Cyberresilienz im Zeitalter der dezentralen IT-Umgebungen

Cyberattacken auf Unternehmen sind seit 2020 dramatisch angestiegen. Wer seine Firma schützen will, braucht mehr als eine Firewall.

Während sich nach Corona das öffentliche Leben, unser Gesundheitswesen, Lieferketten- und Verkehrsinfrastruktur derzeit normalisieren, geht der Wandel bei IT-Netzwerken von Unternehmen weiter. Diese mussten während der Pandemie auf die explodierende Anzahl von Remote-Mitarbeitern umgestellt werden – und dabei ist es geblieben. Einerseits wollen Angestellte nicht aufs Homeoffice verzichten, andererseits werden riesige, kostenintensive Büroflächen für viele Firmen zunehmend überflüssig. Diese Umstellung hat die Angriffsfläche für Cyberattacken jedoch exponentiell vergrößert: Das Risiko eines Cyberangriffs ist heute nicht eine Frage des Ob, sondern des Wann. Unternehmen haben ihre Sicherheitsmaßnahmen in den vergangenen zwei Jahren zwar verstärkt. Doch die derzeitigen Maßnahmen reichen nicht aus. Wer sich angemessen mit den Risiken der Cyberkriminalität auseinandersetzen will, muss sich mit Cyberresilienz auseinandersetzen.

Dass Pandemie und die globale Zunahme von Cyberattacken zeitlich zusammenfallen, ist kein Zufall: Vor Corona war die IT-Infrastruktur der meisten Unternehmen auf einen kompakten (geografischen) Raum beschränkt. Es galt, die Server, Rechner und Internetverbindung in einem bestimmten Gebäude zu sichern, was für die IT eine überschaubare Aufgabe war. Mit der Verbreitung des Homeoffice haben für die IT-Sicherheit die fatalen Zwanzigerjahre begonnen: Jeder einzelne Laptop, jedes Pad und jedes Handy, jedes Netzwerk, in dem Mitarbeiter sich damit bewegen, ist seither ein potenzielles Einfallstor für Cyberattacken. Wenn die digitalen Werte eines Unternehmens früher die Mona Lisa waren, sind sie heute Versailles.

Risiken und Regulatorik: Cyberstrategien als Must-have

Eine Untersuchung der International Data Corporation (IDC) hat ergeben, dass 2022 mehr als 30 Prozent der Sicherheitsverletzungen bei Unternehmen von Malware verursacht wurden. Von diesen Vorfällen wiederum waren 70 Prozent Ransomware-Angriffe. Sogar 90 Prozent der Unternehmen insgesamt sind schon einmal von Malware angegriffen worden – und von diesen Angriffen waren 87 Prozent erfolgreich. Das heißt, die Malware gelangte in die IT-Umgebung. Bei einem Drittel aller Unternehmen blockierte ein Cyberangriff im vergangenen Jahr den Zugriff auf die eigenen Daten und Systeme. Trotz der Schlagzeilen über Cyberangriffe und die weltweite Zunahme von Ransomware sind 34 Prozent der Unternehmen bis heute nicht auf derartige Vorfälle vorbereitet.

Vorschriften und Standards der EU machen Cybersicherheit in Deutschland und Europa verpflichtend: Durch die NIS2-Richtlinie, „Cyber Resilience Act“ und „Cybersecurity Act“ soll ein europäisches Cyber-Security-Framework zur Zertifizierung von Produkten, Dienstleistungen und Prozessen etabliert werden. Wenn Unternehmen der EU-Regulatorik nicht hinterherlaufen, sondern sie antizipieren wollen, sollten sie sich dabei am besten an Best-Practice-Richtlinien der Europäischen Cybersicherheitsagentur ENISA oder Cyber-Security-Taskforce CERT-EU orientieren. Diese bieten wertvolle Orientierung zu Risikomanagement und Bedrohungsanalyse und Hilfe bei Sicherheitslecks. Wer solche Rahmenwerke und Standards frühzeitig antizipiert, anstatt zu reagieren, kann sich gegenüber der Konkurrenz schnell Wettbewerbsvorteile sichern.

