Bei einem nächtlichen Einbruch in die Firma zeigen installierte Sicherheitskameras, wie maskierte Männer über ein Fenster in der Lagerhalle in das Gebäude eindringen. Ihr Ziel sind Wertgegenstände, Waren und Bargeld, die in den Geschäftsräumen lagern. Der Einbruch ist durchgeplant - rein und raus in weniger als 10 Minuten. Der stille Alarm löst aus. Ob der Raub erfolgreich ist oder vereitelt wird, hängt nun davon ab, wie schnell die alarmierte Sicherheitsfirma und die Polizei vor Ort sind und ob die Täter Fehler gemacht und Spuren hinterlassen haben. Für solche "analogen" Gefahren hat über Jahre hinweg eine Sensibilisierung stattgefunden, so dass ein relativ hoher Sicherheitsstandard erreicht wurde. Dieser lässt sich jedoch nicht auf Cyberangriffe übertragen.
Foto: studiostoks - shutterstock.com
Anders als der Umgang mit physischen Bedrohungen wie Einbrüchen oder Bränden ist das Bewusstsein für virtuelle Gefahren aus dem Netz noch nicht im Mindset von Unternehmen und Mitarbeitern verankert.
Die Bedrohungslage: Mehr und komplexere Angriffe
Weltweit verschärft sich die Bedrohungslage durch Cyberangriffe. Das führt dazu, dass Unternehmen mehr Geld denn je ausgeben, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. Dies zeigt eine Studie von Accenture zu den Kosten von Cyberkriminalität. In Deutschland lagen die durchschnittlichen Kosten für Cyber-Kriminalität im Jahr 2018 bei 13 Millionen Dollar. Weltweit könnten die mit Angriffen verbundenen Kosten und Umsatzeinbußen in den nächsten fünf Jahren über alle Branchen hinweg auf bis zu 5,2 Billionen Dollar steigen.
Sowohl die Zahl der erfolgreichen Angriffe als auch der im Schnitt verursachten Schäden stieg in den vergangenen fünf Jahren um rund 70 Prozent. Nicht eingerechnet sind hier Imageschäden und Folgen eines Vertrauensverlustes von Kunden und Geschäftspartnern. Zudem wird es bis 2021 voraussichtlich 25 Milliarden IoT-vernetzte Geräte geben und somit entsprechend mehr mögliche Einfallstore. Unternehmen sollten sich daher adäquat auf Cyberattacken vorbereiten und ihre Security-Maßnahmen entsprechend ausrichten. Doch dafür müssen sich Unternehmen zunächst über die Motive der Angreifer im Klaren werden.
Andere Motive, andere Strategien
Cyberangriffe können vielfältige Motive haben. Meistens geht es jedoch um Geld. Der Weg dahin kann, wie bei einem herkömmlichen Einbruch über den Diebstahl von Daten oder Informationen führen, die später verkauft werden. Lukrativ für Hacker sind aber auch Erpressungen und Industriespionage. Manchmal soll aber auch ein Unternehmen gezielt lahmgelegt oder behindert werden, dann ist von Sabotage die Rede.
Die Heimtücke vieler Cyberangriffe besteht in ihrer Unauffälligkeit. Sie werden schlicht nicht erkannt, bis es zu spät ist. Das gibt dem Angreifer die Möglichkeit, über einen längeren Zeitraum tief in die Strukturen eines Unternehmens vorzudringen und Manipulationen vorzunehmen.
Ein Beispiel dafür sind digitale Einfallstore in der Industrie 4.0: Produktionsstraßen sind oft über das Internet miteinander verbunden und remote steuerbar. Montageroboter werden digital bedient, melden automatisch Fehler und veranlassen ihre eigene Wartung. Diese Entwicklung birgt viele Vorteile, sie spart Geld, Ressourcen und Zeit. Aber es macht das ganze System auch anfälliger. Daher muss ein Schweißroboter inzwischen ähnlich abgesichert werden, wie das IT-System des Unternehmens.
