Als Cyberangriffe alltäglich wurden, ist ein passiver Ansatz zur Cybersicherheit ein zu großes Risiko

Wir erleben täglich Berichte über Cyberangriffe, die nicht nur wirtschaftliche Verluste, sondern auch erhebliche Reputationsschäden für Unternehmen mit sich bringen. Oft liegt die Ursache dieser Angriffe in einem passiven Ansatz zu Sicherheitsfragen und der Vorstellung, dass „es mir nicht passieren kann“. Jüngste Ereignisse zeigen jedoch, dass dies nicht wahr ist.

Experten von Comping: Mario Dujmović, Luka Volarić und Dominik Hellenbart, zusammen mit dem Direktor des Technologielösungssektors Nedeljko Matejak, erklärten, wie man Cybersicherheit proaktiv angeht. Sie teilten mit, wie sie den Comping-Cybersicherheitsrahmen für Kunden umsetzen, warum alles mit der Bewertung des aktuellen Zustands beginnt und wie die Schulung der Mitarbeiter zu einer Schlüsselverteidigung in der heutigen Welt wird.

Aufgrund der zunehmenden Häufigkeit von Cyberangriffen in Kroatien steht das Thema Sicherheit im öffentlichen Fokus. Glauben Sie, dass Unternehmen sich jetzt mehr der Risiken von Cyberangriffen bewusst sind?

Nedeljko: Unternehmen sind sich heute sicherlich mehr der Risiken von Cyberangriffen bewusst als noch vor ein paar Jahren. Dies liegt teilweise an der zunehmenden Häufigkeit von Cyberangriffen und teilweise an den bevorstehenden gesetzlichen Regelungen gemäß der NIS2-Richtlinie. Das Bewusstsein ist jedoch angesichts der Ernsthaftigkeit dieser Angriffe immer noch nicht auf dem notwendigen Niveau. Jüngste Ereignisse haben sicherlich für einige Unternehmen „die Alarmglocken läuten lassen“, und das Bewusstsein entwickelt sich zu einem ernsthaften Schritt nach vorne im Schutz gegen Cyberangriffe.

Es gibt jedoch Situationen, in denen Unternehmen, wenn ein Cyberangriff auftritt und sie bestimmte Schäden (primär reputations- und wirtschaftlicher Art) erleiden, immer noch nicht planen, die notwendigen Maßnahmen zu ergreifen, um sich in Zukunft abzusichern. Sie gehen davon aus, dass sie in so kurzer Zeit nicht erneut angegriffen werden, aber das könnte nicht wahr sein.

Aufgrund dieser gefährlichen Annahmen müssen wir daran arbeiten, das Bewusstsein zu schärfen und rechtzeitig über bestehende Bedrohungen zu informieren, da Angreifer immer nach neuen Wegen suchen, um aktuelle Sicherheitsmaßnahmen zu umgehen.

Nedeljko: Es gibt positive Veränderungen, und wir halten mit den Trends sowohl in der Technologie als auch im Ansatz Schritt. Technologie allein garantiert nicht den Erfolg der Verteidigung; ein umfassender Ansatz ist entscheidend, das heißt, ein Konzept, das schrittweise umgesetzt werden muss, etwas, das wir den Comping-Cybersicherheitsrahmen genannt haben.

In den kommenden Jahren erwarten wir einen signifikanten Sprung unter kroatischen Unternehmen, da Bedrohungen täglich auftreten, Vorfälle täglich geschehen, die Methoden zunehmend ausgeklügelt werden und es einfach keinen Raum gibt, passiv zu sein und darauf zu warten, dass die Situation eintritt. Das Risiko ist zu groß und zu teuer geworden.

Nedeljko: Die Methode des Comping-Cybersicherheitsrahmens umfasst fünf Schlüsselbereiche, die beachtet werden müssen, damit Unternehmen ein hohes Sicherheitsniveau haben und angemessen auf einen Sicherheitsvorfall reagieren können. Diese Bereiche, die einen proaktiven Ansatz zur Sicherheit kennzeichnen, sind: Bewertung des aktuellen Sicherheitszustands, Ordnung in der Umgebung, Implementierung von Sicherheitslösungen, Schulung der Mitarbeiter und Planung der Reaktion auf Vorfälle.

