ArtikelBackup

Cybersicherheit neu denken: Warum hohe Budgets und viele Mitarbeiter alleine das Angriffsrisiko nicht senken

Autor/Redakteur: Christoph Linden, Field Technical Director von Cohesity/gg

Aktuelle Untersuchungen zur IT-Sicherheit sind alarmierend: Weltweit gibt es täglich etwa 1,3 Millionen Ransomware-Angriffe, und es dauert im Durchschnitt über 270 Tage, bis ein Ransomware-Vorfall erkannt und behoben ist. Das zeigt das Ausmaß der Cybersecurity-Probleme und der betrieblichen Auswirkungen, mit denen Unternehmen heute konfrontiert sind. Dabei ist es nach einem Angriff entscheidend, dass möglichst wenig Zeit vergeht, bis ein Unternehmen das Problem erkannt, die Ursache gefunden, die Schäden vollständig behoben und sichergestellt hat, dass sich eine solche Verletzung nicht wiederholt.

Bild: Cohesity

Geld allein löst das Problem nicht. Viele namhaften Unternehmen und Organisationen wie Großbanken, Regierungsbehörden, Einzelhändler, Anwaltskanzleien, Universitäten oder große Fluggesellschaften geben Millionen für ihre Cybersicherheit aus – und wurden trotzdem erfolgreich angegriffen. Oder Cyberkriminelle kreieren ein Trojanisches Pferd in Form von Phishing und umgehen so technische Kontrollen. Studien der Stanford University zufolge werden rund 88 Prozent aller Datenschutzverletzungen dadurch verursacht, dass ein Mitarbeiter auf einen Link in einer E-Mail klickt oder einen Anhang herunterlädt. Zwar investieren Unternehmen viel in Schulungen zum Thema Cybersicherheit, aber gleichzeitig migrieren sie zu Cloud-Workflows, die erfordern, dass Benutzer auf Links klicken, die in E-Mails eingebettet sind.

Falsche Strukturen und schlecht operationalisierte Sicherheitsprodukte

Viele Mitarbeiter und Sicherheitslösungen in Security Operation Centren (SOCs) schützen nicht gut vor Angriffen, wenn diese nicht richtig operationalisiert wurden. Wie der Global Cyber Security Outlook 2023 des Weltwirtschaftsforums (WEF) in Zusammenarbeit mit Accenture zeigt, werden Bedrohungen immer schlimmer. 86 Prozent der Führungskräfte in der Wirtschaft und 93 Prozent der Führungskräfte im Bereich Cyber-Sicherheit sind der Meinung, dass die globale geopolitische Instabilität in den nächsten zwei Jahren wahrscheinlich zu katastrophalen Cyber-Ereignissen führt.

Beim traditionellen, transaktionalen Modell werden Jahr für Jahr zusätzliche Produkte gekauft, um diesen Herausforderungen entgegenzuwirken. Die Unternehmen konzentrieren sich aber nicht auf Vorgänge, die das Cyber-Risiko wirklich verringern. Das führt zu Alarmmüdigkeit, einem höheren Aufwand bei der zu verwaltenden Infrastruktur, Reibungsverlusten für die Benutzer, weniger Flexibilität und mehr Angriffsfläche.

Cyber-Resilienz statt Cybersicherheits-Ansatz

Um wirklich wirksame Gegenmaßnahmen zu ergreifen, müssen Unternehmen von einem Cybersicherheits-Ansatz zu einem Ansatz der Cyber-Resilienz übergehen. Dazu sollten die Verantwortlichen im Kopf behalten, dass die Angriffe mit sehr hoher Wahrscheinlichkeit tatsächlich geschehen werden und nicht nur ein theoretisches Szenario sind. Das bedeutet, dass sich die Prioritäten ändern (müssen).

Die Schwerpunkte verschieben sich vielerorts auf Reaktion und Wiederherstellung, um die Auswirkungen zu minimieren. Doch wie können Unternehmen eine Wiederherstellungszeit (Recovery Time Objective, RTO) von Null erreichen, statt wie bisher von durchschnittlich 270 Tagen? Wie können sie die Ursachen schnell ausfindig machen und beheben?

Backups und moderne Datenverwaltungsplattformen erlauben den Sicherheitsüberblick

Backups sind von entscheidender Bedeutung, wenn die Systeme, die IT-Experten für die Ursachenforschung benötigen, verschlüsselt oder gelöscht wurden. Wenn die digitale Forensik bereits bei der Reaktion auf einen Vorfall einsetzt, können Unternehmen die gefährdeten Systeme in einer sicheren Umgebung identifizieren, isolieren und untersuchen. Das ermöglicht den SOC-Analysten eine Zeitreise über den gesamten Vorfall hinweg. Moderne Datenverwaltungsplattformen unterstützen die nahezu sofortige Erstellung dieser Point-in-Time-Snapshots und die Orchestrierung über APIs. So können die Plattformen für Sicherheitsorchestrierung und automatisierte Reaktion komplexe Workflows für die Reaktion und Wiederherstellung von Sicherheitsvorgängen verwalten. Einige Datenverwaltungslösungen haben sogar Sicherheitsfunktionen zur Klassifizierung von Daten, zur Suche nach Indikatoren für eine Gefährdung und zur Identifikation von Schwachstellen in die Datenverwaltungsplattform selbst integriert.

Damit dies wirksam ist, brauchen Unternehmen zudem eine Geschäftskontinuitätsstrategie, um zu wissen, was nach einem Angriff online und was offline passieren soll. Doch es reicht nicht aus, nur das Thema Daten-Backup zu regeln. Unternehmen müssen sich zudem Gedanken darüber machen, wie sie die Kommunikation, die Sicherheitssysteme und die Identitäts- und Zugangsverwaltungssysteme wiederherstellen können.

Die Versuchung ist groß, einfach auf „Backup“ zu drücken und das gesamte System wiederherzustellen (sofern das möglich ist und die Backups nicht verschlüsselt wurden). Aber auch bei erfolgreich absolvierter Wiederherstellung besteht die Gefahr, dass dies nur zu einem weiteren Angriff führt. Denn solange der Vorfall nicht vollständig untersucht wurde, weiß das Unternehmen nicht, ob das Backup kompromittiert ist oder nicht. Werden Systeme wiederhergestellt, ohne die Art des Vorfalls und seine Ursachen vollständig zu verstehen und die Schwachstellen zu schließen sowie die Artefakte zu entfernen, dann können diese schnell wieder angegriffen werden. Dadurch verzögert sich die Wiederherstellungszeit für wichtige Dienste weiter.

Fazit: Status Quo hinterfragen und ganzheitlich denken

Unternehmen müssen jetzt ihre Backup-Strategien hinterfragen und definieren, welche Backups sie für den Reaktionsprozess nach einem Ransomware-Angriff benötigen und wie sie die Cloud nutzen können, um Systeme zu isolieren, Backup-Reinräume zu schaffen und die Automatisierung von Arbeitsabläufen für schnellere Wiederherstellung zu ermöglichen. Da die Angriffszahlen steigen und immer mehr Mitarbeiter remote arbeiten, und somit Daten außerhalb des Firmengeländes fließen, wird dies immer wichtiger.