Ein riesiger Schattenmarkt im Darknet bietet modernste Cyberangriffswerkzeuge, deren Preis wie im klassischen Versandhauskatalog zum Beispiel nach Wirksamkeit oder Reichweite gestaffelt ist.
Welche Faktoren den Datenklau heute begünstigen
Was die Wahrscheinlichkeit eines Angriffs heute weiter erhöht: Man muss kein Hacker, Tüftler oder Programmierer mehr sein, um gefährliche Angriffe auf wertvolle Daten zu starten. Ein riesiger Schattenmarkt im Darknet bietet modernste Cyberangriffswerkzeuge, deren Preis wie im klassischen Versandhauskatalog beispielsweise nach Wirksamkeit oder Reichweite gestaffelt ist. Und wem sogar das noch zu kompliziert ist, der kann sich mit dem nötigen Kleingeld komplette Angriffsszenarien als Dienstleistung bestellen.
Zwei weitere Faktoren, die Angreifern in die Karten spielen, sind der Einsatz von öffentlichen Clouds und das Internet der Dinge (IoT). Die Integration von Clouds eliminiert die einst klaren Wege zwischen Nutzer und Server. Damit werden auch klassische Firewalls, die diesen Weg bewachen sollten, leicht umgehbar. Und mit dem IoT kommen neue Endgeräte in das Netz, für die es noch keine etablierten Sicherheitsstandards gibt. Das öffnet „Hintertüren“ für Datenräuber und führt zu einer massiven Vergrößerung der Angriffsfläche.
Digitale Angriffe auf Unternehmen
97 %der befragten Führungskräfte erwarten eine steigende Gefahr durch Cyberangriffe und Datenklau.
Das Ergebnis dieser Entwicklung ist bereits deutlich zu sehen: 40 Prozent der Unternehmen haben der EY Datenklaustudie zufolge in den vergangenen drei Jahren konkrete Hinweise auf Cyberangriffe beziehungsweise Datenklau entdeckt. Etwa jedes vierte Unternehmen nahm sogar mehrfache Cyberangriffe beziehungsweise Datenklauversuche wahr. Dabei werden viele Angriffe gar nicht, zu spät oder nur zufällig entdeckt. Die Täter bleiben meist unerkannt. Für die Zukunft ihres jeweiligen Unternehmens erwarten 97 Prozent der befragten Führungskräfte eine steigende Gefahr durch Cyberangriffe und Datenklau.
Sicherheit muss neu gedacht werden
Lange Zeit fokussierte die Verteidigungsstrategie in der IT darauf, die Außengrenzen des Netzwerks, den sogenannten „Perimeter“, zu sichern. Fortschritte dieser Strategie bedeuteten, die gezogenen Außenmauern einfach noch höher zu bauen. Das Problem dabei: Egal wie hoch die Mauern sind, früher oder später schafft es ein Angreifer darüber. War das Hindernis einmal überwunden, hatte der Eindringling im Netzwerk weitgehend freie Hand und konnte nahezu ungebremst Schaden anrichten.
Ähnlicher Artikel
Inzwischen setzt sich mehr und mehr ein ganz anderer Ansatz durch. Nach wie vor darf es den Angreifern am Perimeter nicht leicht gemacht werden, aber die neue Prämisse lautet: „Wir müssen davon ausgehen, dass wir Eindringlinge im Netz haben. Lass uns sehen, was sie vorhaben, alles genau protokollieren und ihre Aktionen kontrollieren und gegebenenfalls blockieren.“
Das ist fast eine 180-Grad-Wende in der Verteidigungsstrategie, die nun auf Sichtbarkeit und Kontrolle aller Aktionen im Netz basiert. Hinzu kommt, dass die klassischen Außengrenzen eines Netzwerks in einer mobilen, Cloud-integrierten Welt immer weiter verschwimmen. In diesem Zuge gewinnt noch eine andere Spezies von Verteidigungskomponenten an Bedeutung: Incident Response, also die sofortige Reaktion auf alle Ereignisse im Netz. Höchste Priorität liegt nicht mehr darauf, den „Eindringling abzuwehren“, sondern vielmehr darauf den „Eindringling zu entdecken und im Zaum zu halten“.
