Cyberstrategie : Nachhaltige Cybersicherheit: Hin zu mehr Gegenwirkung

Die vielen erfolgreichen Angriffe und enorm hohen Schäden zeigen, dass unsere IT nicht sicher genug konzipiert, aufgebaut, konfiguriert und upgedatet ist, um gegen die intelligenten Angriffsmethoden wirkungsvoll geschützt zu sein.

Dies lässt den Schluss zu, dass ein Großteil der Unternehmen deutlich zu wenig tut, um sich in der aktuellen Cybersicherheitslage angemessen zu schützen. So waren allein in den vergangenen zwei Jahren sehr viele Produktionsunternehmen von Ransomware-Angriffen betroffen, durchschnittlich verbunden mit der negativen Konsequenz eines mindestens zweimonatigen Produktionsstillstands. Das bedeutet hohe Kosten für die Unternehmen – neben den gezahlten Lösegeldern, die im Schnitt circa 250.000 Euro betragen, auch der finanzielle Aufwand verursacht durch Produktionsausfall und Wiederinbetriebnahme. Das erklärt die Summe von 24 Milliarden Euro im Jahr 2021 allein für die Schäden in Deutschland verursacht durch Ransomware.

Neben den aktuellen Problemen ist auch wichtig generell zu akzeptieren, dass für die digitale Zukunft die heute genutzte IT keine adäquate Basis sein kann. Das bedeutet, die Unternehmen müssen deutlich mehr Aufwand und Geld in IT-Sicherheit investieren, um den eigenen aber auch den sicheren Fortgang unserer Gesellschaft zu sichern.

Dies gilt insbesondere zum einen für unsere Kritischen Infrastrukturen, denn diese sind notwendig, um das Leistungsvermögen insgesamt zu erhalten, aber natürlich auch für jedes Unternehmen, ob klein oder groß, denn darüber wird die Zukunftsfähigkeit unserer Wirtschaft grundsätzlich sowohl sichergestellt als auch gestärkt.

Wo liegt momentan eine der Hauptschwierigkeiten? Bisher haben wir uns zu sehr auf reaktive Cybersicherheitsmaßnahmen beschränkt. Zukünftig müssen die Unternehmen ihre Cybersicherheitsstrategie ändern. Mit anderen Worten: Es wird mehr und mehr notwendig sein, dass Unternehmen den Fokus auf das „Vermeiden von Angriffen“ und „Entgegenwirken von Angriffen“ legen, damit die Risiken minimiert und auch kontinuierlich so gering wie möglich gehalten werden können. Konkret lässt sich mithilfe der Vermeidungsstrategie eine Verringerung der Angriffsfläche und damit die Reduzierung der Risiken erreichen.

Datensparsamkeit, Reduzierung der IT-Möglichkeiten und Sicherheitsbewusstsein

Die Herausforderung dabei besteht jedoch darin, die eigene IT so aufzusetzen, dass alle notwendigen Prozesse im Rahmen der Geschäftstätigkeit umgesetzt, aber alle anderen für die Geschäftstätigkeit irrelevanten Aktivitäten aktiv unterbunden werden können. Neben dem Gebot zur Datensparsamkeit und Fokussierung ist es wichtig dem Aufbau eines adäquaten Sicherheitsbewusstseins der Mitarbeitenden eine hohe Priorität einzuräumen. Zudem gilt es, konsequent den Einsatz und die Möglichkeiten der IT zu reduzieren – bedeutet, Unternehmen sollten nur Software auf ihren IT-Systemen implementieren, die tatsächlich gebraucht wird sowie die Zugriffsrechte auf IT-Systemen gemäß der Zuständigkeit im Geschäftsprozess reglementieren. Zudem muss auch die Kommunikation sinnvoll beschränkt werden. Auf diesem Wege lässt sich die Angriffsfläche deutlich minimieren.

Darüber hinaus müssen die Unternehmen deutlich mehr in Bezug auf das „Entgegenwirken von Angriffen“ umsetzen. Hier gilt es moderne Cybersicherheitsmechanismen zu verwenden, die eine hohe Wirkung gegen bekannte Angriffe erzielen. In diesem Bereich haben die Firmen vielfach noch einen sehr hohen Nachholbedarf: Zum Beispiel im Bereich Verschlüsselung – das gilt für alle Daten, sowohl bei der Übertragung als auch bei der Speicherung, aber zunehmend ebenfalls bei der Bearbeitung. Aber auch beim Passwortverfahren – dies muss umfänglich gegen moderne Multifaktor-Authentifikationsverfahren substituiert werden, um einen unautorisierten Zugriff der Angreifer zu verhindern, denn darüber finden aktuell die meisten Angriffe statt. Um Ransomware effektiver zu bekämpfen, gilt es Anti-Malware-Lösungen konsequent umzusetzen. Redundante Kommunikationsinfrastrukturen sind notwendig, um DDoS-Angriffen erfolgreich entgegenzuwirken.

Da es trotzdem keine hundertprozentige Sicherheit gibt, bedarf es weiterer Cybersicherheitsstrategien, um die verbleibenden Restrisiken so gut wie möglich zu beherrschen. Beim „Erkennen von Angriffen“ sollten die Unternehmen in ihrer IT- und Kommunikationsinfrastruktur sowie in den Endgeräten nach Angriffssignaturen oder Anomalien suchen, um eine kriminelle Handlung so schnell als möglich zu detektieren. Das wird in der Regel mit Frühwarn- und Lagebildsysteme sowie SIEM-Systemen umgesetzt. Bei einer Angriffserkennung heißt es, so schnell wie möglich mit adäquaten Aktionen darauf zu reagieren, um einen Schaden im optimalen Fall noch verhindern oder zumindest das Ausmaß reduzieren zu können. Als „Reaktion auf Angriffe“ ist zum Beispiel ein guter und trainierter Notfallplan erforderlich.

Marktplatz und Netzwerkveranstaltung

Das hört sich alles leicht an, ist es aber nicht. Es kostet viel Aufwand und Geld.

Aus diesem Grund bietet die it-sa – eine Fachmesse mit begleitendem Kongress zum Thema Informationssicherheit – Unternehmen eine gute Gelegenheit, sich über den „Stand der Technik“ bezüglich der Cybersicherheitsmaßnahmen zu informieren, um sich deutlich besser schützen können. Hier finden sie – neben entsprechenden Sicherheitsprodukten – auch Berater und Dienstleister, die helfen, adäquate Maßnahmen richtig umzusetzen. Zudem ist die it-sa eine große Netzwerkveranstaltung, bei der Cybersicherheitsexperten, Politiker sowie Entscheider aus Ministerien und Behörden – die alle die Cybersicherheitslage verbessern wollen – zusammentreffen, um sich auszutauschen, einander besser zu verstehen und gemeinsame Aktivitäten abzustimmen. Das ist eine Chance, um die Cybersicherheitslage weiter zu verbessern.

Norbert Pohlmann ist Informatikprofessor für Cybersicherheit an der Westfälischen Hochschule und leitet dort das Institut für Internet-Sicherheit If(is). Er ist Vorstandsvorsitzender des Bundesverbands IT-Sicherheit (Teletrust) und Vorstandsmitglied des Verbandes der Internetwirtschaft Eco.