Thought Leadership
Datendiebstahl, Erpressung, Sabotage: Cyberkriminelle sind heute gut organisiert und können immensen Schaden anrichten. Das Risiko nimmt zu, denn jedes vernetzte Gerät ist ein potenzielles Einfallstor. Um sich zu schützen, müssen Unternehmen einen Zustand der Sustainable Cyber Resilience erreichen, meint Dirk Schrader, CMO beim Sicherheitsexperten Greenbone.
Herr Schrader, was versteht man eigentlich unter Sustainable Cyber Resilience?
Dirk Schrader: Wörtlich übersetzt bedeutet Sustainable Resilience „nachhaltige Widerstandsfähigkeit“. Und genau darum geht es. Unternehmen müssen sich zum einen vor Cyberangriffen schützen. Zum anderen müssen sie auch im Falle einer Hackerattacke funktionsfähig bleiben und in der Lage sein, ihre angestrebten Geschäftsziele zu erreichen. Beides gelingt, wenn sie einen Zustand der nachhaltigen Widerstandsfähigkeit erreichen.
Wie unterscheidet sich Cyber Resilience denn von Cyber Security?
Dirk Schrader: Sustainable Cyber Resilience ist ein umfassendes Konzept, das eher strategisch als technologisch ausgerichtet ist. Eine entscheidende Rolle spielt die Prävention. Bisher haben sich viele Unternehmen eher reaktiv mit Sicherheitsvorfällen auseinandergesetzt. Es passiert etwas – zum Beispiel ein Angriff mit WannaCry – und dann passt man die Sicherheitssysteme an. Cyber Resilience setzt schon viel früher an. Es geht darum, die Unternehmens-IT durch präventive technische und organisatorische Maßnahmen zu härten und so die Angriffsfläche zu verringern. Das Konzept setzt dabei auf ein enges Verweben von IT-Sicherheitsmaßnahmen mit den Unternehmensprozessen und deren kritischen Assets – und nicht darauf, eine möglichst dicke „Mauer“ um das ganze Unternehmen zu errichten.
Wie können Unternehmen dies erreichen?
Dirk Schrader: Zunächst einmal ist es wichtig, Schwachstellen aufzudecken, Risiken zu identifizieren und zu bewerten. Unternehmen sollten ihre wichtigsten Assets auflisten und überlegen, welchen Schaden ein Angriff auf diese jeweils anrichten könnte. Aus der Relation zwischen der Bedeutung des Assets für das Unternehmen und der Charakteristik einer Schwachstelle – sprich wie einfach sie auszunutzen ist – ergibt sich dann eine priorisierte Liste. Die Schwachstellen mit dem höchsten Risiko sollten Unternehmen zuerst schließen.
Kann man jemals alle Schwachstellen beheben?
Dirk Schrader: Das wäre schön – ist aber nicht realistisch. Die IT-Landschaft eines Unternehmens – egal welcher Größe – verändert sich ständig. Zudem werden auch täglich neue Schwachstellen veröffentlicht. Daher ist es sinnvoller einen Risiko-Schwellenwert festzulegen und diesen mit Hilfe von Schwachstellen-Management stabil zu halten. Jedes Unternehmen muss dabei für sich abwägen, bis zu welcher Schwelle es welche Risiken in Kauf nehmen möchte und auf welche Schutzmaßnahmen es hingegen nicht verzichten kann. Man kann Risiken nie vollständig ausmerzen, sondern muss sie managen.
Warum ist Sustainable Resilience heute so wichtig?
Dirk Schrader: Schutz gegen Cyberangriffe ist wichtig, seitdem es IT-Systeme und das Internet gibt. Mit der umfassenden Digitalisierungswelle hat sich die Situation aber verschärft. Denn die IT ist heute Basis für nahezu alle Geschäftsprozesse. Wenn sie einmal ausfällt, geht nichts mehr. Dadurch haben Cyberangriffe viel weitreichendere Folgen. Gleichzeitig wächst mit jedem vernetzten Gerät auch die Angriffsfläche. Für Hacker eröffnet das neue Chancen. Dazu kommt, dass Cyberkriminelle heute gut organisiert und professionell aufgestellt sind. Wie man an den Ransomware-Attacken mit WannaCry und Petya sehen konnte, hat sich geradezu eine kommerzielle Branche entwickelt, die versucht, mit Hackerangriffen Profit zu machen.
Was sind besondere Herausforderungen, vor denen Unternehmen stehen?