Warum Künstliche Intelligenz und Machine Learning immer wichtiger werden
Spätestens mit diesem Strategiewandel sind die Kapazitäten von Netzwerkadministratoren endgültig überfordert. Überwachung und Kontrolle aller Netzwerkaktivitäten durch menschliche Ressourcen wären so aufwendig, dass sie sich wirtschaftlich nicht mehr darstellen ließen. Deswegen werden Technologien wie Künstliche Intelligenz (KI) und Machine Learning (ML) unerlässlich. Nur so ist sowohl der ökonomisch geforderte Automatisierungsgrad als auch die gebotene Reaktionsgeschwindigkeit auf Vorfälle realisierbar. Dies gilt umso mehr, da insbesondere die Angreifer sogenannte „Early Adopter“ im Bereich neuer Technologien sind und KI-basierte Verfahren nutzen, sobald dies für sie sinnvoll ist.
An dieser Entwicklung wird eine weitere risikorelevante Eigenschaft der IT klar sichtbar: Es handelt sich um ein äußerst dynamisches Gewerk, dessen Technologien sich erheblich schneller entwickeln, als man das beispielsweise vom Stromnetz oder der Festnetztelefonie kennt. Und: Jede neue Anwendung im Netz könnte auch die IT-Sicherheit maßgeblich beeinflussen. Statische Implementierungen waren noch nie eine gute Idee – spätestens mit modernen Netzen funktionieren sie überhaupt nicht mehr. Sicherheit muss vielmehr als fortlaufender Prozess betrachtet werden.
Laut EY-Studie verfügt nur gut die Hälfte der befragten Unternehmen über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren.
Kommt es zu einem digitalen Angriff, helfen Krisenmanagement, Dokumentation und Kommunikation bei der Schadensminimierung. Bei meldepflichtigen Vorfällen und in der Datenforensik dient die Dokumentation zudem als wichtiges Beweismittel. Besorgniserregend: Laut EY-Studie verfügt nur gut die Hälfte der befragten Unternehmen über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren. Noch schlimmer: Weniger als ein Fünftel der befragten Unternehmen hat diese Abläufe jemals geübt.
Die Top 4 für eine erfolgreiche Verteidigung
1. Angemessenes Gefahrenbewusstsein ist Grundvoraussetzung: Regelmäßige Security-Awareness-Schulungen sollten fester Bestandteil der Mitarbeiterführung sein.
2. Angriffe besser und schneller erkennen: Noch werden Angriffe zu oft gar nicht oder zu spät erkannt. Der „Werkzeugkasten“ der Verteidigung muss so befüllt werden, dass Angreifer sofort identifiziert und isoliert werden können.
3. Geplantes Agieren ist besser als ängstliches Reagieren: Wer nur auf Abwehr setzt, hat wenig Spielraum für planvolles Reagieren, wenn ein Eindringling tatsächlich identifiziert wird. Mit einer guten Erkennung und Kontrolle von Angriffen müssen sich Unternehmen weniger fürchten. Zugleich sollte auf jeden Fall ein geübter Notfallplan zur Hand sein, falls tatsächlich Daten gestohlen wurden.
4. Komplexe Situationen erfordern kompetente Partner: IT im Allgemeinen und IT-Sicherheit im Besonderen sind äußerst dynamisch und komplex. Gut beraten ist, wer sich kompetent beraten lässt. Wer es allein versucht, steht meist auf verlorenem Posten.
Fazit
Die Gefahr eines Datenklaus in Unternehmen wächst rapide. Die Verteidigung muss von „Abschirmung“ in Richtung „Erkennung und Kontrolle“ gehen. Dafür spricht auch die Aufweichung der Außengrenzen durch mobiles Arbeiten und Cloud Computing. Für die Realisierung dieses Strategiewechsels sind Automatisierungstechnologien wie Machine Learning (ML) und Künstliche Intelligenz (KI) unverzichtbar. Sicherheit muss von Unternehmen als ständiger Prozess betrachtet werden. Für die Initiierung und Begleitung dieses Prozesses empfiehlt sich die Hinzunahme eines kompetenten Beraters.
