Cyberattacken mit Ransomware nehmen zu, immer öfter werden »Backdoor«-Einstellungen in Software genutzt. Als größter Anbieter von Unternehmenssicherheit setzt IBM deshalb auf ein umfassendes Verständnis für die Sichtweise der Angreifer. Alexander Werkmann, Director IBM Technology Security DACH, über die aktuelle Bedrohungslage – und umfassende Abwehrlösungen.
Herr Alexander Werkmann, in Ihrem X-Force Threat Intelligence Index 2023 stellen Sie fest, dass 21 Prozent aller Cyberangriffe eine »Backdoor« genutzt haben. Wo genau liegt das Problem?
Wir sahen zuletzt weltweit einen erheblichen Anstieg der Nutzung von Backdoors. Vor allem die zu Beginn des Jahres 2022 beobachtete Zunahme von Emotet trug zum Anstieg von Backdoors bei. Bei Backdoors handelt es sich um heimliche oder unbekannte Eintrittspunkte, also Schwachstellen oder Schadsoftware-Einschleusungen, in Computersysteme, die von Angreifern verwendet werden, um unbefugten Zugriff zu erhalten. Sie verursachen in der Regel Probleme wie Datenverlust, illegale Systemkontrolle, Diebstahl von Informationen, Malware-Verbreitung und rechtliche Konsequenzen. Etwa zwei Drittel dieser Backdoor-Fälle haben die Merkmale einer Ransomware-Attacke.
Sie fordern Unternehmen dazu auf, nicht nur Sicherheitslücken zu schließen, sondern sich bewusst mit dem Denken und der Sichtweise der Angreifer auseinanderzusetzen.
Im Kern geht es um die Erkenntnis, dass ein rein reaktives Handeln im Perimeter nicht mehr ausreicht. Die digitale Angriffsoberfläche von Unternehmen wächst massiv, kontinuierlich und dynamisch. Die voranschreitende Digitalisierung, die Verlagerung von Workloads, die Nutzung innovativer Services in der Cloud, aber auch die Zunahme an Schnittstellen (APIs), um Plattformen konsumierbar zu machen und selbst zu nutzen, führen zu einer immer größeren Attack Surface.
Die Sicht- und Denkweise von »Inside-Out« auch auf »Outside-In« zu drehen, bedeutet, wie ein Hacker zu denken und die eigene Abwehrfähigkeit zu hinterfragen! Das heißt: Proaktiv Schwachstellen in der IT-Umgebung aufdecken und Abwehrstrategien kontinuierlich daraufhin optimieren.
Kann man sagen, das Hauptproblem liegt darin, dass Angreifer einen besseren Einblick ins Unternehmensnetzwerk haben als das Unternehmen selbst?
So pauschal lässt sich das nicht beantworten. Das hängt von vielen Parametern ab. Hacker, die in ein Netzwerk eindringen wollen, haben den Vorteil, dass sie von außen kommen und das Unternehmen häufig seine Schwachstellen nach außen nicht alle kennt. Da gibt es Schatten-IT, ungepatchte Systeme mit alten Firmwareständen, abgelaufene Zertifikate, Backdoors und Zombie-Systeme, die für ein Unternehmen möglicherweise ein »blinder Fleck« sind. Zudem sind Hacker meist erfahren, sind nicht selten staatlich unterstützt und können über erhebliche Ressourcen und Kenntnisse verfügen. Sie fokussieren sich gezielt auf Schwachstellen in Software oder Systemen und können dabei sehr spezialisierte Angriffsmethoden entwickeln. Am Ende haben sie den Vorteil der Zeit. Es ist aber wichtig zu betonen, dass Unternehmen aktiv daran arbeiten sollten, ihre Netzwerke zu schützen und Schwachstellen zu beheben, um das Eindringen von Hackern und böswilligen Akteuren zu erschweren. Eine umfassende Sicherheitsstrategie, regelmäßige Schulungen für Mitarbeitende, ein starkes Patch-Management und die Überwachung von Netzwerkaktivitäten sind dabei entscheidend.
