Die Bedrohungslandschaft entwickelt sich ständig weiter und wird durch das Auftauchen neuer Gegner und Angriffsmethoden zunehmend komplexer. Insbesondere finanziell motivierte Angriffe machen laut Global Threat Report 2022 fast die Hälfte (49 %) aller Angriffsaktivitäten aus. Aber auch nationalstaatliche Akteure werden immer raffinierter. Beide Angreifertypen sind unter anderem geschickt darin, gestohlene Zugangsdaten zu erlangen und zu missbrauchen. Sie nutzen dazu blinde Flecken in Altsystemen, Vertragspartnersystemen und anderen, nicht verwalteten Geräten aus, um in ein Unternehmen einzudringen und sich unbemerkt einzunisten.
Inzwischen basieren 80 Prozent aller Cyberattacken auf identitätsbasierten Methoden. Durch laterale Bewegungen und die Nutzung legitimer Anmeldedaten versuchen Angreifer eine Erkennung zu umgehen. In der heutigen Bedrohungslandschaft geht es daher längst nicht mehr darum, ob man selbst Ziel von Cyberattacken wird, sondern wann. Doch wie kann man sich erfolgreich gegen die wachsenden Cybergefahren wappnen? Und was sollte man im Fall der Fälle unbedingt beachten?
Proaktive Cyberabwehr
Unternehmen können sich keinen passiven Ansatz zum Schutz ihrer Daten und ihres Kapitals leisten, sondern müssen kontinuierlich und proaktiv ihr Sicherheitsniveau stärken. Dabei ist die Geschwindigkeit, mit der das Unternehmen einen Vorfall erkennen, den Zugriff auf Daten verhindern und die Bedrohung beseitigen kann, entscheidend, wenn es darum geht, das Geschäftsrisiko und die Kosten eines Datenverstoßes zu minimieren. Klassische Antivirenprodukte sind dabei nur sehr begrenzt hilfreich, da sie ursprünglich nur zur Erkennung bekannter Malware-Signaturen entwickelt wurden. Fortschrittliche Bedrohungen erfordern Cloud-basierte Antivirenlösungen der nächsten Generation (NGAV), die bekannte und Zero-Day-Malware, Ransomware sowie datei- und malware-lose Angriffe erkennen und abwehren können.
Hochentwickelte NGAV-Lösungen können mithilfe von Verhaltensanalysen automatisch nach Anzeichen eines Angriffs suchen und ihn umgehend blockieren. Im Gegensatz zu Legacy-Sicherheitslösungen, die regelmäßige Updates erfordern und Endgeräte kurzzeitig ungeschützt lassen, bleiben Cloud-basierte Lösungen dank Machine Learning (ML) stets auf dem aktuellen Stand und erleichtern allein damit schon die Arbeit der IT- und Sicherheitsteams. Zugleich schaffen Cloud-native Lösungen umfassende Visibilität und Workload-Schutz, auch in hybriden Umgebungen. Damit sind Sicherheitsteams in der Lage, Ransomware nicht nur zu suchen, zu erkennen und zu stoppen, sondern auch zu protokollieren – und das in Echtzeit. Die Wahl der Cybersicherheits-Technologie ist folglich ein wesentlicher Faktor für eine erfolgreiche, proaktive Cyberabwehr. Zudem fordern viele Versicherer, dass die Absicherung im Unternehmen dem Stand der Technik entsprechen muss. Können Unternehmen keine entsprechende Cyber-Resilienz vorweisen, erhalten sie oft keine Absicherung gegen Cyberrisiken oder nur zu einer sehr hohen Versicherungsprämie.
Was tun im Fall der Fälle?
Das Risiko, Opfer von Cyberangriffen zu werden, ist durch die Pandemie und die damit eingeführten Homeoffice- sowie Hybrid-Work-Strukturen gestiegen. Es ist für Unternehmen unumgänglich, dass sie Cybersecurity-Maßnahmen umsetzen, die sie und ihre Mitarbeiter vor diesen Bedrohungen schützen – unabhängig davon, welches Gerät sie nutzen und von wo aus sie arbeiten.
Entdeckt die eingesetzte Sicherheitslösung einen Angreifer im Unternehmensnetzwerk, sind Schnelligkeit und Sichtbarkeit ausschlaggebend für eine effektive Incident Response. Erst wenn klar ist, welche IT-Systeme kompromittiert sind, können Gegenmaßnahmen erfolgreich sein. Dabei ist die Reaktionszeit bei einem Angriff ein weiterer, wesentlicher Erfolgsfaktor und erfordert koordinierte interne Maßnahmen und rasche Entscheidungen. Trotzdem ist ein ruhiges und überlegtes Vorgehen für den Erfolg der Aufklärung von oberster Priorität.
Zusammen mit hinzugezogenen IR-Experten sollte im Vorfeld zunächst ein Plan für das gemeinsame Vorgehen erarbeitet und implementiert werden. Eine umfassende und offene Kommunikation ist während des gesamten Prozesses das A und O. IT, Sicherheit, Rechtsabteilung, Management und Öffentlichkeitsarbeit müssen über den Stand der Datenverletzung informiert sein, damit eine einheitliche Reaktion formuliert und die Kommunikation mit Aufsichtsbehörden und Kunden sichergestellt werden kann.
Die Zusammenarbeit mit einem kompetenten Cybersecurity-Anbieter stellt oft einen weiteren wichtigen Aspekt eines effektiven Plans zur Reaktion auf einen Vorfall dar. Denn je länger es dauert, bis ein Spezialist hinzugezogen wird, desto höher ist die Chance, dass der Angreifer nicht nur umfangreich Daten abzieht, sondern sich im Netzwerk festsetzt und auch Vorkehrungen trifft, die ihm ermöglichen, nach einer Entdeckung jederzeit zurückzukehren.
Das Hauptziel der Remediation besteht darin, den Bedrohungsakteur vollständig aus der Umgebung zu entfernen und seine Fähigkeit einzuschränken, auf andere Weise zurückzukehren. Wenn Unternehmen nicht wissen, wie es zu dem Vorfall gekommen ist, kann es zu einer doppelten Lösegeldforderung kommen. Daher ist es von zentraler Bedeutung zu verstehen, wie es zu dem Angriff kommen konnte und welche Motive die Angreifer hatten.
Unternehmen müssen daher damit beginnen, einen Angriff wie einen Tatort zu betrachten. Forensische Analysen können Unternehmen dabei helfen, wichtige Erkenntnisse zu gewinnen, z. B. wie viele Systeme angegriffen oder kompromittiert wurden, auf welche Daten möglicherweise zugegriffen wurde, wie lange der Vorfall schon andauert, der ursprüngliche Angriffsvektor, Persistenzmechanismen in der Systemumgebung und exfiltrierte Daten. In den meisten Fällen kann so auch die Ursache für den Cyberangriff festgestellt werden.
Die Vorbereitung auf einen möglichen Cyberangriff sowie die Sensibilisierung für Cybersicherheit sind heutzutage für Unternehmen genauso wichtig wie Marketing und Vertrieb. Es ist wichtig zu beachten, dass Unternehmen neben den unmittelbaren Maßnahmen und Reaktionen auf einen Vorfall auch ihre langfristigen Ziele im Bereich der Cybersicherheit bewerten sollten. Eine kluge und frühzeitige Investition kann sicherstellen, dass ein Unternehmen erfolgreich gegen Cyberangriffe gewappnet ist.