Cyberangriffe auf Unternehmen werden häufiger und intensiver. Für die Wirtschaft kann so immenser Schaden entstehen. Daher wird es für Unternehmen immer wichtiger, die eigene Angriffsfläche klug zu verwalten – um sie so klein wie möglich zu halten. Bisher beschränkten sich die meisten Unternehmen dabei auf Erkennungs- und Schutzsoftware für ihre externe Angriffsfläche. Doch diese Maßnahmen reichen oft nicht aus, denn das Zeitalter der Kommunikationstechnologie bringt immer neue Gefahren mit sich. Die zunehmende Nutzung von Cloudservices, hybride Arbeitsmodelle, die Schwierigkeiten bei der Identifizierung unbekannter Assets und die Schlüsselrolle der Mitarbeiter erfordern die Ausweitung des Angriffsflächenmanagements. Unter Cyberexperten gilt ein Begriff derzeit als „Zauberwort“: Agile Methoden. Was hat es damit auf sich und welchen Erfolg versprechen sie tatsächlich bei der Abwehr von Cyberattacken?
Derzeit gibt es einige Trends und Neuentwicklungen im Bereich Cybersicherheit: Der sogenannte Zero-Trust-Ansatz etwa geht davon aus, dass eine Unterscheidung in öffentliche und private, interne und externe, cloud- und nicht cloudgestützte Netzwerke nicht länger sinnvoll ist – da alle diese Netze über das Internet verbunden sind, sobald in jedem von ihnen mindestens ein Rechner online ist. Zero-Trust-Frameworks verlangen daher die Authentifizierung, Autorisierung und kontinuierliche Überprüfung jedes einzelnen Users eines Unternehmensnetzwerks, egal ob intern oder extern. Ein weiterer Trend ist die unternehmensinterne Aufwertung des Datenschutzes zu einer eigenen Disziplin und der Einsatz von Künstlicher Intelligenz (KI).
Das Prinzip „Agile Methoden“ unterscheidet sich jedoch von all diesen Trends, da es sich nicht um eine Einzelmaßnahme, Technologie oder ein Rahmenwerk handelt. Agile Methoden sind vielmehr ein ganzheitliches Prinzip, wie innerhalb eines Unternehmens alle für die Sicherheit relevanten Ebenen und Akteure mit maximaler Effizienz zusammenarbeiten. Dabei werden Frameworks wie Zero-Trust und neue Technologien wie KI mit der Optimierung interner Prozesse, der speziellen Schulung der Mitarbeiter und der Unternehmenspolitik verknüpft.
Um Schutzmaßnahmen auf all diesen Ebenen zu beurteilen, muss zunächst eine präzise Analyse der Risikoszenarien stattfinden. Diese wiederum können nur antizipiert werden, wenn Unternehmen sich vergegenwärtigen, an welchen Punkten sie verwundbar sind. Die Summe all dieser Punkte bezeichnen Experten als Angriffsfläche. Die gesamte Angriffsfläche eines Unternehmens besteht aus der externen und internen Angriffsfläche sowie Drittanbietern und der Lieferkette.
Ebenen der Verwundbarkeit
Die stark zunehmende Nutzung von Public-Cloud-Angeboten, also Tools und Daten auf externen Servern externer Anbieter, vergrößert die klassische externe Angriffsfläche enorm. Hinzu kommt der seit der Corona-Pandemie anhaltende Trend des Homeoffice: Ein ehemals kompaktes und für die IT relativ überschaubares Firmennetzwerk wird durch das Remote-Arbeiten stark ausgedünnt und bietet Cyberkriminellen nahezu unendlich viele, oft nicht einheitlich gesicherte Angriffspunkte.