Nedeljko: Ad-hoc- und Teilmethoden sind lediglich „Feuerwehrmaßnahmen“, die das unvermeidliche Risiko aufschieben (wenn überhaupt). Es ist entscheidend, den aktuellen Sicherheitszustand angemessen zu bewerten, Schwachstellen zu erkennen und Aktionspläne zu deren Beseitigung zu definieren. Darauf folgt die Schaffung von Ordnung durch die Implementierung geeigneter Sicherheitsprinzipien, die nicht unbedingt den Kauf spezifischer Lösungen erfordern, sondern bewährte Praktiken auf die bestehende Umgebung anwenden.

Sobald Ordnung geschaffen ist und ein klarer Einblick in den Zustand gewonnen wurde, folgt die Implementierung von Lösungen, die Möglichkeiten einschränken und Angreifer auf der einen Seite abschrecken, während sie den Unternehmen auf der anderen Seite vollständige Einsicht und Kontrolle über aktuelle Bedrohungen geben. Globale Kontrolle und Verteilung von Schlüsselinformationen über neue Bedrohungen sind entscheidend im Erkennungs- und Entscheidungsprozess darüber, welche Maßnahmen ergriffen werden sollen und wann.

Da die meisten Angriffe über die Peripherie erfolgen, ist ein wesentlicher Bestandteil die Schulung und Information der Mitarbeiter, um Bedrohungen zu erkennen, sie den zuständigen Sicherheitsteams zu melden, korrekt darauf zu reagieren und so ernsthafte Schäden zu verhindern, die entstehen könnten.

Um Verwirrung zu vermeiden, gibt es keine undurchdringlichen Systeme, daher ist ein Rahmen, dem gefolgt werden muss, entscheidend, insbesondere wenn in irgendeiner Form ein Sicherheitsvorfall auftritt. Dieser Plan definiert, wie man sich verhalten soll, welche Schritte zu unternehmen sind, wer die an der Lösung des Vorfalls beteiligten Personen sind und auf welche Weise. Am wichtigsten ist, wie man zum vollen Geschäftsumfang zurückkehrt, um das reputationsrisiko und die Schäden, die durch die Nichterreichbarkeit von Geschäftsräumen verursacht werden, zu minimieren.

Mario: Dieser erste Schritt ist von außergewöhnlicher Bedeutung und wird oft vernachlässigt, nicht regelmäßig durchgeführt oder völlig ignoriert.

Wir können dies anhand eines praktischen Beispiels betrachten – es gibt ein außergewöhnlich breites Spektrum an Lösungen und Dienstleistungen, die direkt oder indirekt mit Cybersicherheit zu tun haben, auf dem Markt. Das große Angebot verleitet Unternehmen oft dazu, die Anforderungen eines Standards, einer gesetzlichen Regelung oder eines geschäftlichen Bedarfs aus Sicht der Sicherheit zu erfüllen, indem sie eine (das Prinzip, je teurer, desto besser) oder mehrere verfügbare Lösungen oder Dienstleistungen erwerben. Ein solcher Ansatz erweist sich oft als mehrfach nachteilig für das Unternehmen, da die gekaufte Lösung oft nicht die wichtigsten Sicherheitsherausforderungen des Unternehmens anspricht.

Um das vorherige Beispiel zu vermeiden, beginnt die Bewertung des Zustands mit der Analyse der Infrastruktur selbst, das heißt, der Dienstleistungen, die diese Infrastruktur bereitstellt. Dies umfasst in erster Linie den Konfigurationsaspekt der Implementierung eines bestimmten Dienstes und inwieweit es Abweichungen von bewährten Praktiken und Herstellerempfehlungen gibt.

