Autor: Thorsten Kuhles
Laut aktuellen Studienergebnissen vergehen durchschnittlich 9 Monate, bis ein Sicherheitsvorfall entdeckt wird. Das ist wertvolle Zeit, in der es möglich wäre, Schäden abzuwehren oder zu begrenzen. Erfahren Sie, welche Ansätze es gibt, um Angriffe früher zu erkennen und daraus resultierende hohe Folgekosten zu vermeiden.
Studienergebnisse über die Entdeckung illegaler Aktivitäten von Angreifern im Unternehmensnetzwerk sind alarmierend. Sicherheitsexpert:innen haben im Jahr 2021 ermittelt, dass durchschnittlich 260 Tage verstreichen, in denen Kriminelle ungestört den Zugang zu einem Netzwerk ausnutzen können, um die Strukturen auszuspionieren, Passwörter zu stehlen und letztendlich einen Angriff durchzuführen.
Cybercrime bleibt eine der größten Bedrohungen
Wie lange Unternehmen nach unterschiedlichen Cyberattacken durchschnittlich benötigen, um die Auswirkungen vollständig zu beseitigen, zeigt ein Blick in die Cost of Cybercrime-Studie des Ponemon Institute. Am schnellsten verläuft die Wiederherstellung mit ca. 6,4 Tagen bei Malware-Attacken, und bei Botnetzen mit ca. 2,5 Tagen. Bei Ransomware werden im Schnitt 23,1 Tage benötigt, bei Angriffen mit bösartigen Codes sogar 55,2 Tage. Insbesondere Erpressungstrojaner stehen bei Angreifern hoch im Kurs und Trends wie Ransomware as a Service (RaaS) müssen von Unternehmen jeder Branche heutzutage ernstgenommen werden.
Mit jedem Tag, an dem ein Angriff nicht erkannt wird bzw. mit Dauer der Beseitigung von Auswirkungen steigen die Kosten für das betroffene Unternehmen in einem nicht abzusehenden Maß. Der Schaden für die deutsche Wirtschaft belief sich für die Jahre 2020/2021 laut Bitkom auf ca. 225 Milliarden Euro. Leider werden diese Kostenexplosionen auch dadurch gefördert, dass Unternehmen noch zu wenig in proaktive Maßnahmen, wie z.B. Cyber Threat Intelligence (CTI) oder selbst initiierte Schwachstellentests (Penetrationstests) investieren. Die Gefahren nehmen aufgrund der immer besseren Angriffstechniken und einfachen Anwendungsmöglichkeiten auch für „ungeübte“ Hacker stetig zu. Die zentrale Herausforderung bei der Abwehr von Angriffen ist daher die frühzeitige Entdeckung der Aktivitäten im Netzwerk.
Produktives Vorbeugen statt Reparieren
Es gibt mehrere vorbeugende Ansätze, die im besten Fall kombiniert im Unternehmen angewendet werden. Ein erster Schritt ist, sicherzustellen, dass aktuelle Angriffstechniken bekannt sind und verstanden werden. Nur so kann ein Unternehmen die für die eigenen Systeme passenden proaktiven Gegenmaßnahmen vornehmen. Weiter ist es ratsam, die Vorgänge im eigenen Netzwerk mit geeigneten Mitteln zu beobachten und auszuwerten (eigenes SOC oder SOC as a Service), um dann bei einer Angriffsmeldung mit internen oder externen Expert:innen, z.B. einem Cyber Security Incident Response Team (CSIRT), die nächsten Schritte einzuleiten. Dazu bedarf es der frühzeitigen Planung sowie der Implementierung einer unternehmensweit gültigen Vorfallbearbeitungsrichtlinie (Incident Response Policy), die internationalen Standards wie z.B. der ISO 27001, folgen sollte.
Mitarbeitende als First Line of Defense
Aber auch die Einbindung aller Mitarbeitenden eines Unternehmens trägt essenziell zur Früherkennung bei. Durch Awareness-Kampagnen kann das Bewusstsein für die Gefahren eines Cyber-Angriffs geschaffen werden, und alle Mitarbeitenden werden in den Prozess zur Anhebung der IT-Sicherheit eines Unternehmens einbezogen. Denn wenn jedem bewusst ist, dass er oder sie die erste Linie der Verteidigung gegen einen Cyber-Angriff ist, haben potenzielle Angreifer weniger Chancen, z.B. über Phishing-Mails erfolgreich zu sein.
Sicherheitsleitstelle für alle Unternehmensgrößen
Große Unternehmen implementieren eigene Security Operations Center (SOC) mit Inhouse-Experten, die ausschließlich und rund um die Uhr mit der Überwachung der Netzwerkaktivitäten beauftragt sind. Für kleine und mittlere Unternehmen ist ein solches SOC ein viel zu hoher finanzieller Aufwand. Dennoch gibt es machbare Optionen, bei denen ein externer Dienstleister die Kontrolle und Auswertung interner Informationen übernehmen kann. SOC as a Service von Materna und RADAR bietet genau diese Funktionen. Das SOC überwacht mit seiner eingesetzten Lösung Logs von Betriebssystemen, Servern, Datenbanken, Routern und weiteren Systemen im Netzwerk. Findet das System auffällige Aktionen, informiert das RADAR SOC Team (aus dem RADAR Cyber Defense Center) umgehend den Materna CSIRT-Fachkreis, welcher dann je nach Vereinbarung gemeinsam mit dem Unternehmen eine sofortige Reaktion einleitet. Dieser Service kann beispielsweise eine Datenverschlüsselung minimieren, die durch einen erfolgreichen Ransomware-Angriff droht.
Fazit
Potenziell besteht also die Möglichkeit, die Erkennungsdauer von unbefugten Aktivitäten im eigenen Netzwerk von durchschnittlich 260 Tagen auf Sekunden oder Minuten zu reduzieren. Die aktuelle Lage zeigt, dass der Schlüssel zum Erfolg bei den proaktiven Maßnahmen, wie z.B. den anlassunabhängigen Schwachstellentests oder den Trenderkennungen (Threat Intelligence) liegt. Aber auch die verstärkte Investition in die Einbindung der Mitarbeitenden trägt entscheidend zur Anhebung des Sicherheitslevels eines Unternehmens bei. Das Motto „The first line of defense is you“ sollte also nicht nur irgendwo auf einem Plakat an der Wand hängen, sondern auf allen Unternehmensebenen gelebt werden.