Dirk Schrader: Durch die zunehmende Vernetzung wachsen IT und OT, also die Operational Technology, zusammen. Das heißt, Angriffe auf die IT können sich jetzt auch auf Produktionsanlagen, Heizungssysteme oder medizinische Geräte auswirken. Umgekehrt können Hacker auch Schwachstellen in physischen Assets ausnutzen, um in Unternehmens-Netzwerke einzudringen. Man muss also alle vernetzten Systeme, Geräte und Applikationen berücksichtigen, um Sustainable Cyber Resilience zu erreichen – sowohl die der IT als auch der OT. Die Verbindung der beiden Welten schafft neue Risiken. Besonders gravierend sind diese für Unternehmen, die zu den kritischen Infrastrukturen gehören.
Kritische Infrastrukturen sind ja ein gefährliches Angriffsziel…
Dirk Schrader: Absolut. Unter die kritischen Infrastrukturen fallen Organisationen und Einrichtungen, die besonders wichtig für das Gemeinwesen sind, wie zum Beispiel die Energieversorgung, die Trinkwasserversorgung oder der Gesundheitssektor. Wir alle können uns wohl lebhaft vorstellen, welche fatalen Auswirkungen ein Cyberangriff auf ein Atomkraftwerk haben würde. Durch Abhängigkeiten der kritischen Infrastrukturen untereinander kann es auch zu Kaskadeneffekten kommen. So würde zum Beispiel ein längerer Stromausfall die Wasser- und Nahrungsmittelversorgung oder den Betrieb in Krankenhäusern beeinträchtigen.
Welche gesetzlichen Vorschriften gelten für KRITIS-Unternehmen in Bezug auf den Schutz vor Cyber-Angriffen?
Dirk Schrader: Kritische Infrastrukturen müssen besonders gut geschützt werden und sind daher gesetzlich verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz vor Cyberangriffen zu treffen. Auf EU-Ebene regelt dies die NIS-Richtlinie, die für ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen sorgen soll. In Deutschland ist die NIS-Richtlinie im IT-Sicherheitsgesetz umgesetzt. Dies enthielt ohnehin schon viele der Regularien für kritische Infrastrukturen, die das neue EU-Gesetz jetzt fordert. Somit waren nur kleine Ergänzungen nötig.
Was sind denn geeignete technische und organisatorische Maßnahmen?
Dirk Schrader: Im Gesetz wird das nicht genau ausgeführt – es heißt lediglich, dass sie dem Stand der Technik entsprechen müssen. Eine Orientierungshilfe für den Stand der Technik gibt zum Beispiel die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes. Sie schreibt unter anderem Vulnerability Management vor.
Wie hilft Vulnerability Management Unternehmen dabei, Sustainable Cyber Resilience herzustellen?
Dirk Schrader: Eine Vulnerability-Management-Lösung scannt alle an einem Netzwerk angeschlossenen Geräte und prüft sie auf mögliche Angriffspunkte. Anschließend bewertet sie das Risiko der gefundenen Sicherheitslücken und stößt Prozesse an, um sie zu beseitigen. Dazu gehört zum Beispiel, Patches einzuspielen und Systeme upzudaten. Außerdem erkennt die Lösung unsichere Einstellungen in Programmen. Vulnerability Management ist jedoch nur ein Baustein im Resilienz-Konzept. Ebenso wichtig sind organisatorische Maßnahmen. Unternehmen sind stetig dabei neue Prozessabläufe zu entwickeln und bestehende zu verfeinern, um den eigenen Erfolg zu sichern. Sind diese Abläufe und die zugehörigen Verantwortlichkeiten eng mit der Informationssicherheit verwoben, verbessert sich die Widerstandsfähigkeit sowohl auf technischer Ebene – also bei den die einzelnen Systemen und Assets – als auch organisatorisch. Dabei helfen klare Verantwortlichkeiten, verständliche Maßnahmen zur Beseitigung einer Schwachstelle und sensibilisierte Mitarbeiter. Den letzten Punkt sollte man nicht vergessen, denn viele Mitarbeiter sind sich nicht bewusst, wie gefährlich Unachtsamkeit, Fehlverhalten oder schlichtes Unterlassen sein kann.
Dirk Schrader (CISSP, CISM) ist Chief Marketing Officer (CMO) bei Greenbone, Lösungsanbieter zur Schwachstellen-Analyse von IT-Netzwerken. Er verfügt über mehr als 15 Jahre Erfahrung im Bereich IT Security. Bei Greenbone ist er im Management-Team für die Marketingaktivitäten sowie den internationalen Vertrieb mit einem erweiterten Partnernetzwerk verantwortlich.
