Freitag, 20. Juli 2018 4:40 Uhr
Bild: iStock, grandeduc

Im Visier 
von Hackern, Konkurrenten und Spionen

Cybersecurity – Die Digitalisierung der Geschäftsabläufe ist für Unternehmen unabdingbar, um die eigene Wettbewerbsfähigkeit zu erhalten. Ein Datendiebstahl oder ein längerer Ausfall der IT-Systeme bedeutet oft eine existenzielle Bedrohung. Doch wie schützt man sich effektiv vor den Bedrohungen aus dem Netz?

 

Von Hans Reis

 


Eine Studie des Beratungsunternehmens KPMG zeigt, dass im Jahr 2016 fast 90 Prozent der befragten Unternehmen Opfer eines Cyber-Angriffs waren. Die Folge waren Betriebsunterbrüche und finanzielle Schäden. Die Studie unter 300 befragten Unternehmen zeigt auch auf, dass die Vorkehrungen ungenügend waren. Nur 60 Prozent der Firmen hatten einfache Schutzmassnahmen eingeführt. Bei den KMU hatte gar nur jedes fünfte Unternehmen Systeme zur Erkennung von Cyber-Vorfällen vollständig implementiert.


Mitarbeiterschulung unabdingbar
Der Schutz von E-Mail-Gateway, Spam- und Malware-Filter, Firewalls und das Aufsetzen von Virtual-Private-Networks respektive VPN-Lösungen sind dabei nur ein Anfang. Bei den Versuchen, an die vertraulichen Daten von Firmen zu gelangen, wenden Cyberkriminelle am häufigsten Schad-Software, Phishing-Mails oder sogenanntes Social Engineering an. Dabei wird das Angriffsziel durch das Vorgaukeln falscher Identitäten oder vermeintlicher Autoritäten manipuliert. Doch das ist nur das «kleine» Einfallstor ins Unternehmen.


Notwendig sind auch eine adäquate Schulung des Personals und der Einbezug von privaten Endgeräten wie Mobiltelefon oder Laptop, die für die Berufstätigkeit genutzt werden. Der klassische Netzwerkschutzwall wird dabei um Massnahmen ergänzt, die sich auf Applikationen und einzelne Endpunkte erstrecken – insbesondere aber auch auf Daten, die in der Cloud gelagert werden.


Dabei darf nicht vergessen werden, dass auch in einer hoch technologisierten Welt die grösste Gefahr vom Menschen ausgeht – oft von den mit dem Unternehmen vertrauten Personen wie Mitarbeitende, Geschäftspartner, Lieferanten und andere Dienstleister. Um diese Gefahren zu erkennen und zu minimieren, soll ein Unternehmen nicht nur die Technologie, sondern auch Faktoren wie Unternehmenskultur, die Anfälligkeit von Geschäftsabläufen sowie insbesondere die Anwenderfreundlichkeit der Sicherheitsmassnahmen in ihre Cyber-Defense integrieren. Wenn der Schutz der Systeme für Benutzer zu schwer anwendbar ist, besteht die Gefahr, dass er vernachlässigt oder umgangen wird.


Security zunehmend komplexer
Mit dem Siegeszug des Internet-of-Things (IoT), bei dem Rechner und Maschinen innerhalb und ausserhalb des Unternehmens miteinander kommunizieren, wird die Vulnerabilität des firmeneigenen IT-Systems akzentuiert. Defense-Konzepte müssen hier erkennen, wenn Systeme, die bislang nie miteinander kommunizierten, plötzlich grosse Datenmengen austauschen oder bisher «stille» interne Systeme plötzlich mit externen Rechnern in Kontakt treten.


Ein solches Aufdecken von Ungereimtheiten erfordert aber eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und einem proaktiven Monitoring. Viele kleinere und mittelgrosse Unternehmen verfügen nicht über die Ressourcen und das Know-how, um die Cyber-Security selber sicherzustellen. Auf der Unternehmensseite implementierte Systeme sind dafür nur schon wegen der Geschwindigkeit nicht geeignet. Eine Firma, die sich autark gegen Cyber-Angriffe schützen möchte, müsste Security zu einer Kernkompetenz machen. Das ist aber meist weder aus wirtschaftlichen noch aus strategischen Gesichtspunkten sinnvoll.


Spezialisierte Cyber-Security-Dienstleister bieten Standardlösungen an, die für die einzelnen Unternehmen nach Bedarf angepasst werden. Diese Security Operations Center werden von Managed-Security-Services-Anbietern offeriert. Vorrangiges Ziel dieser Dienstleister ist die Früherkennung von Angriffen. Die Anbieter verfügen über eine jahrelange Erfahrung und analysieren täglich eine Vielzahl von Datenquellen. Die Dienstleister beschäftigen zahlreiche Analysten und verfügen über intelligente Tools, die eine permanente Analyse des Datenverkehrs und die Korrelation unterschiedlichster Informationen sicherstellen. Diese Infrastruktur und eine breite Basis aus Unternehmen- und Branchendaten ermöglichen nicht nur statische Sicherheitsmassnahmen, sondern Abwehrmechanismen, die ständig lernen. 


