieser Plattformen gegeben sind. Skaleneffekte führen dazu, dass Serviceanbieter in Arten von Schutzmaßnahmen investieren können, die sich einzelne Unternehmen nicht leisten können und die sie auch nicht warten können.
Dies führt zu einer Schwerpunktverlagerung. Wir sind in eine Ära gemeinsamer Verantwortung eingetreten, in der CISOs festlegen müssen, wer wofür verantwortlich sein soll. Wo dies möglich ist, sollten Assets immer unter der direkten Kontrolle der Organisation bleiben. Hier werden CISOs die Ausarbeitung von Richtlinien und die Schulung von Benutzern sowie die Implementierung und Verwaltung des Sicherheits-Stacks übernehmen.
Informationssicherheitsverantwortliche werden mehr Zeit darauf verwenden müssen, Serviceanbieter sorgfältig zu prüfen, ihre Rolle im Modell der gemeinsamen Verantwortung zu verstehen, bevor sie die Verantwortung für die Sicherheit auf den Serviceanbieter übertragen, und zu überprüfen, ob geeignete Maßnahmen ergriffen wurden.
Seit langem verkünden Anbieter von Cybersicherheitslösungen, man solle den Fokus auf das Verhindern und Erkennen von Angriffen legen. Für CISOs mag es schwer sein, die Kontrolle an Dritte abzugeben und dabei möglicherweise in Kauf zu nehmen, dass ihre Teams und Budgets schrumpfen. Die Frage ist, wie Sie und das Unternehmen sich selbst einschätzen. Geht es Ihnen darum, wie viel Kontrolle Sie haben und wie viel Sie ausgeben müssen, oder darum, effektive und effiziente Lösungen einzusetzen, die an Ihrem Unternehmen ausgerichtet sind?
Auf jeden Fall müssen Sie neue Wege gehen. Der Einsatz mehrerer unübersichtlicher und allzu ähnlicher Tools ist nicht nur ineffizient, sondern birgt auch Gefahren.
Unternehmen müssen sich eine Zero-Trust-Mentalität aneignen, sich auf Angriffe einstellen und lernen, wie sie die Auswirkungen am besten minimieren können. CISOs müssen die digitale Transformation nutzen und die Verantwortung für das Sichern der eigenen Datenbestände teilen. Das Ergebnis sind effizientere Sicherheitsvorkehrungen und ein ausfallsichereres Unternehmen.
Wenn Sie mehr über den Aufbau einer sichereren Datensicherheitsstrategie und die Erstellung eines soliden Ransomware-Wiederherstellungsplans erfahren möchten, laden Sie hier unseren Leitfaden „The Best Defence Against Cyber Threats“ herunter.