… und was dies für Ihre Cyber Security bedeutet.
Die Tage werden kürzer, die Nächte länger. Und wie in jedem Jahr so werden (leider) auch wieder die Einbruchsdelikte ansteigen. Der Grund ist naheliegend: Einbrecher nutzen die Dunkelheit, um möglichst nicht entdeckt zu werden. Sie fragen sich nun, weshalb ich in unserem Cyber Security Blog darüber berichte? Ganz einfach – weil wir sehr viel vom Vorgehen bei einem Einbruch und den nachfolgenden kriminalistischen Ermittlungen (hoffentlich bis hin zur Festnahme des Täters) in die Cyber Security übertragen können.
Es ist ja nicht so, dass die Opfer eines Einbruchs fahrlässig handeln. Türen und Fenster werden beim Verlassen des Hauses oder der Wohnung sorgfältig verschlossen; allenfalls sogar noch mit einem abschliessbaren Griff oder einer Sicherheitsfolie versehen. Und trotzdem ist der Einbrecher still und leise eingebrochen. Und genau dies passiert tagein, tagaus auch bei Cyberattacken. Die ICT-Sicherheitsmauern wurden in der Vergangenheit zunehmend höher und höher – stören einen professionellen Angreifer jedoch kaum. Er wird Mittel und Wege finden, um an sein gewünschtes Ziel zu kommen. Gerade deshalb ist heutzutage neben dem reinen Schutz die schnelle Erkennung und Reaktion immer wichtiger. Ich will Sie aber nicht beängstigen, ganz im Gegenteil! Ich will Sie anspornen, bei Ihrer Cyber Security-Strategie einen Schritt weiter zu gehen und dem Bereich der Einbruchserkennung (Detection) und der Reaktion (Response) mehr Aufmerksamkeit zu widmen. Zu Ihrem Schutz!
Nochmals zurück zu unserer Analogie mit dem Einbruch: Bei der Erkennung von einem Einbrecher setzen wir immer mehr auf technische Hilfsmittel wie Alarmanlagen, Videoüberwachung, Bewegungsmelder usw. Aber auch der Mensch – aufmerksame Nachbarn oder eine Polizeipatrouille – ist enorm wichtig. Schlagen die Systeme Alarm, muss es schnell gehen. Die Polizei wird alles daransetzen, den Täter auf frischer Tat zu schnappen. Gelingt dies nicht, rücken die Spezialisten der Spurensuche und Forensik an. Mit all den kleinen Puzzleteilen gelingt es der Polizei dann (hoffentlich), den Einbrecher festzunehmen, die Beute sicherzustellen und so den Schaden für das Opfer zu minimieren.
Genau so ist auch in der Cyber Security: Detection-Lösungen und die Erfahrung und Kompetenz von Analysten sind gefragt, wenn es darum geht, einen Cyberangriff zu erkennen. Erkennen diese einen Sicherheitsvorfall, kommt ein Expertenteam (CSIRT) zum Einsatz. Dieses setzt alles daran, mit geeigneten Mitteln das Ausmass und den Schaden zu minimieren. Und wie bei einem Einbruch auch, sollten es im Fall eines Security Incidents absolute Experten ein. Sie würden ja auch misstrauisch, wenn für die Spurensuche Verkehrspolizisten zum Einsatz kämen, anstelle von Kommissaren oder Forensikern.
Natürlich ist der Ausbau zielgerichteter Massnahmen zur Abwehr von Cyberattacken unabdingbar. Ich bin der Überzeugung, den Fokus nur auf präventive Massnahmen zu legen, ist definitiv zu kurz gegriffen. Ein systematischer Sicherheitsansatz, der sowohl das Risikomanagement, den Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse sowie die Wiederherstellung und Optimierung berücksichtigt, ist das A und O einer erfolgreichen Cyber Security-Strategie. Ein Vorgehen, wie es übrigens auch das NIST Cyber Security Framework vorgibt und beispielsweise die FINMA von Schweizer Finanzdienstleistern verlangt. Aber eigentlich kennen Sie das Prinzip ja schon. Es ist ähnlich wie das Vorgehen, das wir im Fall eines Wohnungseinbruchs seit jeher einsetzen. In unserem letzten Blogbeitrag haben wir Ihnen dieses anschaulich erklärt – inkl. einer Infografik, die Sie kostenlos downloaden können.
Welche Fragen Sie sich beim Aufbau eines solchen Cyber Security Frameworks stellen müssen und welche Massnahmen in den einzelnen Phasen erforderlich sind, haben wir Ihnen in einer Checkliste zum Download bereitgestellt. Profitieren auch Sie von unserem kostenlosen Framework!
Fakt ist: Sie müssen sich wohl oder übel damit abfinden, dass auch Ihr Unternehmen Opfer eines Security Incidents werden kann. Für Sie heisst das nun, dass Sie einen solchen Sicherheitsvorfall erkennen und schnell darauf reagieren müssen. Denken Sie dabei nur einmal an die GDPR-Meldepflicht von Datenschutzverletzungen innerhalb von 72 (!) Stunden. (Anmerkung: Nicht selten dauert es Wochen, gar Monate, bis ein erfolgreicher Angriff überhaupt erkannt wird. Da sind drei Tage – egal ob nun Wochenende, Ferienzeit oder ein Feiertag ist – eine echte Herausforderung.)
Detection und Reponse sind keine Disziplinen, welche die IT-Abteilung so «nebenbei» machen kann – zumal die heutigen Anforderungen an den normalen Betrieb schon eine riesengrosse Herausforderung darstellen. Dieser Paradigmenwechsel mit dem Fokus auf der zeitnahen Erkennung von Risiken und Angriffen, ist der Ausgangspunkte für die richtigen Reaktionsmassnahmen, die Vorhersage und das Verhindern von potentiellen Schäden. All diese Aufgaben sind ohne ein Security Operations Center (SOC), oder wie wir es nennen Cyber Defence Center (CDC), mit einem spezialisierten CSIRT (Cyber Security Incident Response-Team) nicht zu bewältigen.
Ohne ein solches Cyber Defence Center entdecken Unternehmen Angriffe möglicherweise gar nicht oder zu spät. Somit können sie nicht angemessen auf die Bedrohungen reagieren. Ein dediziertes Incident Response-Team mit den entsprechenden Hilfsmitteln ist deshalb unabdingbar. Eine Einschätzung, die beispielsweise auch der SANS 2017 Security Operations Center Survey belegt.
Ein dediziertes Incident Response-Team in einem Cyber Defence Center hilft, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren sowie den Business Impact drastisch zu reduzieren. Cyber Defence ist eine anspruchsvolle Arbeit – und geht weit über Netzwerk-Monitoring hinaus. Deshalb empfiehlt es sich, professionelle Hilfe beizuziehen. So sind Unternehmen den Cyber Security Incidents nicht schutzlos ausgeliefert und profitieren gleichzeitig von der Erfahrung und den Erkenntnissen aus anderen Sicherheitsvorfällen. Dies hilft schlussendlich, die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.
Cyber Defence ist entscheidend im Wettlauf gegen Cyberkriminelle. Genau aus diesem Grund erwarten Sie in nächster Zeit weitere wertvolle Blogartikel, Tipps und Tricks von unseren Experten, Checklisten sowie Whitepapers rund um das Thema Cyber Defence. Dort erklären wir Ihnen step by step, was Cyber Defence alles beinhaltet und weshalb sie so wichtig ist. Abonnieren Sie jetzt unsere Blog-Updates, um keine der weiteren Artikel zu verpassen. Sie werden es nicht bereuen – im Gegenteil!