Es lässt sich auf eine einfache Formel herunterbrechen: Mehr IT, mehr IT-Sicherheitsvorfälle. Und sind wir mal ehrlich, die Bereitschaft hieran etwas zu ändern, hält sich in Grenzen. Aber was könnte denn überhaupt getan werden, vorher, nachher oder währenddessen, um Schäden zu minimieren?
Der Inhalt im Überblick
Nackte Zahlen
Weil Zahlen die besseren Wörter sind, riskieren wir doch mal einen Blick. Immerhin brauchen wir belastbare Informationen, um unser Spielfeld abzustecken. Laut einer bitkom-Umfrage von Ende 2019 waren mindestens 75% der Unternehmen in Deutschland von Datendiebstahl, Industriespionage oder Sabotage betroffen. Bei 70% der Angriffe wurden durch digitale Angriffe Schäden verursacht – insgesamt über 102 Mrd. (!) Euro. 2017 wurden „nur“ 50% der Unternehmen angegriffen, bei einer Schadensquote von 43%. Beschönigen wir lieber nichts: jedes Unternehmen muss sich gedanklich darauf einstellen, früher oder später Opfer einer schadensträchtigen Attacke zu werden. An der Wahrscheinlichkeit, dass dieser Fall eintritt, lässt sich aber arbeiten.
Präventive Maßnahmen
Zur Steigerung der IT‑Sicherheit sollten präventiv IT‑Sicherheitslücken identifiziert werden. Diese Aufgabe einem Angreifer zu überlassen, ist keine gute Idee.
- IT-Schwachstellenanalysen und Penetrationstests sind hier ein guter Einstieg. Es empfiehlt sich, die Durchführung solcher Tests jährlich zu wiederholen. Das Risiko eines Angriffs kann sich dadurch deutlich verringern, da mehr als nur oberflächlich getestet wird.
- Zusätzliche Sicherheit lässt sich durch eine IST-Analyse der IT-Infrastruktur und Optimierung dieser gewinnen (technische Maßnahme).
- Auch der Faktor Mensch spielt eine entscheidende Rolle: Schulungen, Trainings, Workshops und Bootcamps eröffnen die Möglichkeit, potentielle IT-Sicherheitsvorfälle zu trainieren, Risiken und Gefahren zu erkennen und in der Folge zu mindern.
All diese Maßnahmen können selbst initiiert oder über (Rahmen)Verträge mit externen Dienstleistern eingeholt werden. Die Vorteile der zweiten Option liegen in der Unparteilichkeit des Dritten, seiner Verfügbarkeit im Bedarfsfalle und seiner Expertise.
Adhoc Maßnahmen – Incident Response
Sollte es zu einem IT-Sicherheitsvorfall kommen, ist es wichtig, schnell und richtig zu reagieren. Wer im Vorwege bereits einen Incident-Response-Plan und/ oder einen Notfallplan erstellt hat, wird Ausfallzeiten und Schäden so gering wie möglich halten können. In der Regel führt ein Angriff zunächst einmal zu Chaos im Unternehmen und Nervosität bei den Beteiligten. Dabei ist es wichtig, Ruhe zu bewahren und besonnen zu handeln. Die Erstellung eines Planes wird daher dringend empfohlen.
Da Angriffssituationen sehr mannigfaltig sein können, schauen wir uns beispielhaft einen Angriff über das Internet an. Klar, es gilt alle ungewöhnlichen Aktivitäten im Netzwerk zu erkennen und diese schnellstmöglich einzudämmen. Dabei interessieren insbesondere die folgenden Indikatoren:
- eingesetzte Schadsoftware
- laterale Bewegungen
- mögliche Datensammlung und
- mögliche Datenexfiltration
Nach einer Analyse können durch die gewonnenen Erkenntnisse die Tragweite des Angriffs bestimmt und kompromittierte Systeme identifiziert werden. Allerdings wird es nur mit tiefgreifenden Kenntnissen möglich sein, einen Angriff einzudämmen, Fehler zu beheben, Systeme zu bereinigen und den Normalzustand wiederherzustellen. Übrigens: zeitnahe Informationen sind von besonderem Interesse, wenn Meldungen an z.B. Behörden abgegeben werden müssen.
Reaktive Maßnahmen
Das Positive vorweg: aus Fehlern lässt sich lernen. Und das sollte tatsächlich ernst genommen werden. IT-Sicherheitsvorfälle sind genauestens nachzubereiten. Dazu gehört, betroffene Systeme genau zu untersuchen, damit der Tathergang in Gänze rekonstruiert wird. Auch das Netzwerk sollte in dieser Phase genau im Auge behalten werden. Zum einen, um sicherzustellen, dass nichts übersehen wurde und zum anderen, dass ein erneuter Angriff keinen Erfolg haben wird.
Sämtliche Schritte und Informationen sind zu dokumentieren. Ist der Normalzustand des Netzwerkes wiederhergestellt, ist es sinnvoll, die oben genannten (und wahrscheinlich ausgelassenen) präventiven Maßnahmen durchzuführen. Denn so hart es klingt aber: Nach dem Vorfall ist vor dem Vorfall.
