5 Minuten Lesezeit 9 Dezember 2019
ITler konfiguriert Server in Rechenzentrum

Datenklau: Warum eine Kehrtwende der Verteidigungsstrategie gefragt ist

Autoren

Bodo Meseke

Partner, Forensic & Integrity Services, Chief Technology Officer I Deutschland, Schweiz, Österreich

Ist erfahrener Spezialist für forensische Technologien und bekämpft Wirtschaftskriminalität und Cyberangriffe weltweit. Er unterstützt Mandanten beim Schutz ihres geistigen Eigentums.

Lorenz Kuhlee

Associate Partner, Forensic & Integrity Services, Leiter Privacy und Cyber | Deutschland

Nach einem Cyberangriff ist vor einem Cyberangriff. Jedes Unternehmen sollte eine umfassende IT-Sicherheitsstrategie erarbeitet haben.

5 Minuten Lesezeit 9 Dezember 2019

Nahezu jedes Unternehmen wird heute angegriffen, Schutzschilde sind überwindbar. Eine gute digitale Verteidigung muss daher wandelbar sein.

IT ist heute längst nicht mehr nur ein Werkzeug, um datenintensive Geschäftsprozesse im Unternehmen zu unterstützen. Im Zeitalter der Digitalisierung ist sie unverzichtbar, von ihrer Funktionalität, Schnelligkeit und Zuverlässigkeit hängt das gesamte Business ab.

Das Risiko für Daten-Diebstahl wächst rasant

Das macht sie umso attraktiver für Angreifer: Für sie ist die IT-Infrastruktur eines Unternehmens wie ein Fluss, auf dessen Grund ein vielfältiges Angebot an Edelmetallen lockt, möglichst einfach geschürft zu werden.

Daten sind das Gold jedes Unternehmens. Sie wecken unterschiedliche Begehrlichkeiten bei Angreifern, je nachdem ob sie ideologisch, politisch, oder einfach nur kriminell motiviert sind. Egal aus welchem Lager, heute müssen sich Unternehmen fast immer gegen perfekt organisierte und global vernetzte Gruppen verteidigen. Zum Teil unterstützen sogar staatliche Stellen eines Landes beim Ausspionieren für sie lukrativer Informationen in Unternehmen oder Behörden anderer Länder.

Ein riesiger Schattenmarkt im Darknet bietet modernste Cyberangriffswerkzeuge, deren Preis wie im klassischen Versandhauskatalog zum Beispiel nach Wirksamkeit oder Reichweite gestaffelt ist.

Welche Faktoren den Datenklau heute begünstigen

Was die Wahrscheinlichkeit eines Angriffs heute weiter erhöht: Man muss kein Hacker, Tüftler oder Programmierer mehr sein, um gefährliche Angriffe auf wertvolle Daten zu starten. Ein riesiger Schattenmarkt im Darknet bietet modernste Cyberangriffswerkzeuge, deren Preis wie im klassischen Versandhauskatalog beispielsweise nach Wirksamkeit oder Reichweite gestaffelt ist. Und wem sogar das noch zu kompliziert ist, der kann sich mit dem nötigen Kleingeld komplette Angriffsszenarien als Dienstleistung bestellen.

Zwei weitere Faktoren, die Angreifern in die Karten spielen, sind der Einsatz von öffentlichen Clouds und das Internet der Dinge (IoT). Die Integration von Clouds eliminiert die einst klaren Wege zwischen Nutzer und Server. Damit werden auch klassische Firewalls, die diesen Weg bewachen sollten, leicht umgehbar. Und mit dem IoT kommen neue Endgeräte in das Netz, für die es noch keine etablierten Sicherheitsstandards gibt. Das öffnet „Hintertüren“ für Datenräuber und führt zu einer massiven Vergrößerung der Angriffsfläche. 

Digitale Angriffe auf Unternehmen

97 %

der befragten Führungskräfte erwarten eine steigende Gefahr durch Cyberangriffe und Datenklau.

Das Ergebnis dieser Entwicklung ist bereits deutlich zu sehen: 40 Prozent der Unternehmen haben der EY Datenklaustudie zufolge in den vergangenen drei Jahren konkrete Hinweise auf Cyberangriffe beziehungsweise Datenklau entdeckt. Etwa jedes vierte Unternehmen nahm sogar mehrfache Cyberangriffe beziehungsweise Datenklauversuche wahr. Dabei werden viele Angriffe gar nicht, zu spät oder nur zufällig entdeckt. Die Täter bleiben meist unerkannt. Für die Zukunft ihres jeweiligen Unternehmens erwarten 97 Prozent der befragten Führungskräfte eine steigende Gefahr durch Cyberangriffe und Datenklau.

Sicherheit muss neu gedacht werden

Lange Zeit fokussierte die Verteidigungsstrategie in der IT darauf, die Außengrenzen des Netzwerks, den sogenannten „Perimeter“, zu sichern. Fortschritte dieser Strategie bedeuteten, die gezogenen Außenmauern einfach noch höher zu bauen. Das Problem dabei: Egal wie hoch die Mauern sind, früher oder später schafft es ein Angreifer darüber. War das Hindernis einmal überwunden, hatte der Eindringling im Netzwerk weitgehend freie Hand und konnte nahezu ungebremst Schaden anrichten.