Aber auch die beste Abwehrstrategie bietet keine hundertprozentige Sicherheit. Die Unternehmen benötigen deshalb Response-Konzepte, die sicherstellen, dass alle Daten permanent an einem sicheren Ort gespiegelt werden und es nach einem erfolgreichen Angriff nicht zu einem ungewollten Datenabfluss kommt.

Martin Kull, Country Manager Schweiz Orange Business Services.

«Wir finden im Durchschnitt mehr als 1000 ­unbekannte ­Applikationen»

 

Was müssen Unternehmen über Cyber-Security wissen?

Generell wird die Gefahr der mangelnden IT-Sicherheit im Unternehmen stark unterschätzt. Das fängt bei sicheren Passwörtern an – bis heute noch keine Selbstverständlichkeit! Cyber-Attacken sind oft erfolgreich, weil ein entsprechendes Risk Assessment fehlt und somit die Motivation des «Angreifers» nicht erkannt wird. Beispielsweise kann eine Firma als Zwischenziel attackiert werden, um an einen ihrer Schlüsselpartner (Lieferant) mit speziellen Rechten und Patenten heranzukommen. Phishing und Fehlkonfigurationen werden am häufigsten für Cyber-Attacken genutzt.


Wogegen muss man sich schützen? Worin besteht die Bedrohung aus dem Netz?
Vor Schad-Software, die entweder Firmendaten zu stehlen oder zu verändern versucht, oder die Daten verschlüsselt, um Lösegeldforderungen zu stellen. Der beste Schutz ist immer noch ein guter Back-up, der aber seinerseits gegen Angriffe aus dem Netz geschützt werden muss. Weitere Bedrohungen sind das Internet der Dinge (IoT), die Datenspeicherung und die «Shadow IT». Mitarbeitende installieren ihre eigenen Apps und Cloud Services auf ihren Handys, Computer, Laptops oder Tablets. Wir finden im Durchschnitt mehr als 1000 unbekannte Applikationen bei unseren multi­nationalen Kunden, welche die User installiert haben und die eine Gefahr bilden können.


Wie kann sich ein Unternehmen schützen?
Oft wird wohl das interne Know-how nicht reichen, um diese Frage mit einiger Sicherheit selbst zu beantworten. Jede Firma – unabhängig von der Grösse – sollte deshalb über ein CERT-Service-Abonnement (Computer Emergency Response Team) verfügen. Dieser Service meldet entstehende Gefahren, die gezielt auf die im Unternehmen eingesetzten Technologien oder auf die Firma selbst gerichtet sind. Unter dem Namen LEXSI betreibt Orange das grösste private europäische CERT. Ausserdem sollten Firmen technische Schwachstellen laufend eruieren und beheben und nur autorisierte Cloud-Dienste verwenden. Da heutige Smartphones Computer sind, müssen auch diese aktiv geschützt werden. Nebst dem CERT sind auch Antiphising-Trainings­kampagnen zentral sowie entsprechende Tools zur Schulung der Mitarbeitenden für die Erkennung verdächtiger E-Mails. Hinzu kommen Authentifizierungs-Tools und Passwort-Management-Tools. Diese erinnern den Nutzer, dass Dutzende von Passwörtern regelmässig geändert werden müssen. Wichtig sind auch Sensibilisierungstrainings und sehr gute Authentifizierungslösungen. Mit letzteren wird sichergestellt, wer Zugriff auf die jeweiligen Systeme hat. Zudem muss garantiert werden, dass Benutzer Daten nur in den autorisierten Cloud-Diensten speichern. Ferner gibt es heute SIEM, CyberSoc und andere fortschrittliche Technologien, die es ermöglichen, abnormales Verhalten eines Laptops zu erkennen – zum Beispiel Verbindung mit einer Site von der aus bösartige Aktivitäten bekannt sind oder Verbindungen mit kritischen Systemen.


Was kann im schlimmsten Fall passieren?
Im schlimmsten Fall kann die Existenz eines Unternehmens bedroht sein, etwa bei Industriespionage. Ein Unternehmen könnte dadurch seine Führungsposition verlieren – mit entsprechenden wirtschaftlichen Konsequenzen. Es versteht sich von selbst, dass IP (Intellectual Property) essentiell ist und geschützt werden muss. Leider wird oftmals erst in die Sicherheit investiert, wenn ein schwerwiegender Vorfall eintritt. Wir sind dann wieder auf Feld eins.

VZH