Vielleicht das wichtigste Ziel Ihrer Arbeit ist, dass Unternehmen alle Betriebsabläufe schnellstmöglich fortsetzen können. Inwiefern spielen das Erkennen und schnelle Beheben oder Kontern von Ransomware-Angriffen dabei die entscheidende Rolle?
Ich hatte eben schon die Dimension der Zeit erwähnt. Sie ist, wie im realen Leben auch, ein essenzieller Faktor. Speziell in puncto Schaden und Kosten, wenn es zum erfolgreichen Angriff kommt. In unserem neuesten »Cost of a Data Breach Report« haben wir erhoben, dass eine kürzere Dauer der Datenschutzverletzung mit geringeren Kosten für die Datenschutzverletzung in Verbindung gebracht wird. Ein Lebenszyklus einer Datenschutzverletzung von weniger als
200 Tagen war mit durchschnittlichen Kosten von 3,93 Mio. US-Dollar verbunden. Ein Zyklus mit mehr als 200 Tagen hingegen mit Kosten von 4,95 Mio. US-Dollar. Dies entspricht einer Differenz von 23 Prozent und einer Kostenersparnis von 1,02 Mio. US-Dollar. Darum ist das Erkennen eines Angriffs sowie die sofortige Reaktion darauf sehr wichtig. Automatisierung, künstliche Intelligenz, aber auch die vorhandene Routine der Abwehr im Angriffsfall liefern hier eine wichtige Unterstützung. Wir empfehlen explizit, die Strafverfolgungsbehörden einzuschalten und zu informieren. Dies hat nach unserer Studie nicht nur einen Einfluss auf die Erkennung und Eindämmung einer Ransomware-Verletzung, sondern auch auf die Kosten eines Ransomware- Angriffs, der bei Einschaltung der Behörden 470 000 US-Dollar geringer ist.
Ein wichtiges Modell, um Netzwerke und Datenzugänge abzusichern, ist Zero Trust. Was erfordert ein solches Zero-Trust-Modell?
Das Motto ist: »Vertrauen ist gut, Misstrauen ist besser!« So setzt das Zero-Trust Framework in der Cybersicherheit darauf, dass »niemandem«, weder innerhalb noch außerhalb des Netzwerkes, grundsätzlich vertraut wird. Stattdessen werden strenge Authentifizierung und Überwachung für alle Benutzer und Geräte gefordert. Zero Trust verfolgt drei wesentlichen Prinzipien. Erstens: »Always verify« – verifiziere jeden, immer! Zweitens: »Least privilege« – vergib minimale Privilegien! Und drittens: »Assume breach« – bleibe misstrauisch und gehe davon aus, dass du gehackt wirst! Ziel ist es, das Risiko von Datenverlusten und Cyberangriffen signifikant zu minimieren. Zero Trust in der Cybersicherheit erfordert eine grundlegende, nachhaltige Neuausrichtung der traditionellen Sicherheitspraktiken.
Immer mehr Unternehmen haben Mitarbeitende in Fernarbeit, die sich irgendwo einloggen, Netzwerken betreten und Daten bearbeiten oder abrufen. Wie können die in Zero Trust integriert werden?
Die Integration von Fernarbeit oder dezentralen Remote-Zugriffen in ein Zero-Trust-Modell erfordert eine ganzheitliche Herangehensweise. Diese stellt sicher, dass die Sicherheitsrichtlinien und -praktiken konsistent angewendet werden, unabhängig davon, wo die Mitarbeitenden arbeiten. Dies ist in einer flexiblen oder hybriden Arbeitswelt, die uns vermutlich auch in Zukunft erwartet, besonders wichtig. Neben einem strengen Identitäts- und Zugriffsmanagement für alle Mitarbeitenden empfiehlt sich die Verwendung von Multi-Faktor-Authentifizierung (MFA), welche sicherstellt, dass nur autorisierte Personen auf Ressourcen zugreifen können. VPNs oder anderweitige verschlüsselte Verbindungen sollten ebenso zum Einsatz kommen wie sichere Endgeräte oder die Mirco-Segmentierung von Netzwerken und Remote-Arbeitsplätzen. Die Umsetzung von Zero Trust hat viele Schlüsselaspekte. Die oben genannten sind von hoher Bedeutung, allerdings sollten die Maßnahmen mit Blick auf das jeweilige Unternehmen, dessen Branche, Unternehmensgröße, Wirtschaftlichkeit und Möglichkeiten als auch Attraktivität für böswillige Akteure spezifisch bewertet werden.