Inzwischen setzt sich mehr und mehr ein ganz anderer Ansatz durch. Nach wie vor darf es den Angreifern am Perimeter nicht leicht gemacht werden, aber die neue Prämisse lautet: „Wir müssen davon ausgehen, dass wir Eindringlinge im Netz haben. Lass uns sehen, was sie vorhaben, alles genau protokollieren und ihre Aktionen kontrollieren und gegebenenfalls blockieren.“

Das ist fast eine 180-Grad-Wende in der Verteidigungsstrategie, die nun auf Sichtbarkeit und Kontrolle aller Aktionen im Netz basiert. Hinzu kommt, dass die klassischen Außengrenzen eines Netzwerks in einer mobilen, Cloud-integrierten Welt immer weiter verschwimmen. In diesem Zuge gewinnt noch eine andere Spezies von Verteidigungskomponenten an Bedeutung: Incident Response, also die sofortige Reaktion auf alle Ereignisse im Netz. Höchste Priorität liegt nicht mehr darauf, den „Eindringling abzuwehren“, sondern vielmehr darauf den „Eindringling zu entdecken und im Zaum zu halten“.

Warum Künstliche Intelligenz und Machine Learning immer wichtiger werden

Spätestens mit diesem Strategiewandel sind die Kapazitäten von Netzwerkadministratoren endgültig überfordert. Überwachung und Kontrolle aller Netzwerkaktivitäten durch menschliche Ressourcen wären so aufwendig, dass sie sich wirtschaftlich nicht mehr darstellen ließen. Deswegen werden Technologien wie Künstliche Intelligenz (KI) und Machine Learning (ML) unerlässlich. Nur so ist sowohl der ökonomisch geforderte Automatisierungsgrad als auch die gebotene Reaktionsgeschwindigkeit auf Vorfälle realisierbar. Dies gilt umso mehr, da insbesondere die Angreifer sogenannte „Early Adopter“ im Bereich neuer Technologien sind und KI-basierte Verfahren nutzen, sobald dies für sie sinnvoll ist.

An dieser Entwicklung wird eine weitere risikorelevante Eigenschaft der IT klar sichtbar: Es handelt sich um ein äußerst dynamisches Gewerk, dessen Technologien sich erheblich schneller entwickeln, als man das beispielsweise vom Stromnetz oder der Festnetztelefonie kennt. Und: Jede neue Anwendung im Netz könnte auch die IT-Sicherheit maßgeblich beeinflussen. Statische Implementierungen waren noch nie eine gute Idee – spätestens mit modernen Netzen funktionieren sie überhaupt nicht mehr. Sicherheit muss vielmehr als fortlaufender Prozess betrachtet werden.

Laut EY-Studie verfügt nur gut die Hälfte der befragten Unternehmen über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren.

Kommt es zu einem digitalen Angriff, helfen Krisenmanagement, Dokumentation und Kommunikation bei der Schadensminimierung. Bei meldepflichtigen Vorfällen und in der Datenforensik dient die Dokumentation zudem als wichtiges Beweismittel. Besorgniserregend: Laut EY-Studie verfügt nur gut die Hälfte der befragten Unternehmen über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren. Noch schlimmer: Weniger als ein Fünftel der befragten Unternehmen hat diese Abläufe jemals geübt.

Die Top 4 für eine erfolgreiche Verteidigung

1.      Angemessenes Gefahrenbewusstsein ist Grundvoraussetzung: Regelmäßige Security-Awareness-Schulungen sollten fester Bestandteil der Mitarbeiterführung sein.

2.      Angriffe besser und schneller erkennen: Noch werden Angriffe zu oft gar nicht oder zu spät erkannt. Der „Werkzeugkasten“ der Verteidigung muss so befüllt werden, dass Angreifer sofort identifiziert und isoliert werden können.

3.      Geplantes Agieren ist besser als ängstliches Reagieren: Wer nur auf Abwehr setzt, hat wenig Spielraum für planvolles Reagieren, wenn ein Eindringling tatsächlich identifiziert wird. Mit einer guten Erkennung und Kontrolle von Angriffen müssen sich Unternehmen weniger fürchten. Zugleich sollte auf jeden Fall ein geübter Notfallplan zur Hand sein, falls tatsächlich Daten gestohlen wurden.

4.      Komplexe Situationen erfordern kompetente Partner: IT im Allgemeinen und IT-Sicherheit im Besonderen sind äußerst dynamisch und komplex. Gut beraten ist, wer sich kompetent beraten lässt. Wer es allein versucht, steht meist auf verlorenem Posten.

Fazit

Die Gefahr eines Datenklaus in Unternehmen wächst rapide. Die Verteidigung muss von „Abschirmung“ in Richtung „Erkennung und Kontrolle“ gehen. Dafür spricht auch die Aufweichung der Außengrenzen durch mobiles Arbeiten und Cloud Computing. Für die Realisierung dieses Strategiewechsels sind Automatisierungstechnologien wie Machine Learning (ML) und Künstliche Intelligenz (KI) unverzichtbar. Sicherheit muss von Unternehmen als ständiger Prozess betrachtet werden. Für die Initiierung und Begleitung dieses Prozesses empfiehlt sich die Hinzunahme eines kompetenten Beraters.

Über diesen Artikel

Autoren

Bodo Meseke

Partner, Forensic & Integrity Services, Chief Technology Officer I Deutschland, Schweiz, Österreich

Ist erfahrener Spezialist für forensische Technologien und bekämpft Wirtschaftskriminalität und Cyberangriffe weltweit. Er unterstützt Mandanten beim Schutz ihres geistigen Eigentums.

Lorenz Kuhlee

Associate Partner, Forensic & Integrity Services, Leiter Privacy und Cyber | Deutschland

Nach einem Cyberangriff ist vor einem Cyberangriff. Jedes Unternehmen sollte eine umfassende IT-Sicherheitsstrategie erarbeitet haben.