Schatten-IT, also jede Art von IT-Ressource, die ohne das Wissen und die Genehmigung der eigenen Sicherheitsabteilung genutzt wird (installierte Software, Nutzung bestimmter Websites, Tools – intern und seitens der Partner eines Unternehmens), vergrößert die interne und externe Angriffsfläche. Die Mitarbeiter sind mittels Social-Engineering-Angriffen wie etwa Phishing-E-Mails Ziel von Attacken auf die interne Angriffsfläche. Der Mangel an effektiven Kontrollen und Erkennung von Angriffen, die noch immer vorherrschende Fixierung auf die externe Angriffsfläche und die Gesamtheit dieser Faktoren bei allen Kommunikationspartnern wie Zulieferern, Vertragspartnern und Drittanbietern lassen die Risiken exponentiell wachsen.
Für ein effizientes Risikomanagement sind Schutzmaßnahmen an all diesen verwundbaren Punkten (Mitarbeiter, Prozesse, Technologie, Governance) auf allen Ebenen (extern, intern, Drittanbieter, Lieferkette) eines Unternehmens notwendig. In einer ganzheitlichen Lösung greifen diese Abwehrmechanismen nahtlos ineinander und reagieren unmittelbar und dynamisch auf jede Form der Bedrohung – durch Gegenmaßnahmen, die Teil des zyklischen Systems Schutz, Erkennung und Abwehr sind. Mit einem Wort: agil.
Bedrohungen dynamisch begegnen
Um eine „agile Angriffsfläche“ herzustellen müssen Unternehmen zunächst von punktuellen zu kontinuierlichen Sicherheitstests übergehen. Das ist aber nur der erste Schritt. In einem zweiten sollten Unternehmen unbedingt ein sogenanntes Red Team einrichten. Dieses schlüpft in die Rolle eines Cyber-Aggressors und testet die Sicherheitsmechanismen – und zwar permanent. Nur so gelangen Unternehmen zu einem objektiven externen Blick auf die eigene Angriffsfläche.
Seitens der Technologie bedeutet das: Die Einbeziehung von Sicherheitsaspekten in die CI/CD-Pipeline (kontinuierliche Bereitstellung in der Software-Entwicklung) im Rahmen der Sicherheitsmaßnahmen (Development Security Operations, DevSecOps), Nutzung von Plattformen mit Informationen über Risikoszenarien oder den neuesten Stand im Vulnerability Management (Verwaltung von Schwachstellen) und die Nutzung von sogenannten SIEM/SOC/SOAR-Systemen. Hierbei handelt es sich um Security Operations Center (SOC), Security Information and Event Management (SIEM) und Security Orchestration Automation & Response (SOAR). Mit ihrer Hilfe kann die Angriffsfläche eines Unternehmens verkleinert und schnell auf Bedrohungen und Sicherheitslecks reagiert werden.
In jedem Unternehmen sind Menschen die erste Verteidigungslinie. Bei der Verwaltung der internen Angriffsfläche spielen sie eine entscheidende Rolle, denn sie sind das Ziel von Social-Engineering-Angriffen. Maßgeblich für den Umgang mit solchen Angriffen ist die eindeutige Verteilung von Rollen und Verantwortlichkeiten. Nur so ist das IT-Sicherheitsteam in der Lage, flexibel zu handeln. Darüber hinaus empfehlen sich die Definition von Prozessen zur Überprüfung der Hersteller von Software, Tools und Programmen und geeignete Standardverfahren (Standard Operating Procedures) für Sicherheitsverletzungen.
Agile Methoden im Angriffsflächenmanagement
Agile Methoden in der Softwareentwicklung sind revolutionär: Eine Software, deren Entwicklung sonst Monate dauert, ist nun in wenigen Wochen einsatzbereit. Agile Methoden vereinen verschiedene Teams und Techniken, um Schnelligkeit und Effizienz zu maximieren. Das Kernprinzip: Menschen, Prozesse und Technologie arbeiten synchron und schnell zusammen. In der Praxis wird ein fünfteiliger Zyklus implementiert:
Analysieren:
In der ersten Phase erstellt ein Unternehmen eine Analyse seiner Angriffsfläche. Dies gelingt mithilfe der Informationen diverser Plattformen, durch kontinuierliches Scannen der eigenen Angriffsfläche und der Implementierung von DevSecOps. Auf diese Weise erhalten Unternehmen einen klaren Überblick über ihre Sicherheitslage und Widerstandsfähigkeit.