Sie plädieren als Sicherheitsexperte auch für Use Cases, die frühzeitig Bedrohungsszenarien durchspielen.
Das Üben von Cybersicherheitsanwendungsfällen ist ein proaktiver Ansatz, um die Sicherheit zu stärken und die Reaktionsfähigkeit auf Cyberangriffe zu erhöhen. Wir kommen zurück auf die besondere Bedeutung von Zeit in der Cybersicherheit. Zur Erinnerung: Je schneller ich meine Abwehrmaßnahmen einleite und erfolgreich umsetze, desto geringer der Schaden und die verbundenen Kosten. Das Durchspielen von Anwendungsfällen ermöglicht es Unternehmen, Schwachstellen in ihren Sicherheitsmaßnahmen zu identifizieren, bevor Angreifer diese ausnutzen können. Ebenso können wichtige Erfahrungen gesammelt und Prozesse für eine schnelle und effektive Reaktion auf Angriffe entwickelt und getestet werden. Das Verproben von Anwendungsfällen hilft bei der Optimierung von Sicherheitsrichtlinien und -prozessen, um den aktuellen Bedrohungen und Angriffstaktiken zu entsprechen. Schlussendlich fördert dies auch das Bewusstsein der Mitarbeitenden für das stetig vorhandene Risiko im Cyberraum und schult diese für das Verhalten im Angriffsfall.
Auf der einen Seite müssen Abwehrsysteme mit AI lernen, auf der anderen Seite führt an einer Sensibilisierung und Lernbereitschaft der internen Mitarbeitenden kein Weg vorbei. Wie bekommen Unternehmen das unter einen Hut?
Das Zusammenspiel zwischen Menschen, Prozessen und Technologie ist für eine schnelle und erfolgreiche Verteidigung von Cyberangriffen wesentlich. Dabei sind alle drei genannten Komponenten essenziell. Wir haben bereits einen bestehenden Mangel an Menschen mit tiefen Fähigkeiten in der Cyberabwehr und sehen weiter, dass die Anforderungen für Abwehrmaßnahmen bei Unternehmen durch die steigende Regulatorik und die allgemeine Bedrohungslage zunehmen. Im Umkehrschluss benötigen wir daher eine höhere Produktivität durch verbesserte Automatisierung und künstliche Intelligenz in Prozessen und Technologie. Erfolgreiche Abwehr zeichnet sich wie im Fußball durch ein gutes Zusammenspiel aller Mannschaftsteile aus.
Das Üben von Cybersicherheits-anwendungsfällen ist ein proaktiver Ansatz, um die Sicherheit zu stärken und die Reaktionsfähigkeit auf Cyberangriffe zu erhöhen. Alexander Werkmann, Director IBM Technology Security DACH
Ein End-Point Detection Response System (EDR) muss Hand in Hand mit einem Network Detection Response (NDR) sowie einem Log Management, Security Incident Event Management (SIEM) und einem Security Orchestration Automation Response (SOAR) stehen. Plattformansätze, welche die Offenheit bei der Integration unterschiedlicher Technologien und Hersteller erlauben und einen hohen Beitrag für die Produktivität durch Einsatz von AI, Machine Learning (ML) und Automatisierung leisten, sind daher Key und, meiner Meinung nach, die Zukunft einer effizienten und nachhaltigen Cyber Defense. Gleichzeitig gilt es, die Kultur im Unternehmen auf Cyberangriffe einzustellen. Die Unternehmensführung muss vorangehen und die Priorität für das Thema durch die Bereitstellung einer nachhaltigen Cyber-Security-Strategie und finanzieller Mittel, aber auch durch ein kontinuierliches Bewusstsein und einhergehende Schulungsmaßnahmen klarmachen.
Schreibe einen Kommentar