Viele Unternehmen setzen auf gut Glück wenn es um Cyber-Sicherheit geht
87% der der Unternehmen geben zu, dass diese derzeit nicht in der Lage sind, Cybersicherheitsrisiken effektiv anzugehen
Die meisten Unternehmen verfügen zwar über eine Reihe von Cybersecurity-Tools, sind aber dennoch nicht ausreichend geschützt. Das Risiko von einer Cyberattacke getroffen zu werden ist für viele Unternehmen trotz der Einführung von Sicherheitsmassnahmen nach wie vor sehr hoch. Häufig ist es reines Glück, dass sie noch nicht Opfer eines grösseren Cyberangriffs geworden sind.
Oftmals ist das Sicherheitsgefühl nur eine Illusion
Obwohl die meisten Unternehmen sehr viel Geld in die Cybersicherheit investieren, ist ihr Schutz nicht effektiv. Das Sicherheitsrisiko wird häufig kaum verringert und bleibt als Illusion im Raum stehen. Neue Tools sollten erst in Erwägung gezogen werden, wenn andere Massnahmen voll ausgeschöpft sind und bestehende Workflows sollten in die Planung neuer der bereits vorhandenen Infrastruktur mit aufgenommen werden. Ein solches Szenario spiegelt auch ein Incident Response Plan wieder.
Entwicklung der gemeldeten Cybervorfälle beim NCSC in der Schweiz bis Januar 2023
Insgesamt 836 Cybercrime-Vorfälle wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) in der 2. Kalenderwoche 2023 (9. bis 15. Januar) gemeldet. Die Dunkelziffer sollte jedoch wesentlich höher liegen.
Wie man erkennt, dass Cybersicherheitsmassnahmen nicht der Beste Weg sind
Viele Sicherheits-Tools sind sehr kostspielig und werden oft mit anderen Methoden zusammengewürfelt, in der Hoffnung – viel bringt viel. Alle Unternehmen sind den Gefahren von Cyber-Risiken ausgesetzt. Wer mit dem Internet verbunden ist, ist automatisch Kandidat für Cyber-Risiken.
Wichtig ist erst einmal zu wissen, ob man einem Cybersicherheitsvorfall erlegen ist.
Die Entwicklung von Sicherheitsstrategien hat bereits vor langem begonnen
von 1990 bis ca. in die 2010 er Jahre hat man sich hauptsächlich auf Endpoint Sicherheit konzentriert. Dazu zählen auch die Antiviren Software Hersteller unter anderem. Antivirus Software war in diesen Jahren das Hauptmerkmal von Schutz gegen aller Arten von Malware.
von ca. 2010 bis gegen der neuen 20 er Jahre kam dann SIEM (Security Information and Event Management) hinzu. SIEM geht über den reinen Endpunkt Bereich hinaus und hat auch Datenanalysen, Berichtserstattungen, Schutz des Datenverkehrs von Rechenzentren inbegriffen. Die Ziele der lückenlosen Überwachung und der schnellen Reaktionsfähigkeit, haben SIEM-Plattformen nie erreicht. Sie dienten mehr zum Sammeln von Protokollen. Also war damit unser Kind bereits in den Brunnen gefallen.
Ab den 2021 Jahren sind weitere umfangreiche Analyse-Systeme auf den Markt getreten. XDR-Systeme beispielsweise und die sog. ZERO Strategie. Zusätzlich wird eine unternehmensinterne Sicherheitsstrategie erforderlich, um die Cybersicherheitsrisiken besser zu bewältigen und einzudämmen. Dazu gehen einige auch zu SecOps über. SecOps “Security Operations” ist ein Ansatz, der geschaffen wurde, um die Zusammenarbeit zwischen IT-Sicherheits- und Betriebsteams zu erleichtern und die Technologie und Prozesse zu integrieren, die ihn verwenden, um Systeme und Daten sicher zu halten – alles mit dem Ziel, Risiken zu reduzieren und die geschäftliche Agilität zu verbessern. Wobei der SecOps Ansatz nicht neu ist, sondern nur eine Zusammenfassung von einzelnen strategischen Massnahmen.
Ob man einem Sicherheitsvorfall tatsächlich erlegen ist, beruht somit auf a) das Fachwissen der einzelnen Personen wie auch b) mit den richtigen Werkzeugen. Die Forensischen Analysen sollte man bei einem Cyber-Sicherheitsvorfall nie vergessen. Denn nicht nur externe Angriffe sind zu untersuchen, sondern auch interne.
Der Security-Operations-Ansatz
Das National Institute for Standards and Technology (NIST) hat bereits den SecOps-Ansatz, inklusive praktischer Leitlinien für wirksame Sicherheitsmassnahmen definiert
IDENTIFIZIEREN
Es benötigt ein Gesamtbild der Bedrohungslage sowie ein unternehmensinternes Risikoprofil aller Systeme, Anlagen und Daten.
- Identifizieren welche Aktivitäten unternehmenskritisch sind
- Identifizieren von Informationsfluss und wo sich die entsprechenden Daten befinden (wichtig auch für das nDSG)
- Identifizieren der gesamte Hardware und Software
- Identifizieren der Aufgaben und Zuständigkeiten
- Identifizieren von internen und externe Bedrohungen, sowie deren Risiken
SCHÜTZEN
Unternehmer müssen sicher sein, dass die Schutzvorrichtungen vorhanden und richtig konfiguriert sind
- Schützen von Ressourcen und Informationen durch ausreichende Kontosicherheit
- Schützen der Daten beim Speichern und Übertragen durch Verschlüsselung
- Schützen der Daten durch regelmässige Backups (Mehrfach Desaster- / Recovery Strategie)
- Schützen des Unternehmens und installieren von regelmässigen Sicherheitsupdates und Firewalls / SIEM-Tools
- Schützen von Unternehmensdaten und Sensibilisierung der Mitarbeiter über alle Arten von Cybersicherheitsrisiken und dessen Verankerung im Arbeitsvertrag
ERKENNEN
Es braucht die Fähigkeit, sämtliche Cyberbedrohungen, sowohl konventionelle als auch hochentwickelte APTs, frühzeitig zu erkennen
- Erkennen von Gefahren frühzeitig durch regelmässiges Testen und Aktualisieren von Erkennungssoftware
- Erkennen von Angriffen mittels Musteranalyse in Software- und Netzwerkprotokollen (kann mit Incident Response Plan bewerkstelligt werden)
- Erkennen ungewöhnlicher Vorgänge im Datenverkehr des Unternehmens
- Erkennen und informieren an die Entscheider. Benachrichtigung von Sicherheitsexperten, sobald eine Sicherheitsverletzung festgestellt wurde
REAGIEREN
Es muss schnell und effizient auf Bedrohungen und Angriffe reagiert werden können (Incident Response Plan)
- Schnelle Raktion, indem eine unternehmen Ihren Abwehrplan regelmässig testet und ständig anhand gesammelter Daten zu optimieren
WIEDERHERSTELLEN
Nach einem Vorfall: Eine gewisse Erfahrung und das passende Know-how helfen dabei, schnell wieder geschäftsfähig zu sein und die erforderlichen Verbesserungsmassnahmen durchzuführen.
- In Kontakt bleiben mit allen Ihren Entscheidern, Kunden, Mitarbeitern und Lieferanten
- Zurückgewinnung des guten Ruf mit der passenden PR-Strategie
- Regelmässige Aktualisierung der Rettungspläne und kontinuierliche Verbesserung mit den neu gewonnenen Erkenntnissen
Hinter jedem dieser Ansätze steckt natürlich im Detail geballtes Know-How, sowie die erforderlichen Werkzeuge dazu. Der Security-Operations-Ansatz ist somit nicht neu oder erst ab den 20 er Jahren salonfähig geworden. Er ist eine Reihe aus Massnahmen als Paket zu verstehen, hinter jedem sich eine Einzelmassnahme als eigene Strategie verbirgt. Auch das nDSG / (neues Datenschutzgesetz) / DSGVO verlangt eine solche Vorgehensweise, nicht im Detail, aber als Plan und Paket versteht sich das von selbst.