Bei einem nächtlichen Einbruch in die Firma zeigen installierte Sicherheitskameras, wie maskierte Männer über ein Fenster in der Lagerhalle in das Gebäude eindringen. Ihr Ziel sind Wertgegenstände, Waren und Bargeld, die in den Geschäftsräumen lagern. Der Einbruch ist durchgeplant - rein und raus in weniger als 10 Minuten. Der stille Alarm löst aus. Ob der Raub erfolgreich ist oder vereitelt wird, hängt nun davon ab, wie schnell die alarmierte Sicherheitsfirma und die Polizei vor Ort sind und ob die Täter Fehler gemacht und Spuren hinterlassen haben. Für solche "analogen" Gefahren hat über Jahre hinweg eine Sensibilisierung stattgefunden, so dass ein relativ hoher Sicherheitsstandard erreicht wurde. Dieser lässt sich jedoch nicht auf Cyberangriffe übertragen.
Foto: studiostoks - shutterstock.com
Anders als der Umgang mit physischen Bedrohungen wie Einbrüchen oder Bränden ist das Bewusstsein für virtuelle Gefahren aus dem Netz noch nicht im Mindset von Unternehmen und Mitarbeitern verankert.
Die Bedrohungslage: Mehr und komplexere Angriffe
Weltweit verschärft sich die Bedrohungslage durch Cyberangriffe. Das führt dazu, dass Unternehmen mehr Geld denn je ausgeben, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. Dies zeigt eine Studie von Accenture zu den Kosten von Cyberkriminalität. In Deutschland lagen die durchschnittlichen Kosten für Cyber-Kriminalität im Jahr 2018 bei 13 Millionen Dollar. Weltweit könnten die mit Angriffen verbundenen Kosten und Umsatzeinbußen in den nächsten fünf Jahren über alle Branchen hinweg auf bis zu 5,2 Billionen Dollar steigen.
Sowohl die Zahl der erfolgreichen Angriffe als auch der im Schnitt verursachten Schäden stieg in den vergangenen fünf Jahren um rund 70 Prozent. Nicht eingerechnet sind hier Imageschäden und Folgen eines Vertrauensverlustes von Kunden und Geschäftspartnern. Zudem wird es bis 2021 voraussichtlich 25 Milliarden IoT-vernetzte Geräte geben und somit entsprechend mehr mögliche Einfallstore. Unternehmen sollten sich daher adäquat auf Cyberattacken vorbereiten und ihre Security-Maßnahmen entsprechend ausrichten. Doch dafür müssen sich Unternehmen zunächst über die Motive der Angreifer im Klaren werden.
Andere Motive, andere Strategien
Cyberangriffe können vielfältige Motive haben. Meistens geht es jedoch um Geld. Der Weg dahin kann, wie bei einem herkömmlichen Einbruch über den Diebstahl von Daten oder Informationen führen, die später verkauft werden. Lukrativ für Hacker sind aber auch Erpressungen und Industriespionage. Manchmal soll aber auch ein Unternehmen gezielt lahmgelegt oder behindert werden, dann ist von Sabotage die Rede.
Die Heimtücke vieler Cyberangriffe besteht in ihrer Unauffälligkeit. Sie werden schlicht nicht erkannt, bis es zu spät ist. Das gibt dem Angreifer die Möglichkeit, über einen längeren Zeitraum tief in die Strukturen eines Unternehmens vorzudringen und Manipulationen vorzunehmen.
Ein Beispiel dafür sind digitale Einfallstore in der Industrie 4.0: Produktionsstraßen sind oft über das Internet miteinander verbunden und remote steuerbar. Montageroboter werden digital bedient, melden automatisch Fehler und veranlassen ihre eigene Wartung. Diese Entwicklung birgt viele Vorteile, sie spart Geld, Ressourcen und Zeit. Aber es macht das ganze System auch anfälliger. Daher muss ein Schweißroboter inzwischen ähnlich abgesichert werden, wie das IT-System des Unternehmens.
Cyberkriminelle sind in der Lage, solche vermeintlich kleinen Lücken zu identifizieren, als Einfallstore zu nutzen und über einen längeren Zeitraum im System unentdeckt zu bleiben. So können sie in einem Sabotage-Akt beispielsweise einen Schweißroboter manipulieren und die Qualität der Produktionsteile dadurch entscheidend verschlechtern. Und zwar genau so, dass das Qualitätsmanagement nicht aufmerksam wird, aber gleichzeitig Funktionsweise und Lebensdauer des Endprodukts massiv geschädigt werden. Wenn eine solche Manipulation lange unentdeckt blieb, sind bereits viele dieser fehlerhaften Teile im Endprodukt verbaut und im Umlauf. Handelt es sich dabei beispielsweise um falsch geschweißte Tanks, Querlenker oder Achsen in einem Fahrzeug, steht eine kostspielige Rückrufaktion ins Haus. Der Angreifer würde in diesem Fall entweder vorab Lösegeldforderungen stellen oder einem Unternehmen so gezielt schaden.