All das ist eine Einführung in eine umfassendere Analyse, die weiter Sicherheitsrichtlinien (schriftlich oder ungeschrieben), technische Sicherheitsmaßnahmen sowie Werkzeuge und Lösungen umfassen kann, die möglicherweise bereits im Unternehmen implementiert wurden. Verfahren und Prozesse für Backups, Wiederherstellungspläne, Risikomanagement- und Vorfallmanagementmethoden, Schulungen der Mitarbeiter (sofern vorhanden) sowie Überwachungsmethoden und -prozesse zur Verbesserung der Sicherheitspraktiken werden überprüft und bewertet.

Mario: Regelmäßige proaktive Analysen des Sicherheitszustands eines Unternehmens bieten diesen entscheidenden Vorteil – bessere Entscheidungen aus einer Sicherheits-Perspektive zu treffen. Wenn Sie Ihre Entscheidungen auf konkreten Daten basieren, wird eine zeitnahe Korrektur des Plans, der Prioritäten und der Strategie zur Entwicklung der Cybersicherheit des Unternehmens möglich. Dies führt dazu, dass das Unternehmen direkt die Stabilität und Verfügbarkeit seiner Dienstleistungen beeinflusst und Integrität und Reputation im Geschäft bewahrt.

Mario: Es gibt verschiedene Standards, die darauf abzielen, Methodik und Schlüsselfaktoren zu definieren und festzulegen, auf die man sich konzentrieren sollte. Sehr oft schreckt ein solcher Ansatz das Unternehmen ab, da sie möglicherweise nicht über ausreichend geschultes Personal verfügen oder es zu wenige dieser Personen gibt, um es effektiv anzugehen. Hier hilft das Prinzip, das Thema Sicherheit in der digitalen Umgebung aus größerer Distanz zu betrachten. Wir können dann drei Schlüsselfaktoren innerhalb jeder Umgebung unterscheiden – Infrastruktur, Identitäten und Daten.

Sobald wir den Fokus auf diese Weise definiert haben, muss das, was zu tun ist, darin bestehen, Bedrohungen und Risiken zu identifizieren, regelmäßig Verbesserungen umzusetzen, während die Ergebnisse dieser Aktivitäten überprüft werden, und zu versuchen, Sicherheitsinitiativen mit Richtlinien oder Standards in Einklang zu bringen – diese drei Schritte gelten für jeden der zuvor genannten Schlüsselfaktoren.

Mario: Nachdem wir die wichtigsten Schutzbereiche und potenziellen Bedrohungen identifiziert haben, besteht die nächste Empfehlung darin, sich auf Aktivitäten und Sicherheitsinitiativen zu konzentrieren, die sich positiv auf die Geschäftskontinuität auswirken, wie bestehende Richtlinien und Standards oder Plattformen zur Planung zukünftiger Aktivitäten und langfristiger Sicherheitsstrategien.

Durch die Erhöhung des Sicherheitsniveaus der gesamten Umgebung stehen uns zusätzliche Mechanismen und Sicherheitsrahmen zur Verfügung, die wir nutzen können, um Sicherheitsinitiativen zu erweitern, die die Sicherheitsreife des Unternehmens angemessen verfolgen, mit dem Ziel einer qualitativ hochwertigen und zeitgerechten Umsetzung.

Luka: Nach einer gründlichen Bewertung des aktuellen Zustands werden Risiken und Bedrohungen in verschiedenen Aspekten der Cybersicherheit, die angegangen werden müssen, deutlich sichtbar. Während bestimmte Risiken durch die Optimierung bestehender Konfigurationen und die Einführung neuer Richtlinien und Verfahren reduziert oder beseitigt werden können, ist es für andere Bedrohungen notwendig, spezifische Sicherheitslösungen zu implementieren, um die Exposition gegenüber Risiken zu verringern.

Diese Lösungen umfassen ein breites Spektrum an Aktivitäten, einschließlich Endpunktschutz und -überwachung (EDR, XDR), Protokollmanagement und -speicherung (SIEM), Filterung, Überwachung und Inspektion des Netzwerkverkehrs (FW, WAF, NDR), Identitäts- und Zugriffsmanagement (PAM, MFA), Schutz der E-Mail-Kommunikation sowie die Implementierung spezieller Geräte für Backups.