Jenseits gesetzlicher Vorgaben liegt es jedoch im ureigenen Interesse von Unternehmen, sich gegen Cyberkriminalität zu schützen. Ransomware-Angriffe sind besonders heimtückisch, weil sie unbemerkt in die IT-Umgebung gelangen. In der Regel verlangen Cyberkriminelle für die Rückgabe der Daten ein beträchtliches Lösegeld. Natürlich ist es wünschenswert, dass die Cybersicherheitsmaßnahmen eines Unternehmens so effektiv sind, dass die Resilienzmaßnahmen nicht zur Anwendung kommen müssen. Doch Firmen können sich kaum darauf verlassen. Ist ein Angriff erfolgreich und liegt keine Resilienzstrategie vor, sind die Folgen höchstwahrscheinlich verheerend: Verliert ein Unternehmen die Kontrolle über die eigenen Systeme und den Zugriff auf seine Daten, hat das in der Regel Off-Time fürs Business zur Folge und diese kann – je nach wirtschaftlicher Lage – schnell existenzbedrohlich werden.

Aus dem Reich der Fabel: Cyber-Irrtümer

Selbst wenn Unternehmen über Sicherungs-, Wiederherstellungs- und Ausfallsicherung verfügen, testen sie diese oft nicht regelmäßig. Außerdem versäumen es Unternehmen nicht selten, sich durch Aktualisierung ihrer Resilienzstrategie an die aktuelle Bedrohungslage anzupassen. Eine statische Strategie ist schnell veraltet. Flexibilität ist von entscheidender Bedeutung, um Anfälligkeiten und Schwachstellen zu erkennen, bevor es zu einem echten Angriff kommt. Ein weiterer häufiger Fehler im Bereich der Cyber-Resilienz besteht darin, Sicherheits- und Präventivmaßnahmen nicht als Kernelement der Unternehmensstrategie zu betrachten. Dies kann vor allem bei Digitalisierungsprojekten große Risiken mit sich bringen.

Außerdem wird die Bedeutung von Mitarbeiterschulungen und -weiterbildung unterschätzt. Ohne eine gut informierte Belegschaft können selbst die robustesten technischen Schutzmaßnahmen unwirksam sein. Ein weiterer häufiger Fehler ist die ausschließliche Konzentration auf Präventionsmaßnahmen und die Vernachlässigung von Früherkennung und Krisenintervention. In der sehr dynamischen Bedrohungslandschaft von heute müssen Unternehmen davon ausgehen, dass es zu Sicherheitsverletzungen kommen wird – und für diesen Fall Verteidigungsstrategien vorhalten.

Und schließlich kann eine unzureichende Zusammenarbeit und Kommunikation zwischen den verschiedenen Teams innerhalb eines Unternehmens die Wirksamkeit der Cyber-Resilienz beeinträchtigen. Cybersicherheit sollte ressortübergreifend angelegt sein, sodass IT- und Rechtsabteilung sowie die Geschäftsleitung beteiligt sind, um im Falle eines Cybervorfalls koordinierte Gegenmaßnahmen einzuleiten. Diese Herausforderungen können durch die Zusammenarbeit mit den richtigen IT-Dienstleistern bewältigt werden. Deren Fachwissen kann Unternehmen dabei helfen, eine umfassende Cyber-Resilienzstrategie zu entwickeln, die Prävention, Früherkennung und Gegenmaßnahmen umfasst.