Cyberkriminelle sind in der Lage, solche vermeintlich kleinen Lücken zu identifizieren, als Einfallstore zu nutzen und über einen längeren Zeitraum im System unentdeckt zu bleiben. So können sie in einem Sabotage-Akt beispielsweise einen Schweißroboter manipulieren und die Qualität der Produktionsteile dadurch entscheidend verschlechtern. Und zwar genau so, dass das Qualitätsmanagement nicht aufmerksam wird, aber gleichzeitig Funktionsweise und Lebensdauer des Endprodukts massiv geschädigt werden. Wenn eine solche Manipulation lange unentdeckt blieb, sind bereits viele dieser fehlerhaften Teile im Endprodukt verbaut und im Umlauf. Handelt es sich dabei beispielsweise um falsch geschweißte Tanks, Querlenker oder Achsen in einem Fahrzeug, steht eine kostspielige Rückrufaktion ins Haus. Der Angreifer würde in diesem Fall entweder vorab Lösegeldforderungen stellen oder einem Unternehmen so gezielt schaden.
Fehler bei der Vorbereitung
Viele Unternehmen verlassen sich auf Sicherheitskonzepte, deren Gegen-Maßnahmen meist zu statisch und unflexibel sind. Sie können einen Angriff im Ernstfall nicht ausreichend abfangen.
In der analogen Welt gilt: Habe ich den besten Zaun, die sicherste Tür und die neueste Überwachungskamera, kann ich auch nicht Opfer eines Einbruchs werden. Die übliche Vorgehensweise ist, sich Checklisten, Szenarien und Notfallpläne zurechtzulegen, um auf möglichst viele Angriffsarten vorbereitet zu sein.
Doch dieses Muster lässt sich nicht auf den Cybersecurity-Bereich übertragen. Cyberangriffe sind in höchstem Maße agil. Hier hat man es mit einem "beweglichen Ziel" zu tun, denn Angriffsvektoren, Einfallstore und Szenarien verändern sich ständig und erlauben kein standardisiertes Vorgehen. Sobald die Abwehr sich auf das eine eingestellt hat, wechselt der Angreifer seine Methode oder seine Gestalt. Cyberangriffe sehen nach 30, 60 und 120 Sekunden mitunter völlig anders aus.
Unternehmen stehen also vor der schwierigen Aufgabe sich und ihre Mitarbeiter auf diese agilen Angriffe vorzubereiten. Der Schlüssel hierzu liegt in einem risikobasierten Ansatz, bei dem ein Unternehmen seine geschäftskritischen Unternehmenswerte und Abteilungen identifiziert und bestmöglich schützt. Cybersecurity ist also nicht allein eine Frage der IT und ihrer Tools.
Trainieren mit Sparringspartnern
Nur wenige Unternehmen gehen einen solchen Weg. Sie trainieren ihre Mitarbeiter unter realen Bedingungen in sogenannten Cybercamps auf mögliche Verteidigungstaktiken. Dabei spielen ausgebildete Cyber-Experten die Rolle des Angreifers, um Szenarien zu schaffen, die bei der abwehrenden Partei auch einen Lerneffekt auslösen. Dabei sind nicht nur IT-Mitarbeiter gemeint.
Um solche Angriffsszenarien mit einem Höchstmaß an Realität auszustatten, gilt es, im Vorfeld unterschiedliche Unternehmensteile mit ins Boot zu holen, die bei der Abwehr eines Angriffs und für den Schutz des Unternehmens eine Rolle spielen. Neben dem CEO und CIO, sollten Leiter von Abteilungen, die betroffen sein könnten, Teil einer solchen Taskforce sein. Weiterhin kommen IT-Experten, Kommunikationsspezialisten, Verantwortliche der Werksicherheit und je nach Unternehmensart andere wichtige Funktionen hinzu. Solche Strukturen, die es ermöglichen, schnell einen Krisenstab zu bilden, sind oftmals nicht vorhanden. Im Falle eines tatsächlichen Angriffs vergeht aber wertvolle Zeit, bis Kompetenzen geklärt und Aufgaben verteilt werden können.
Neben den IT-Experten müssen daher auch die Führungskräfte genau wissen, was in einer Krisensituation wie einem Cyberangriff zu tun ist. Die Entscheidungs- und Kommunikationswege müssen ebenso trainiert werden, wie der richtige Umgang mit Informationen und dem Stress des Ernstfalls. Außerdem braucht es eine lösungsorientierte und vorwärts gerichtete Handlungsweise, denn mit dem Abschalten der infizierten Rechner ist es oft nicht getan.
In den meisten Fällen muss eine Ersatz-Infrastruktur erstellt werden, um so schnell wie möglich wieder handlungsfähig zu werden. Nicht selten liegt hier ein nicht zu unterschätzender Schwachpunkt in der Verteidigungsstrategie. Panische Entscheider sind Gift für die effektive Verteidigung der Netzwerke, da in diesem Zustand keine objektiven Entscheidungen mehr getroffen werden können.