Fehler bei der Vorbereitung
Viele Unternehmen verlassen sich auf Sicherheitskonzepte, deren Gegen-Maßnahmen meist zu statisch und unflexibel sind. Sie können einen Angriff im Ernstfall nicht ausreichend abfangen.
In der analogen Welt gilt: Habe ich den besten Zaun, die sicherste Tür und die neueste Überwachungskamera, kann ich auch nicht Opfer eines Einbruchs werden. Die übliche Vorgehensweise ist, sich Checklisten, Szenarien und Notfallpläne zurechtzulegen, um auf möglichst viele Angriffsarten vorbereitet zu sein.
Doch dieses Muster lässt sich nicht auf den Cybersecurity-Bereich übertragen. Cyberangriffe sind in höchstem Maße agil. Hier hat man es mit einem "beweglichen Ziel" zu tun, denn Angriffsvektoren, Einfallstore und Szenarien verändern sich ständig und erlauben kein standardisiertes Vorgehen. Sobald die Abwehr sich auf das eine eingestellt hat, wechselt der Angreifer seine Methode oder seine Gestalt. Cyberangriffe sehen nach 30, 60 und 120 Sekunden mitunter völlig anders aus.
Unternehmen stehen also vor der schwierigen Aufgabe sich und ihre Mitarbeiter auf diese agilen Angriffe vorzubereiten. Der Schlüssel hierzu liegt in einem risikobasierten Ansatz, bei dem ein Unternehmen seine geschäftskritischen Unternehmenswerte und Abteilungen identifiziert und bestmöglich schützt. Cybersecurity ist also nicht allein eine Frage der IT und ihrer Tools.
Trainieren mit Sparringspartnern
Nur wenige Unternehmen gehen einen solchen Weg. Sie trainieren ihre Mitarbeiter unter realen Bedingungen in sogenannten Cybercamps auf mögliche Verteidigungstaktiken. Dabei spielen ausgebildete Cyber-Experten die Rolle des Angreifers, um Szenarien zu schaffen, die bei der abwehrenden Partei auch einen Lerneffekt auslösen. Dabei sind nicht nur IT-Mitarbeiter gemeint.
Um solche Angriffsszenarien mit einem Höchstmaß an Realität auszustatten, gilt es, im Vorfeld unterschiedliche Unternehmensteile mit ins Boot zu holen, die bei der Abwehr eines Angriffs und für den Schutz des Unternehmens eine Rolle spielen. Neben dem CEO und CIO, sollten Leiter von Abteilungen, die betroffen sein könnten, Teil einer solchen Taskforce sein. Weiterhin kommen IT-Experten, Kommunikationsspezialisten, Verantwortliche der Werksicherheit und je nach Unternehmensart andere wichtige Funktionen hinzu. Solche Strukturen, die es ermöglichen, schnell einen Krisenstab zu bilden, sind oftmals nicht vorhanden. Im Falle eines tatsächlichen Angriffs vergeht aber wertvolle Zeit, bis Kompetenzen geklärt und Aufgaben verteilt werden können.
Neben den IT-Experten müssen daher auch die Führungskräfte genau wissen, was in einer Krisensituation wie einem Cyberangriff zu tun ist. Die Entscheidungs- und Kommunikationswege müssen ebenso trainiert werden, wie der richtige Umgang mit Informationen und dem Stress des Ernstfalls. Außerdem braucht es eine lösungsorientierte und vorwärts gerichtete Handlungsweise, denn mit dem Abschalten der infizierten Rechner ist es oft nicht getan.
In den meisten Fällen muss eine Ersatz-Infrastruktur erstellt werden, um so schnell wie möglich wieder handlungsfähig zu werden. Nicht selten liegt hier ein nicht zu unterschätzender Schwachpunkt in der Verteidigungsstrategie. Panische Entscheider sind Gift für die effektive Verteidigung der Netzwerke, da in diesem Zustand keine objektiven Entscheidungen mehr getroffen werden können.
Struktur eines Cybercamps
Ein Training findet meist mit einem gegnerischen Team aus Spezialisten statt, die die Abwehr-Maßnahmen des Unternehmens unter realistischen Bedingungen testen. Dies erfolgt aber nicht im echten Betrieb, sondern in Form eines Manövers in einem speziell dafür geschaffenen digitalen Raum. Hierfür wird eine nahezu identische IT-Landschaft mit allen Facetten und Funktionen nachgebaut und ein normaler Arbeitsablauf simuliert.
Auf diese Weise kann eine realistische Angriffssituation nachempfunden werden. Dazu gehört auch, die Angriffsvektoren schnell zu wechseln und die Realität so gut wie möglich abzubilden. Hier kann es vorkommen, dass zum letzten Mittel - dem Kappen der Verbindung - gegriffen werden muss, um Schlimmeres zu verhindern und den Angriff zu isolieren. Ein solcher Vorgang hätte im echten Betrieb fatale Folgen für das Geschäft. Der simulierte Angriff selbst erfolgt dann lautlos und ohne Ankündigung - ebenso wie es im realen Geschäftsbetrieb der Fall wäre. So könnte zum Beispiel ein IT-Verantwortlicher eine gefakte Anfrage via Social Media bekommen aus dessen Verlauf sich eine Cyberattacke entwickelt.
