:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISX 2021 Security Conference Eine proaktive Reaktion auf Angriffe vorbereiten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Jüngste Ereignisse haben gezeigt, dass es möglich ist, wirksam auf eine Krise zu reagieren. Diejenigen, die erfolgreich sind, nutzen die Erfahrungen der Vergangenheit, um ihre Bereitschaft für unvermeidliche zukünftige Risiken proaktiv zu entwickeln. Die Maßnahmen, die sie ergreifen, sind präventiv und kontinuierlich. Unternehmen, die sich mit den Auswirkungen eines Cyberangriffs auseinandersetzen müssen, können viel von dieser "vorbereiteten" Denkweise lernen.
Cyberangriffe sind geschäftliche Realität. Laut einer Bitkom-Studie kostet Cyberkriminalität Unternehmen Milliarden. Die Auswirkungen des Angriffs und der verursachte Schaden hätten jedoch gemildert werden können. Je nachdem, wie ein Unternehmen auf Vorfälle reagiert und Krisenmanagement betreibt, kann ein Angriff mit dem Potenzial, die Geschäftskontinuität zu stören, geringe Auswirkungen haben. Dies kann erreicht werden, indem Vorfälle antizipiert werden und eine Reaktion auf spezifische Bedrohungen, deren Wahrscheinlichkeit und die Motive des Angreifers entwickelt wird. Es ist niemals das Ergebnis eines defensiven Arsenals an Technologien allein.
Bereits früh im IR-Lebenszyklus mit IR beginnen
Incident Readiness, also das ständige Vorbereitet sein auf eine mögliche Kompromittierung, sollte bereits früh im Incident Response (IR) Lebenszyklus integriert werden, so dass die Geschäftskontinuität während eines Angriffs aufrechterhalten werden kann. Sie ist sowohl die Bewertung der aktuellen Sicherheitslage eines Unternehmens als auch eine Reihe von Maßnahmen. Letztere können, wenn sie verbessert werden, die allgemeine Widerstandsfähigkeit des Unternehmens verbessern.
Incident Readiness kann mit der "Vorbereitungsphase" im IR-Lebenszyklus (siehe Bild) in Einklang gebracht werden und beeinflusst alle nachfolgenden Phasen. Sie ist breit angelegt und so konzipiert, dass sie so weit wie möglich vor einem Vorfall beginnt; diese Vorbereitungsphase kann Monate oder sogar Jahre vor einem Vorfall stattfinden. Obwohl diese Vorbereitungsphase für die IR-Praxis von grundlegender Bedeutung ist, wird sie häufig übersehen.
Nach dem Angriff ist vor dem Angriff
Die IR-Unit von F-Secure hat mehrere Vorfälle untersucht und seziert. Nach umfassenden forensischen Untersuchungen dauerte die Behebung von mehreren Vorfällen ohne adäquate Vorbereitung eines Vorfalls mehrere Iterationen. Dies führt bei Unternehmen zu langen Ausfallzeiten, die sich auf den Geschäftsbetrieb auswirkten. Die Untersuchungen ergaben auch, dass Angreifer die Unternehmen ein Jahr vor Erreichen seiner Ziele angriffen haben. In dieser Zeit blieben sie auf mehreren wichtigen Systemen persistent und sammelten systematisch Daten, die später als Grundlage für ihre endgültigen Angriffe dienen sollten.
Im Nachhinein lassen sich drei wichtige Erkennungsereignisse feststellen. Diese stellen den Punkt dar, an dem die Prozesse zur Reaktion auf Vorfälle hätten eingeleitet werden können, was letztendlich zu einem anderen Ergebnis für Unternehmen ohne Vorbereitung hätte führen können.
Der Reaktionsansatz von Unternehmen wird anhand der folgenden wichtigen Erkennungsereignisse, der jeweils ergriffenen Reaktionsmaßnahmen und der anschließenden Auswirkungen dargestellt.
Reaktive Reaktion
Nach Abschluss der Untersuchungen werden kritische Lücken in der Bereitschaftshaltung von Unternehmen ohne Vorbereitung festgestellt. Zumindest die folgenden hochrangigen Bereitschaftsmaßnahmen könnten die Auswirkungen von Vorfällen dieser Art verringern:
- Erstellung eines IR-Plans, in dem die einschlägigen Vorschriften, Schwellenwerte, Schweregrade von Vorfällen, Eskalationsmatrizen sowie die Rollen und Verantwortlichkeiten bei einem Cybersicherheitsvorfall aufgeführt sind.
- Entwicklung von IR-Handbüchern mit detaillierten Prozessabläufen für verschiedene Vorfallskategorien; diese würden das Vorfallsmanagement auf globaler Ebene und Vorfallskategorien auf regionaler Ebene umfassen.
- Schulung von regionalen Vertretern als Ersthelfer, um ihre Verantwortung für die Sicherung von Beweisen unter geeigneten Umständen zu unterstreichen. Dadurch würden sie auch in die Lage versetzt, eine erste Analyse der gesammelten Daten durchzuführen.
- Simulationen zur Reaktion auf Vorfälle, die systematisch für jede Region entwickelt und durchgeführt werden, um die Zustimmung der Regionalbüros zum Reaktionsplan und zum Playbook zu fördern.
Wir können nun überlegen, wie eine proaktive Reaktion für Unternehmen ohne Vorbereitung hätte aussehen können, wenn die oben genannten Elemente zum Zeitpunkt des Vorfalls vorhanden gewesen wären:
Proaktive Reaktion
Unternehmen, die der Incident Readiness einen hohen Stellenwert einräumen, sind besser gerüstet, um die Barrieren zwischen Advanced Persistent Threats (APTs) und ihren Zielen zu erhöhen, bevor es zu einer Kompromittierung kommt. Solche Bedrohungen sind systematisch und erfordern ausreichende Ressourcen, um erfolgreich zu sein. Durch die Aufbewahrung von wichtigen Daten und die Entwicklung von Erkenntnissen zu einem frühen Zeitpunkt in der Angriffskette verringern die von Angreifern benötigten Ressourcen den Wert ihrer Hartnäckigkeit. Anstatt sich auf Prävention zu verlassen und reaktiv zu reagieren, wenn diese fehlschlägt, schreckt dieser proaktiver Ansatz Bedrohungsakteure ab, indem es Unternehmen zu unwirtschaftlichen Zielen macht.
Vorbereitung ist mehr als nur die halbe Miete
Die Fähigkeit eines Unternehmens, die Geschäftskontinuität während eines Cybervorfalls aufrechtzuerhalten und etwaige Verluste in der Zeit danach zu beheben, hängt von der Handhabung des IR-Lebenszyklus ab. Dazu gehört die Vorbereitungsphase, in der kontrollierte und strategische Maßnahmen ergriffen werden können, die auf den Erkenntnissen aus Übungen, fähigkeitsspezifischen Bewertungen und echten Angriffen basieren.
Die untersuchten Vorfälle zeigen, dass die Vorbereitung über die Bereitstellung, Konfiguration und Prüfung von Werkzeugen hinausgeht. Geeignete Werkzeuge sind zwar unerlässlich, können aber allein nicht die Bereitschaft für einen Vorfall gewährleisten. Stattdessen sorgt ihre Einbeziehung zusammen mit dem strategischen Management von Menschen und Prozessen – durch ständig verbesserte IR-Pläne, Playbooks und vereinfachte Verfahren – für eine effektive Reaktion.
Die operative Widerstandsfähigkeit während eines realen Vorfalls ist das Ergebnis eines geschickten Risikomanagements und der technischen Fähigkeiten des CSIRT, zusätzlich zur Leistung der bereits vorhandenen Tools.
Für das interne CSIRT, das während einer Kompromittierung an der Front steht, kann eine proaktive Reaktion dazu beitragen, ein Burnout bei Mitarbeitern zu vermeiden und die Kommunikationskanäle mit dem Führungsteam zu verbessern. Eine solche abteilungsübergreifende Zusammenarbeit ist ein Schritt in Richtung Sicherheit als Geschäftspriorität.
Vorfälle sind in der Tat eine geschäftliche Überlegung und keine rein technische. Die Aufmerksamkeit von Kunden, Partnern, Aufsichtsbehörden und Medien, die sich aus einem Vorfall ergibt, ist ein Grund dafür, Sicherheitsteams zu entwickeln, die für die Abwehr moderner Bedrohungen gerüstet sind, die sich ständig weiterentwickeln und hartnäckig sind. Der Wert von Investitionen in Incident Readiness kann in diesem Zusammenhang den leitenden Interessengruppen als Weg zu mehr Glaubwürdigkeit, Kontinuität und Wachstum dargestellt werden.
Über den Autor: Klaus Jetter ist Regional Vice President bei F-Secure.
(ID:47598250)
:quality(80)/images.vogel.de/vogelonline/bdb/1903000/1903040/original.jpg "66 Prozent der von IDC Befragten denken, auch ohne externen Dienstleister künftige IT-Sicherheitsbedrohungen bewältigen zu können. (Mangostar-stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934609/original.jpg "Der schlechteste Zeitpunkt, um festzustellen, dass Backups nicht funktionieren, ist unmittelbar nach einem Cyber-Angriff – deshalb muss die Datensicherung vorher getestet werden. (Gorodenkoff Productions OU)")