100-prozentige Cybersicherheit gibt es nicht

Aber: Cyber-Incident-Recovery ist der Schlüssel zur Widerstandsfähigkeit

Von Lorenz Kuhlee und Michael Quaden

Beitrag als PDF (Download)

Cyberangriffe sind dieser Tage keine Ausnahme mehr. Vielmehr ist weltweit jedes Unternehmen jeden Tag mehreren Angriffsversuchen ausgesetzt. Die schlichte Frage ist, ob der Angriffsversuch erfolgreich ist und wenn ja, wann er bemerkt wird – zumindest in der Theorie. Was ist, wenn mehrere Angriffsversuche erfolgen, zeitgleich von unterschiedlichen Seiten? Und wie sieht es aus, wenn ein Angriff erfolgt, die angreifende Seite sich aber entschließt, diesen nicht fortzuführen, und so eine Detektion des Angriffs ohne forensische Mittel und eine Tiefenanalyse des Systems kaum noch möglich ist?

Angriffsvarianten in der Praxis
Die Störung von Geschäftsprozessen, verursacht durch Cyberangriffe, bei denen kritische Daten oder Systemkonfigurationen korrumpiert werden, sind für ein Unternehmen, gleich welcher Größe, ebenso schädlich wie Datendiebstahl oder ein kompletter Ausfall der IT-­Systeme. Neben den finanziellen Schäden steht häufig auch die Reputation des Unternehmens auf dem Spiel. Dies ist umso mehr der Fall, wenn durch Cyberangriffe Daten verschlüsselt werden oder spezielle Malware ganze Back-ups angreift. Insbesondere dann, wenn beides synchronisiert erfolgt und darin resultiert, dass sowohl sensible Datensätze als auch relevante Back-ups kodiert und somit für das Unternehmen nicht mehr zugänglich sind.
Im Fall eines Cyberangriffs sieht sich ein Unternehmen nicht nur mit möglichen (finanziellen) Schäden durch die Störung oder gar mit dem Ausfall ganzer Prozessabläufe konfrontiert, die durchaus existenzbedrohend sein können; nein, auch die Folgen eines Reputationsschadens sowie mögliche Strafzahlungen aufgrund des Abflusses personenbezogener Daten können die Existenz eines Unternehmens bedrohen.
Der Begriff Cyber-Incident-Recovery lässt vermuten, dass es sich um einen rein reaktiven Prozess handelt. Die Frage, wie Cyber-Incident-Recovery zur Widerstandsfähigkeit einer Organisation beitragen kann, ist somit völlig legitim. Zumindest auf den ersten Blick offenbart sie doch zugleich auch signifikante Lücken im Verständnis von Cybersicherheit und Bedrohungslage.
Das Gefühl 100-prozentiger Cybersicherheit trügt. Es gibt sie nicht! Ist ein System einmal kompromittiert, ist es nicht mehr vertrauenswürdig. Die entscheidenden Fragen sind: Wie schnell wird der Angriff erkannt? Wie lange dauert es von der Identifizierung bis zur Einleitung entsprechender Gegenmaßnahmen? Gibt es Notfallpläne und Notfallvorsorge? Offensichtlich ist: Je früher ein Angriff erkannt und diesem entgegengewirkt wird, desto größer ist die Chance, das Schadenspotential gering zu halten. Die frühzeitige Erkennung ist jedoch eine der größten Schwachstellen, da in der Regel sogenannte „Deep-dwell“-Attacken erst erkannt werden, wenn es bereits zu spät ist. Back-ups reichen zur Wiederherstellung des Systems und zur Sicherstellung von Prozessabläufen dann meist nicht mehr aus, insbesondere dann nicht, wenn es sich ausschließlich um File-Back-ups handelt und Back-up-Policies nicht mit den vorhandenen Wiederherstellungsprozessen harmonisiert sind.

Ein Cyberangriff betrifft das gesamte Unternehmen
Der schlichte Blick auf das „Offensichtliche“ ist jedoch zu eng. Es darf davon ausgegangen werden, dass er sich in vielen Organisationen ausschließlich auf die IT-Abteilung fokussiert. Dabei betrifft ein Cyberangriff das gesamte Unternehmen. Es geht nicht nur um das Wiedererlangen des Zugriffs auf Daten und Prozesse; es geht auch darum, die interne und die externe Kommunikation während und nach der Krise sicherzustellen. Schlüsselpersonal, ausgestattet mit den entsprechenden Kompetenzen, Rechten und Freigaben, um durch die Krise eines Cyberangriffs zu führen – auch mit externer Unterstützung – muss VOR einem Angriff identifiziert sein. Eine Priorisierung von Stakeholdern und die Abfolge der Informationsweitergabe sollte im Fall eines Cyberangriffs entsprechend geregelt sein. Cyber-Incident-Recovery kann nur dann erfolgreich sein und ein Unternehmen aus der (Cyber-)Krise führen, wenn es auf einem holistischen Ansatz basiert.

Cyber-Incident-Recovery: auf parallel verlaufende Handlungsstränge achten
Eine Cyber-Incident-Recovery muss somit auf mehrere, meist parallel verlaufende Handlungsstränge abstellen: Wiedererlangung der Zugriffsrechte und Wiederherstellung operativer Geschäftsabläufe zur Gewährleistung der Geschäftskontinuität; forensische Auswertung des Angriffshergangs mit besonderer Berücksichtigung der Frage nach der Wahrscheinlichkeit des Abflusses wichtiger Informationen wie etwa personenbezogener Daten oder Geschäftsgeheimnissen; Konsolidierung aller Arbeitsstränge zur zeitnahen Wiederherstellung der operativen Geschäftsfähigkeit eines Unternehmens unter besonderer Berücksichtigung der durch den Angriff identifizierten Vulnerabilitäten; Vorbereitung der Implementierung neuer Systeme und sichere Migration der vorhandenen Daten in ein neues System mit dem Wissen und dem Bewusstsein, dass sich die Cyberbedrohungslage stetig verändert. Im Zuge der stetigen Evolution muss die Devise lauten: „Detect & Respond“. Cyber-Incident-Recovery-Pläne müssen vorhanden sein und stetig auf ihre Angemessenheit überprüft werden. Sie sind Ausdruck des Bewusstseins einer Organisation, dass Cyberangriffe kein exotisches und außergewöhnliches Ereignis sind, sondern reale, allzeitliche Bedrohungen – wie ein Brand in einer Lagerhalle –, auf die es sich vorzubereiten gilt, um im Sinne der Betriebskontinuität angemessen und zeitnah reagieren zu können.

Lorenz.kuhlee@de.ey.com

Michael.quaden@de.ey.com