Durch die Implementierung dieser Lösungen ist es möglich, bestimmte Herausforderungen zu verhindern, da sie kontinuierliche Überwachung, Erkennung und Reaktion auf Bedrohungen ermöglichen und somit die Geschäftskontinuität auch im Falle unvorhergesehener Katastrophen gewährleisten.

Luka: Bei der Implementierung dieser Lösungen stoßen wir häufig auf Herausforderungen wie „Legacy“-Systeme, die moderne Sicherheitstechnologien nicht unterstützen, aber für das Geschäft kritisch sind und tief in andere Geschäftssysteme integriert sind. Wir sehen auch oft Widerstand gegen die Modernisierung aufgrund von Denkweisen wie „meine Daten sind nicht wertvoll“ oder „sie werden mich nicht angreifen“, was dazu führt, dass Investitionen in Sicherheit als unnötige Ausgaben wahrgenommen werden – bis ein schwerwiegender Sicherheitsvorfall eintritt. Auch der Widerstand gegen Cloud-Lösungen ist vorhanden, da Benutzer oft glauben, dass Geräte, die „bei ihnen“ stehen, sicherer sind als Cloud-Lösungen, obwohl dasselbe Gerät oft veraltet bleibt und somit zu einem potenziellen Angriffspunkt wird.

Diese Herausforderungen können durch rechtzeitige Schulungen über die Bedeutung der kontinuierlichen Verbesserung von Sicherheitsmaßnahmen, Investitionen in Sicherheit und aktuelle Bedrohungen und Risiken sowie Möglichkeiten, wie diese Bedrohungen effektiv verhindert werden können, überwunden werden.

Dominik: Die Implementierung von Cyber-Deception-Technologie erfordert sorgfältige Planung und Abstimmung mit der gesamten Cybersicherheitsstrategie des Unternehmens oder der Organisation. Die Implementierung selbst kann in vier Schlüsselpunkte zusammengefasst oder definiert werden: klare Ziele definieren, detaillierte Kartierung der Umgebung, Gestaltung von täuschenden Elementen und intelligente Implementierung.

Die Vorteile einer Cyber-Verteidigungsstrategie können am besten durch das Zitat „Kenne deinen Feind und du kannst gewinnen“ aus „Die Kunst des Krieges“ von Sun Tzu veranschaulicht werden, das im Kontext der Cyber-Verteidigung erhebliche Anwendung findet. Dieses Prinzip betont die Bedeutung des Verständnisses der Eigenschaften und Absichten von Angreifern, um Cyber-Bedrohungen erfolgreich zu identifizieren und zu neutralisieren. Durch die Analyse von Angriffsmethoden, die Identifizierung von Systemanfälligkeiten und die Implementierung von Cyber-Deception-Systemen wie Lockvögeln können Benutzer ihre Verteidigungsstrategien besser vorbereiten und ihre Widerstandsfähigkeit gegenüber Angriffen erhöhen. Ein tiefes Verständnis von Bedrohungen ermöglicht schnellere Reaktionen und ein effektiveres Management von Sicherheitsrisiken, wodurch potenzielle Schäden minimiert und die Integrität von Netzwerksystemen und kritischer Infrastruktur gewahrt bleibt.

Luka: Angesichts des Mangels an erfahrenen CISOs wird Organisationen die Lösung eines „virtuellen CISO“ angeboten, der Organisationen Zugang zu hochqualifizierten Cybersicherheitsexperten bietet. Als virtuelle CISOs können sie ihre Dienste vorübergehend oder kontinuierlich anbieten. Auf diese Weise können Organisationen das Fachwissen erfahrener Fachleute nutzen, ohne dauerhaft Personal einstellen zu müssen.

vCISO bewertet kontinuierlich die Cybersicherheit der Organisation, identifiziert deren Position, Risikoniveau und Compliance-Mängel und entwickelt einen detaillierten Plan zur Behebung dieser Mängel, wobei die Umsetzung und Optimierung verwaltet wird.