Der nächste Evolutionsschritt: Cyber-Recovery

Das entscheidende Element einer starken Resilienzstrategie ist die Cyber-Recovery (CR) – analog zu der traditionellen Desaster-Recovery (DR) bei katastrophalen Ereignissen wie Serverabstürzen oder Stromausfällen. Cyber-Recovery-Lösungen sind der nächste Evolutionsschritt, wenn es darum geht, die Geschäftsfähigkeit nach einem Sicherheitsleck wiederherzustellen. Cyber-Recovery-Lösungen ermöglichen es Unternehmen, nach einem Cyberangriff so schnell wie möglich den Zugriff auf kritische Daten, Systeme und IT-Infrastrukturen und deren Funktionalität zurückzuerlangen. Darüber hinaus wird sichergestellt, dass diese kritischen Daten, Systeme, Anwendungen und IT-Infrastruktursoftware frei von Malware-Infektionen und vor künftigen Cyberangriffen sicher sind.

Ein sogenannter Cyber-Recovery-Tresor ist das Mittel der Wahl, um kritische Daten zu kopieren und von der Angriffsfläche zu entfernen. Die Daten werden in einem geschützten Teil der IT-Umgebung physisch isoliert und verlangen die separate Authentifizierung mit Anmeldeinformationen und Multifaktorauthentifizierung (MFA) für den Zugriff nach dem Rettungseinsatz. Minimum-Viable-Entity (MVE) und Minimum-Viable-Business (MVB) sind Konzepte für Wiederherstellung und Ausfallsicherheit, die den Desaster-Recovery-Strategien ähneln: Hier ermitteln die IT-Abteilungen zunächst die kritischen Systeme, Anwendungen und Daten, die erforderlich sind, um den Betrieb wiederaufzunehmen. MVE und MVB gehen jedoch noch weiter: Sie identifizieren die kritischsten, für die Wertschöpfung des Unternehmens unverzichtbaren Datensätze jenseits der traditionellen DR-Priorisierung und entwerfen eine Wiederherstellungsstrategie für den Katastrophenfall.

Die Nutzung der Recovery-Funktionen hängt maßgeblich davon ab, wie die Sicherheitsanbieter ihren Service strukturieren – und ob sie damit den Bedürfnissen des Kunden gerecht werden. Die Aufnahme von Incident-Response-Aktivitäten in den Cyber-Recovery-Prozess ist von zentraler Bedeutung. Dadurch können Unternehmen die Art und das Ausmaß des Cyberangriffs analysieren und über die besten Wiederherstellungsmaßnahmen entscheiden.

Ein High-End-Cyber-Recovery-Prozess läuft in folgenden Schritten ab:

1. Erkennen des Angriffs
2. Physische Isolierung des Angriffs, um eine weitere Ausbreitung zu verhindern, ggf. Abschaltung der Systeme
3. Forensische Analyse
   • Bestimmung der Art des Angriffs
   • Bestimmung des Zeitpunkts des Angriffs
   • Identifizierung aller betroffenen Systeme
4. Einrichtung isolierter Sandbox

• Wiederherstellung der Daten in der Sandbox
• Scannen der Daten und Systeme auf Malware
• Scannen der Backups auf Malware
• Ermittlung des letzten nicht kompromittierten Datensatzes (kann je nach Dateisystem oder Datenbank variieren)
• Bestätigung des zur Wiederherstellung erforderlichen Datensatzes

5. Bereitstellung einer Wiederherstellungsumgebung (kann Hardware erfordern)
6. Übergabe der Wiederherstellungsumgebung an die Produktion
7. Bestätigung der Wiederherstellung
8. Wiederaufnahme des Betriebs

Klartext statt Fachchinesisch

Bei der Budgetierung von Sicherheitsmaßnahmen kann die Rolle interner Kommunikation entscheidend sein: IT-Sicherheitsverantwortliche sollten in einer Sprache kommunizieren, die die Geschäftsleitung versteht, und den Gebrauch von Fachjargon vermeiden. Im Zweifelsfall ist nichts anschaulicher als eine Zahl: „Wenn wir diese Sicherheitslücke nicht schließen, kostet es die Firma bei einem Leck 100 Millionen Euro.“ Die Unterstützung von Vorstand oder Geschäftsleitung für Cybersicherheit wird einfacher erreicht, wenn das Unternehmen diese als einen Faktor betrachtet, der auch für das Vertrauen der Kunden ausschlaggebend ist. Zudem haben Unternehmen mit einem Incident-Response-Team im Durchschnitt etwa zwei Millionen Euro weniger Kosten als Unternehmen ohne ein solches.

