Cybersicherheit : Cyberangriffe: Vorbereitung ist alles

Die Zahl der Cyberangriffe steigt seit Jahren kontinuierlich, ein Ende dieser Aufwärtsspirale ist nicht in Sicht. Insbesondere Ransomware-Attacken, bei denen Daten verschlüsselt werden und für die Übergabe des für die Entschlüsselung benötigten Schlüssels ein Lösegeld in Bitcoins oder einer anderen Kryptowährung gezahlt werden muss, sind ins Blickfeld der Öffentlichkeit gelangt. Daneben gibt es aber weiterhin viele andere Angriffsvarianten, von denen manche – insbesondere, wenn es um den Abfluss von personenbezogen Daten oder KRITIS-relevante Unternehmen geht – auch meldepflichtig sind.

Wenn der Angriff läuft, ist es zu spät

Viel zu oft ist aber zu beobachten, dass in den Unternehmen nicht nur immer noch zu wenig für den Schutz von Cyberangriffen getan wird, sondern insbesondere auch der Ernstfall nicht vorbereitet ist. Wenn ein Angriff aber erst einmal läuft, hat man keine Zeit mehr. So beträgt der Zeitraum für die Meldung von DSGVO-relevanten Vorfällen gerade einmal 72 Stunden. Wenn aber die Produktion eines Fertigungsunternehmens nach einem Angriff still steht oder ein Teil der öffentlichen Versorgung, wie bei der Ransomware-Attacke auf die Colonial Pipeline in den USA im Frühsommer 2021, ausfällt, dann ist das Zeitfenster für die Reaktion noch viel kürzer.

Nur wenn man sich auf dieses Szenario vorbereitet hat, kann man gezielt und vor allem geplant reagieren, statt – wie auch viel zu oft zu beobachten – entweder zunächst paralysiert zu sein oder im Panikmodus zu reagieren.

Vorbereitung: Viel mehr als nur technische Maßnahmen

Dabei gibt es schon seit Jahren bekannte, gut beschriebene Konzepte, um mit solchen Vorfällen oder „incidents“ umzugehen. Das Incident Response Management, also das Management von Antworten bei Vorfällen und insbesondere eben auch Cyberangriffen besteht aus einer Vielzahl von Maßnahmen. Dazu gehören eine Krisenorganisation mit klar definierten Zuständigkeiten, eine vorab definierte Kommunikationsstrategie und eben auch technische Maßnahmen.

Das Problem: Zu oft erfolgt diese Vorbereitung nicht oder nicht in ausreichendem Maße. Der Aufbau und die kontinuierliche Pflege eines guten Incident Response Management kostet Geld, personelle Kapazitäten und Zeit. Die Krisenpläne müssen intern kommuniziert werden, damit klar ist, wer im Krisenfall welche Aufgabe zu übernehmen hat und welche Teams es gibt. Ohne ein ausreichendes Budget wird es kein funktionierendes Incident Response Management geben.

Ransomware Resilience: Arbeitsfähigkeit wiederherstellen

Es gibt aber auch eine technische Handlungsebene, gerade mit Blick auf Ransomware-Angriffe. Dabei spielt die sogenannte „resilience“, also die Widerstandsfähigkeit gegen solche Angriffe die zentrale Rolle. Ransomware Resilience ist dabei keineswegs darauf beschränkt, Maßnahmen zu ergreifen, um nicht Opfer eines Angriffs zu werden. Denn auch bei wirklich guten Schutzmaßnahmen kann das passieren, durch menschliche Fehler oder technische Schwächen.

Entscheidend ist, sich auf das Szenario eines erfolgreichen Angriffs einzustellen. Idealerweise wird eine solche Situation schnell erkannt und eingegrenzt, indem beispielsweise Systeme zügig vom Netz genommen werden, so dass sich die Ransomware nicht weiterverbreiten kann. Oft wird das aber nicht oder nur unzureichend gelingen und bei jedem erfolgreichen Angriff gibt es betroffene Systeme.

Deshalb gehört zur Ransomware Resilience auch, dass eine Organisation schnell wieder handlungsfähig wird. Das Backup von kritischen Daten, auch offline, so dass es für Angreifer nicht erreichbar ist, gehört ebenso dazu wie die Fähigkeit, Systeme schnell wiederherstellen zu können, in geordneter Reihenfolge, von den kritischen Systemen hin zu weniger wichtigen Systemen. Das muss vorbereitet und geplant sein, das benötigt geeignete Technologie beispielsweise für die automatisierte Neukonfiguration von Systemen. Es braucht auch ein gutes IT-Asset-Management, um überhaupt zu wissen, welche Systeme, Anwendungen und Daten es gibt. Nur wenn hier rechtzeitig die Basis gelegt wird, kann man im Krisenfall zügig und gezielt handeln.

Risiken kennen und bewerten

Gezieltes Handeln setzt dabei immer auch ein Risikomanagement voraus. Welche Daten sind besonders kritisch? Welche Systeme müssen zuerst wiederhergestellt werden? Wo sind die größten Schwachstellen und Angriffsrisiken? Das Wissen über die Risiken ist die Basis für die Planung von Schutzmaßnahmen gegen Cyberangriffe ebenso wie für die Strukturierung des gesamten Incident-Response-Management, bis hin zu den Plänen für die Wiederherstellung nach einem Angriff.

All das muss aber vor einem Angriff erfolgen. Die drei größten Fehler, die heute gemacht werden, sind

1. Unzureichende Budgets für Cybersicherheit

2. Fehlende Planung sowohl der Schutzmaßnahmen als auch der Wiederherstellung

3. Zu technischer Fokus: Technik ist wichtig, aber sehr viel ist Risikoanalyse, Planung und Incident Response Management

Dahinter steht aber ein anderer Fehler: Viel zu viele Führungskräfte verschließen immer noch die Augen vor der Realität und versuchen, das lästige Thema Cybersicherheit und die damit verbundenen Kosten zu ignorieren, bis es zu spät ist.