Luka: Wenn wir über die Schulung von Mitarbeitern im Bereich der Cybersicherheit sprechen, ist es angemessener, den Begriff Schulung zu verwenden, da es sich um einen kontinuierlichen Prozess handelt, der ständige Übung und Anpassung erfordert, um die Organisation effektiv gegen die neuesten Bedrohungen zu verteidigen. Schulungen, Bildung und Tests der Mitarbeiter sollten mit unterschiedlicher Intensität durchgeführt werden, abhängig von der Art der Schulung und der Zielgruppe, um Bedrohungen und Risiken rechtzeitig zu identifizieren, die Aufmerksamkeit erfordern.

Beispielsweise kann die Schulung zur sicheren Nutzung von Unternehmensressourcen einmal im Jahr stattfinden, während Schulungen zur Notfallwiederherstellung alle sechs Monate organisiert werden sollten. Andererseits sollten Schulungen für IT-Administratoren, die technische Aspekte der Sicherheit und Schulungen für Mitarbeiter zur Erkennung und Abwehr von Phishing-E-Mails umfassen, häufiger (vierteljährlich/monatlich) stattfinden.

Regelmäßige Schulungen reduzieren die Reaktionszeit in Krisensituationen, was entscheidend ist, um Schäden im Falle eines Sicherheitsvorfalls zu minimieren. Es ist auch wichtig, Änderungen in der Gesetzgebung und den Richtlinien zu überwachen und zusätzliche Schulungen einzuführen, wenn neue Technologien eingeführt werden oder wenn Anpassungen an Vorschriften oder Gesetze erforderlich sind.

Luka: Schulungen sollten interaktiv, relevant und auf die Zielgruppe zugeschnitten sein. Einige der effektivsten Methoden umfassen interaktive Online-Schulungen, Simulationen von Phishing-Angriffen sowie Workshops und praktische Übungen. Wir empfehlen auch Mikro-Schulungen und die Einbeziehung von Gamification-Elementen in die Schulung, wie Wettbewerbe, um das Engagement der Mitarbeiter zu erhöhen.

Nedeljko: Es ist wichtig, ein Dokument mit einem Vorfallreaktionsplan vorzubereiten, das die wichtigsten Bereiche abdecken muss. Primär ist es notwendig, sich vorzubereiten und zu planen, in denen Unternehmen Prozesse zur Identifizierung und Verwaltung von Schwachstellen sowie Pläne zur Geschäftskontinuität entwickeln müssen, um die Geschäftswiderstandsfähigkeit während Vorfällen zu gewährleisten.

Dann ist die tatsächliche Reaktion auf Vorfälle wichtig, das heißt, wie man sich verhält, wenn ein Vorfall auftritt. Dies umfasst die schnelle Identifizierung und Isolierung betroffener Systeme, um weiteren Schaden zu verhindern. Danach ist es zwingend erforderlich, relevante interne und externe Stakeholder durch effektive Kommunikation und Koordination zu benachrichtigen und einzubeziehen. Darauf folgen Aktivitäten, die von definierten Incident-Teams durchgeführt werden, um den Angriff so schnell wie möglich zu stoppen und zu beseitigen.

Der nächste Bereich ist die Vorfallanalyse, die entscheidend ist, um zu verstehen, was passiert ist, warum es passiert ist und wie man eine Wiederholung verhindern kann. Dies umfasst die Identifizierung der Ereignisfolge, die Bestimmung von Schwachstellen und Bedrohungen sowie die Feststellung der Ursache des Vorfalls.

Dann wird die Wiederherstellung nach dem Vorfall geplant, bei der es wichtig ist, sicherzustellen, dass Systeme in den normalen Betriebszustand zurückversetzt werden und dass Schwachstellen beseitigt werden, um ähnliche zukünftige Vorfälle zu verhindern. Es ist entscheidend, Maßnahmen zu ergreifen, um die Integrität von Backups und anderen Ressourcen, die für die Wiederherstellung und die Rückkehr zur vollen Funktionalität der wichtigsten Dienstleistungen erforderlich sind, sicherzustellen.

Und schließlich, nicht weniger wichtig, das Gelernte anzuwenden und den gesamten Plan kontinuierlich zu verbessern, indem Sie Ihre Pläne und Prozesse regelmäßig gemäß neuen Bedrohungen aktualisieren.