Fokussieren:
Sobald die Unternehmen ihre Angriffsfläche und die entsprechenden Schwachstellen kennen, können die erforderlichen Kontrollorgane eingerichtet werden. Sie bestehen aus Mitarbeitern, den erforderlichen Technologien und den entsprechenden Prozessen. Diese Kombination soll gewährleisten, dass die Teams im Falle einer Sicherheitslücke agil – das heißt schnell, dynamisch und effizient – handeln können. Im Idealfall führen die Sicherheitsabteilungen analytische und kontextbezogene Erkenntnisse zusammen und organisieren sich nach dem sogenannten Pareto-Prinzip: 80 Prozent der Ergebnisse können mit 20 Prozent des Gesamtaufwandes erreicht werden. Das hilft Unternehmen, sich auf die wirklich wichtigen Dinge zu konzentrieren.
Quantifizieren:
Eine angemessene Risiko-Quantifizierung ist unabdingbar bei der Wahl zwischen einer Vielzahl von Mitigationsmaßnahmen. Sie gelingt auf Grundlage strategischer und operativer Cyber-Datenanalyse. So bereiten Unternehmen sich darauf vor, im Ernstfall schnell zu handeln. Außerdem sollten Unternehmen Cyberrisiken unbedingt hinsichtlich ihres potenziellen Schadens analysieren – und diesem einen Geldwert zuordnen. Nur so lassen Risiken sich empirisch gegen Sicherheitsinvestitionen abwägen und in der Unternehmensbilanz (Return of Investment, ROI) ausdrücken.
Reagieren:
Bei der Implementierung Agiler Methoden spielen die Mitarbeiter eine wichtige Rolle. Sie benötigen die richtigen Fähigkeiten, Technologien und Instrumente, um immer dynamisch und unmittelbar reagieren zu können und auf jedes Szenario vorbereitet zu sein. Die richtige Ursachenanalyse und das passende Governance-Modell helfen Unternehmen, ihre Angriffsfläche agil zu verwalten.
Kompensieren:
Dies ist die letzte Phase. Die IT-Sicherheitsteams verwalten die Angriffsfläche ihres Unternehmens mithilfe ihrer Informationen zur Bedrohungslage. Diese wiederum erhalten sie durch ihre Abwehrmaßnahmen im Rahmen ihres Governance-Modells. In dieser Phase können einzelne Elemente der agil verwalteten Angriffsfläche gelegentlich heruntergefahren werden – der gesamte Zyklus aus Analysieren, Fokussieren, Quantifizieren, Reagieren und Kompensieren muss aber kontinuierlich weiterlaufen.
Ein Blick in die Zukunft
Durch die Implementierung Agiler Methoden haben Unternehmen die Möglichkeit, sich vom traditionellen Angriffsflächenmanagement zu lösen, das bisher auf die Überwachung des Dark Web beschränkt war. Von Algorithmen gestützte ASM-Prozesse (Abstract State Machine) identifizieren Bedrohungen, auf die gut geschulte und ausgerüstete Mitarbeiter dynamisch reagieren können. Die Auswertung der Bedrohungsdaten aus verschiedenen Systemen macht es Unternehmen leicht, Risiken zu bewerten und Strategien zur Risikominderung zu entwickeln.
Während sich die aktuellen Techniken stark auf die technologischen Aspekte von ASM-Risikoerkennung konzentrieren, hilft der Ansatz von Tech Mahindra Unternehmen, ASM ganzheitlich zu betrachten. Bisher gibt es zwar Einzelkomponenten agiler Risikoprävention, eine Kombination aus den richtigen Tools, Prozessen und Analysen aber stellt sicher, dass die Ziele Agiler Methoden vollumfänglich erreicht werden.
Kunal Purohit, Chief Digital Services Officer (CDSO), Tech Mahindra