Solche IT-Rollenspiele sollten einmal im Jahr durchgeführt werden, um einen Lerneffekt zu erzielen und die neusten Entwicklungen der Bedrohungslage abzudecken. Hierfür ist es hilfreich, eine neutrale Außen-Perspektive auf das Unternehmen einnehmen zu können. Externe Spezialisten sind meist sogenannte "White Hat Hacker", die über umfassende Erfahrung häufig auch aus dem militärischen Kontext verfügen.
Praxis-Tipp: Die richtigen Entscheidungen treffen
Wichtig bei der Verteidigung - egal ob im Simulationsbetrieb oder im Ernstfall - ist Disziplin der Cyberabwehrspezialisten. Hier haben sich Methoden und Taktiken aus dem militärischen Bereich und der zivilen Luftfahrt etabliert und bewährt.
So kommt heute in vielen Cyberabwehr-Abteilungen die FOR-DEC Methode zur rationalen Entscheidungsfindung zur Anwendung. Sie wurde ursprünglich für Piloten entwickelt und stellt heute ein Musterbeispiel für strukturierte Entscheidungsfindung dar. Davon profitieren vor allem Cyberabwehrspezialisten, die in sehr kurzer Zeit weitreichende Entscheidungen und Abwägungen treffen müssen - ähnlich einem Kampfjetpilot oder einem Passagierflugzeug-Kapitän in einer Notfallsituation. Die FOR-DEC-Methode ist ein Akronym aus den Anfangsbuchstaben der einzelnen Schritte:
Facts: Welche Situation liegt vor?
Options: Welche Handlungsoptionen bieten sich an?
Risk & Benefits: Welche Risiken und Nutzen sind mit den jeweiligen Handlungsoptionen verbunden?
Decision: Welche Handlungsoption wird gewählt?
Execution: Ausführung der gewählten Handlungsoption
Check: Führt der eingeschlagene Weg zu dem gewünschten Ziel?
Das Ziel dieser strukturierten Situationsanalyse ist ein objektiver Entscheidungsprozess ohne Hektik, der zu einer optimalen Lösung führt. Das ist für den Ausfall eines Triebwerks über dem Atlantik in einer vollbesetzten Passagiermaschine genauso wichtig, wie bei der Abwehr eines Cyberangriffs.
Cyberabwehr-Spezialisten müssen innerhalb kürzester Zeit auf Basis teilweise sehr spärlicher Informationen unter hohem Druck wichtige Entscheidungen treffen. Diese Fähigkeit wird in Zukunft bei der Ausbildung und Auswahl von Security-Experten eine deutlich stärkere Rolle spielen.
Cyberabwehr für das gesamte Unternehmen
Damit die Abwehrmaßnahmen auch fruchten, müssen bereits im Vorfeld umfassende Maßnahmen über alle Unternehmensbereiche hinweg getroffen werden. Dazu gehören auch die eigenen Mitarbeiter oder Zulieferer-Unternehmen. Mitarbeiter wissen heute natürlich, dass Türen abgeschlossen, Fenster verriegelt und nicht jedem Passanten Zutritt zum Arbeitsplatz gewährt werden darf. Doch übertragen auf die digitale Welt fehlt oft eine solche Sensibilisierung für potentielle Gefahrenherde, wie Phishing-Mails oder Social-Media-Scams.
Unternehmen sollten daher über die IT-Abteilung hinausdenken und alle Mitarbeiter für Cybersicherheits-Aspekte sensibilisieren. Die modernste Firewall und das am besten ausgebildete Cyberabwehr-Team nützen nichts, wenn Mitarbeiter Links oder Anhänge in dubiosen Emails öffnen. Hier haben viele Unternehmen noch eine Menge Aufklärungsarbeit zu leisten - und zwar gerade bei den Teilen der Belegschaft, die keine direkte Verbindung zur Cyberabwehr haben.
Cybersicherheit ist also keine Aufgabe einer einzelnen Abteilung, sondern muss als unternehmensübergreifende Disziplin verstanden werden. Erstens ist die Bedrohungslage durch Cyberangriffe insgesamt gestiegen. Die Angriffe werden immer komplexer und es dauert länger und ist teurer diese zu lösen. Zweitens sind die Auswirkungen einzelner Cyberattacken aufgrund der immer stärker vernetzen Wirtschaft zunehmend größer. Die Folgen sind nicht länger kleinere Umsatzeinbußen oder Stillzeiten. Häufig handelt es sich um Angriffe, die auf eine Vielzahl von Unternehmen übergehen, kritische Infrastruktur gefährden und auch Privatpersonen betreffen. (jd)