Unternehmen, die sich für eine ganzheitliche Cybersicherheits- und Recovery-Strategie entscheiden, haben die Wahl: Natürlich können sie ihre Sicherheitsmaßnahmen intern organisieren. Das kostet sehr viel Zeit, Manpower und bringt hohe Investitionshürden mit sich. Besonders in Zeiten des Fachkräftemangels in Deutschland und Europa scheint dieses Vorgehen weder schnell noch effizient. Und Schnelligkeit ist auf dem Gebiet der Cybersicherheit so wichtig wie in kaum einer anderen Branche. Die Zusammenarbeit mit einem vertrauenswürdigen Partner mit Erfahrung in der Entwicklung und Implementierung von Cyber-Recovery- und Cyberresilienz-Lösungen hat viele Vorteile: Individuelle, auf das jeweilige Unternehmen zugeschnittene Strategien, große Expertise aufgrund internationaler Vernetzung und Auseinandersetzung mit den neuesten Risikoszenarien, vor allem aber: Skalierbarkeit. Denn nur mit Hilfe eines externen Sicherheitspartners können Unternehmen immer auf die Services zurückgreifen, die für ihre momentane Größe, Kundenanzahl und den Umfang ihrer Datensätze angemessen sind.

Im Bereich der Cybersicherheit und -Resilienz bietet Tech Mahindra ein fortschrittliches Sicherheitspaket, das 24 Stunden am Tag und 365 Tage im Jahr in Alarmbereitschaft ist. So werden Bedrohungen bewertet und erkannt, um sie zu verhindern und auf Sicherheitslecks zu reagieren. Dazu gehören die Sicherheit von Anwendungen und der Cloud, Cyber-Beratung, Risikoanalyse und Datenschutz. Diese Maßnahmen ermöglichen es Unternehmen, ihre KPIs (Key Performance Indicators) und KRIs (Key Risk Indicators) effektiv auszuwerten und sie mit Geschäfts- und Cyber-Risikostrategien abzustimmen.

BIP-Booster? Mit Sicherheit!

Vor dem Hintergrund einer alternden Bevölkerung und des daraus entstandenen Fachkräftemangels werden Automatisierung und Digitalisierung in Deutschland immer wichtiger. In ihrer Wirtschaftsstudie „Stimulating Digital Adoption in Germany“ kommt die renommierte Unternehmensberatung McKinsey zu dem Ergebnis, dass Automatisierung das Bruttoinlandsprodukt zwischen 2014 und 2030 um durchschnittlich 2,4 Prozent pro Jahr steigern wird. Zudem betrachten 55 Prozent der deutschen Unternehmen die Trends Automatisierung und Digitalisierung als ausnahmslos positiv. Demgegenüber steht jedoch eine Digitalisierungsquote von bisher nur zehn Prozent (vgl. USA 18 Prozent, EU 12 Prozent). Deutschland und Europa stehen also erst am Anfang einer Digitalisierungsrevolution in den kommenden fünf bis zehn Jahren: Neben dem Bildungsapparat, Behörden vom Arbeitsamt bis zur Führerscheinstelle und dem öffentlichen Nah- und Fernverkehr gehört dazu vor allem die Energieinfrastruktur: Der Umstieg auf alternative Energien verlangt die komplette Digitalisierung des Stromversorgungsnetzes – und vergrößert damit die Angriffsfläche der kritischen Infrastruktur in einem nie dagewesenen Ausmaß.

Unternehmen, Behörden und öffentliche Einrichtungen tun gut daran, von Anfang an eine konsistente und ganzheitliche Cybersicherheitsstrategie in ihren Digitalisierungsprozess zu implementieren.

Mukul Dhyani, Senior Vice President & Business Head, Continental Europe at Tech Mahindra