Cyber-Panik-Attacken vermeiden

IT-Security reicht nicht

31.01.2020

Von

Uwe Kissmann leitet seit 2016 die Accenture Cyber Security Services für Accenture in Europa, Afrika und Latein-Amerika. Er ist Experte für die Umsetzung hoch entwickelter Sicherheitsarchitekturen, die operative, finanzielle und geschäftsrelevante Aspekte erfolgreich mit den technologischen Anforderungen vereinen.

Alle Posts des Autors Email: Connect:

Struktur eines Cybercamps

Ein Training findet meist mit einem gegnerischen Team aus Spezialisten statt, die die Abwehr-Maßnahmen des Unternehmens unter realistischen Bedingungen testen. Dies erfolgt aber nicht im echten Betrieb, sondern in Form eines Manövers in einem speziell dafür geschaffenen digitalen Raum. Hierfür wird eine nahezu identische IT-Landschaft mit allen Facetten und Funktionen nachgebaut und ein normaler Arbeitsablauf simuliert.

Auf diese Weise kann eine realistische Angriffssituation nachempfunden werden. Dazu gehört auch, die Angriffsvektoren schnell zu wechseln und die Realität so gut wie möglich abzubilden. Hier kann es vorkommen, dass zum letzten Mittel - dem Kappen der Verbindung - gegriffen werden muss, um Schlimmeres zu verhindern und den Angriff zu isolieren. Ein solcher Vorgang hätte im echten Betrieb fatale Folgen für das Geschäft. Der simulierte Angriff selbst erfolgt dann lautlos und ohne Ankündigung - ebenso wie es im realen Geschäftsbetrieb der Fall wäre. So könnte zum Beispiel ein IT-Verantwortlicher eine gefakte Anfrage via Social Media bekommen aus dessen Verlauf sich eine Cyberattacke entwickelt.

Solche IT-Rollenspiele sollten einmal im Jahr durchgeführt werden, um einen Lerneffekt zu erzielen und die neusten Entwicklungen der Bedrohungslage abzudecken. Hierfür ist es hilfreich, eine neutrale Außen-Perspektive auf das Unternehmen einnehmen zu können. Externe Spezialisten sind meist sogenannte "White Hat Hacker", die über umfassende Erfahrung häufig auch aus dem militärischen Kontext verfügen.

Praxis-Tipp: Die richtigen Entscheidungen treffen

Wichtig bei der Verteidigung - egal ob im Simulationsbetrieb oder im Ernstfall - ist Disziplin der Cyberabwehrspezialisten. Hier haben sich Methoden und Taktiken aus dem militärischen Bereich und der zivilen Luftfahrt etabliert und bewährt.

So kommt heute in vielen Cyberabwehr-Abteilungen die FOR-DEC Methode zur rationalen Entscheidungsfindung zur Anwendung. Sie wurde ursprünglich für Piloten entwickelt und stellt heute ein Musterbeispiel für strukturierte Entscheidungsfindung dar. Davon profitieren vor allem Cyberabwehrspezialisten, die in sehr kurzer Zeit weitreichende Entscheidungen und Abwägungen treffen müssen - ähnlich einem Kampfjetpilot oder einem Passagierflugzeug-Kapitän in einer Notfallsituation. Die FOR-DEC-Methode ist ein Akronym aus den Anfangsbuchstaben der einzelnen Schritte:

Facts: Welche Situation liegt vor?
Options: Welche Handlungsoptionen bieten sich an?
Risk & Benefits: Welche Risiken und Nutzen sind mit den jeweiligen Handlungsoptionen verbunden?
Decision: Welche Handlungsoption wird gewählt?
Execution: Ausführung der gewählten Handlungsoption
Check: Führt der eingeschlagene Weg zu dem gewünschten Ziel?

Das Ziel dieser strukturierten Situationsanalyse ist ein objektiver Entscheidungsprozess ohne Hektik, der zu einer optimalen Lösung führt. Das ist für den Ausfall eines Triebwerks über dem Atlantik in einer vollbesetzten Passagiermaschine genauso wichtig, wie bei der Abwehr eines Cyberangriffs.

Cyberabwehr-Spezialisten müssen innerhalb kürzester Zeit auf Basis teilweise sehr spärlicher Informationen unter hohem Druck wichtige Entscheidungen treffen. Diese Fähigkeit wird in Zukunft bei der Ausbildung und Auswahl von Security-Experten eine deutlich stärkere Rolle spielen.

Cyberabwehr für das gesamte Unternehmen

Damit die Abwehrmaßnahmen auch fruchten, müssen bereits im Vorfeld umfassende Maßnahmen über alle Unternehmensbereiche hinweg getroffen werden. Dazu gehören auch die eigenen Mitarbeiter oder Zulieferer-Unternehmen. Mitarbeiter wissen heute natürlich, dass Türen abgeschlossen, Fenster verriegelt und nicht jedem Passanten Zutritt zum Arbeitsplatz gewährt werden darf. Doch übertragen auf die digitale Welt fehlt oft eine solche Sensibilisierung für potentielle Gefahrenherde, wie Phishing-Mails oder Social-Media-Scams.

Unternehmen sollten daher über die IT-Abteilung hinausdenken und alle Mitarbeiter für Cybersicherheits-Aspekte sensibilisieren. Die modernste Firewall und das am besten ausgebildete Cyberabwehr-Team nützen nichts, wenn Mitarbeiter Links oder Anhänge in dubiosen Emails öffnen. Hier haben viele Unternehmen noch eine Menge Aufklärungsarbeit zu leisten - und zwar gerade bei den Teilen der Belegschaft, die keine direkte Verbindung zur Cyberabwehr haben.

Cybersicherheit ist also keine Aufgabe einer einzelnen Abteilung, sondern muss als unternehmensübergreifende Disziplin verstanden werden. Erstens ist die Bedrohungslage durch Cyberangriffe insgesamt gestiegen. Die Angriffe werden immer komplexer und es dauert länger und ist teurer diese zu lösen. Zweitens sind die Auswirkungen einzelner Cyberattacken aufgrund der immer stärker vernetzen Wirtschaft zunehmend größer. Die Folgen sind nicht länger kleinere Umsatzeinbußen oder Stillzeiten. Häufig handelt es sich um Angriffe, die auf eine Vielzahl von Unternehmen übergehen, kritische Infrastruktur gefährden und auch Privatpersonen betreffen. (jd)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren