Die Flut an den Meldungen über aktuelle Cyberattacken zeigt, wie verwundbar Unternehmen sind. Aktives Sicherheitsmanagement hilft Firmen/Unternehmen, Schäden in Grenzen zu halten und schnell wieder zum Normalbetrieb zu finden.
Die Flut an den Meldungen über aktuelle Cyberattacken zeigt, wie verwundbar Unternehmen sind. Aktives Sicherheitsmanagement hilft Firmen/Unternehmen, Schäden in Grenzen zu halten und schnell wieder zum Normalbetrieb zu finden.
In den vergangenen Wochen stieg die Zahl an öffentlichen Hacks und Datendiebstählen, die durch Medienberichte bekannt wurden, gewaltig an. Ransomware namens „WannaCry“ beeinträchtigte Unternehmen auf der ganze Welt.
Die Schadsoftware verschlüsselte Dateien, wodurch beispielsweise Krankenhäuser in Großbritannien den Betrieb einstellen mussten. Bei der Deutschen Bahn fielen die Anzeigetafeln aus. Honda musste Produktionsanlagen offline nehmen. Außerdem wurden Kameras zur Geschwindigkeitsmessung mit Malware infiziert. Das führte dazu, dass hunderte von Bußgeldbescheiden im Nachhinein ungültig waren. Schon kurze Zeit später machte ein Cyber-Angriff auf das britische Parlament Schlagzeilen. Kriminelle versuchten, sich Zugang zu E-Mail-Konten zu verschaffen. Die erste Reaktion war, dass die Regierung die Betroffenen informierte und den Fernzugriff deaktivierte. Außerdem wandte sie sich an das nationale Zentrum für Cyber-Sicherheit, um weitere Maßnahmen zur Sicherung des Computernetzwerkes einzuleiten. Daraufhin folgte noch ein weiterer Hack, der schnell als „Petya“ Bekanntheit erlangte. In der Ukraine verursachte er große Schäden: Dort fielen wegen ihm die Überwachungssysteme des havarierten Tschernobyl-Reaktors und viele Geldautomaten aus.
Was sollten Firmen/Unternehmen also tun?
- Etablierung einer grundlegenden Sicherheitshygiene
- Proaktiv den Zugang zu kritischen Diensten überwachen
- Einen Incident-Response-Prozess definieren und damit ein Team betrauen
Um all diese Initiativen zu unterstützen, müssen Verantwortliche eine analysegestützte Sicherheitsstrategie etablieren, die sich auf Erkenntnisse aus Maschinendaten stützt. Sie bildet das notwendige Grundfundament. Um zu überwachen, ob eine grundlegende Sicherheitshygiene aufrechterhalten wird und um „offen Flanken“ zu erkennen, bietet sich eine Security-Information-and-Event-Management-Lösung (SIEM) an. Sie sammelt Informationen und Entscheider können darüber regelmäßig Berichte analysieren, zum Beispiel darüber, welche Systeme gepatcht sind. Außerdem stellt ein SIEM Informationen von Scannern bereit, die auf Schwachstellen prüfen. Zudem erhalten Verantwortliche einen aktuellen Status über den Stand der Endpoint-Sicherheitslösungen. Ein SIEM alarmiert ferner über auffallende Sicherheitsanomalien, beispielsweise ein Virus-Event oder ein neuer Dienst, der gerade auf einem System installiert wird.
In Hinblick auf die Authentifizierung von Benutzern reicht es nicht mehr nur aus, auf die integrierte Sicherheit des Microsoft Active Directorys und seiner Lockout-Policies zu vertrauen. Unternehmen müssen sich jeden digitalen Dienst ganz genau ansehen und darüber nachdenken, wie dieser Dienst von außen angreifbar ist, verstehen wie Anwender sich einloggen, wie sie ihre Passwörter zurücksetzen und wie neue Nutzer erstellt werden. Unternehmen müssen in der Lage sein, die maschinengenerierten Daten zu identifizieren, die für die entsprechenden Erkenntnisse notwendig sind. Danach haben sie die Möglichkeit, sich mit den speziellen Mustern der Daten zu befassen und Überwachungsabläufe aufzusetzen, um proaktiv Unregelmäßigkeiten zu erkennen. Mit einer grundlegenden Sicherheitshygiene und proaktiver Überwachung können Unternehmen Risiken minimieren und im Zuge dessen etwaige Lücken (White Spaces) in ihren Umgebungen identifizieren und schließen.
Im Leben ist allerdings nichts zu einhundert Prozent sicher. Von daher solltenFirmen/Unternehmen schon im Voraus an potenzielle Hacks oder Sicherheitsverstöße denken. Dazu ergeben sich beispielsweise folgende Fragen: Wie sieht der organisatorische Prozess aus? Welche Mitarbeiter müssen sofort reagieren? Wer kann Klarheit darüber schaffen, was passierte? Wie können wir den Angriff stoppen? Wer ist betroffen? Und wer trifft die wichtigen Entscheidungen, wie beispielsweise Dienste offline zu nehmen, die Behörden zu benachrichtigen oder mit den Medien zu kommunizieren.
All diese Aufgaben gehen über die Rolle eines IT-Sicherheits-Systemadministrators hinaus. Sehr versierte Firmen/Unternehmen haben bereits eine Krisen- und Risikoplanung für Cyber-Risiken innerhalb ihrer operativen Planung aufgenommen. Die Verantwortlichen müssen Antworten zu den offenen Fragen bei einem Sicherheitsverstoß finden. Informationen können die Verantwortlichen vor allem in maschinengenerierten beziehungsweise in Log-Daten finden. Idealerweise sollten diese in einer zentralen Plattform gespeichert sein, da sich darüber dann alle möglichen Fragen flexibel stellen lassen. Mit einer solchen Herangehensweise wird der Prozess skalierbar und effizient. In einer Krise zeigt sich nämlich oft, dass die technischen Sicherheitsuntersuchungen zu einem Flaschenhals werden. Auch bei dem Angriff auf das britische Parlament wurde klar, dass es zu den Kernvoraussetzungen gehört, mit anderen Behörden zusammenzuarbeiten, um Fragen zu beantworten. Zur zusätzlichen Unterstützung bei Sicherheitsuntersuchungen zeigt es sich, wie wichtig eine zügige Informationsbereitstellung ist. In Situationen wie diesen zeigt eine zentrale Plattform, gefüllt mit den gesamten Maschinendaten und einer schnellen Auswertefunktion, seine Stärken.
Die im Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (EU-DSGVO) sowie die NIS-Richtlinie sollen Firmen/Unternehmen dazu bringen, solche Konzepte noch zügiger umzusetzen. Zum Beispiel drohen bei Verstößen gegen die EU-DSGVO Bußgelder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes. Bei der EU-DSGVO handelt es sich um eine europäische Verordnung, die den Umgang von persönlichen Nutzerdaten regelt. Die NIS-Richtlinie hat zum Ziel, eine hohe Netzwerk- und Informationssicherheit in der EU zu gewährleisten.