Thought Leadership
Sicherheitsverantwortliche haben Jahrzehnte damit verbracht, Abwehrmaßnahmen aufzubauen, doch trotz Investitionen in die Prävention sind Unternehmen nach wie vor mit erheblichen Störungen und Ausfallzeiten durch Cyberangriffe konfrontiert.
Daher ist es notwendig, den Fokus zu verlagern: Von einer Denkweise, die auf Prävention und Reaktion ausgerichtet ist, hin zu einer Cyberresilienz-Strategie, die ihren Schwerpunkt auf Wiederstands- und Anpassungsfähigkeit legt. Im Folgenden werden das Konzept der Cyberresilienz, wichtige Ziele, die diesem Ansatz zugrunde liegen, sowie praktische Maßnahmen beleuchtet, die Sicherheitsexperten dabei helfen, ein resilientes Unternehmen aufzubauen und Ausfallzeiten zu minimieren.
Was ist Cyberresilienz?
Das National Institute of Standards and Technology (NIST) definiert „Cyberresilienz“ in seiner Veröffentlichung NIST SP 800-160, Volume 2: Developing Cyber Resilient Systems als „die Fähigkeit, widrige Umstände, Beeinträchtigungen, Angriffe oder Kompromittierungen zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen“. Diese Definition bietet ein leistungsstarkes Framework, das auf vier Hauptzielen basiert:
1. Antizipieren: Vorbereitung auf potenzielle Bedrohungen.
2. Standhalten: Einen Angriff ohne Betriebsausfall überstehen.
3. Erholen: Nach einem Vorfall den normalen Betrieb schnell wiederherstellen.
4. Anpassen: Aus jedem Ereignis lernen, um stärker zu werden.
Im Folgenden wird näher erläutert, was jedes dieser Ziele in der Praxis bedeutet.
1. Antizipieren: Vorbereitung auf gegnerische Aktionen
Antizipation erfordert, dass Sicherheitsexperten wie Angreifer denken. Sie müssen gründliche Bedrohungsanalysen durchführen, um einzuschätzen, welche Bedrohungsakteure aufgrund von Branche, Region und Größe am ehesten ihr Unternehmen ins Visier nehmen, und sich auf dieser Basis auf wahrscheinliche Szenarien vorzubereiten. Proaktive Risikobewertungen und Programme zur Bedrohungserkennung sind hier unerlässlich. Wenn Sicherheitsexperten die möglichen Angriffe kennen, die Cyberkriminelle starten könnten, sind Unternehmen nicht nur besser in der Lage, einer Attacke standzuhalten, sondern sich auch effektiver davon zu erholen. Vorausschauendes Handeln bietet die nötige Weitsicht, um eine relevante und robuste Verteidigung aufzubauen.
2. Widerstandsfähigkeit: Auslegung auf Ausdauer
Einem Angriff standzuhalten bedeutet, seine Auswirkungen ohne Betriebsunterbrechungen zu absorbieren. Dieses Ziel wird durch eine robuste Architektur und tiefgreifende Verteidigungsstrategien erreicht. Sicherheitsverantwortliche müssen Systeme und Kontrollen unter der Annahme entwickeln, dass einzelne Komponenten ausfallen können. Wenn eine Kontrollmaßnahme umgangen wird, muss eine andere bereitstehen, um ihren Platz einzunehmen. Dieser mehrschichtige Ansatz stellt sicher, dass ein einzelner Ausfallpunkt nicht zum vollständigen Zusammenbruch führt. Die Widerstandsfähigkeit ist ein direktes Maß für die operative Ausdauer des Unternehmens angesichts einer aktiven Bedrohung.
3. Wiederherstellung: Ausfallzeiten minimieren
Die Wiederherstellung ist ein kritischer Bestandteil der Resilienz, der weit mehr Aufmerksamkeit verdient, als ihm oft zuteil wird. Das Ziel besteht darin, Ausfallzeiten zu minimieren und den Geschäftsbetrieb nach einem Sicherheitsvorfall so schnell wie möglich wiederherzustellen. Eine effektive Recovery hängt von klar definierten Vorgehensweisen für die Reaktion auf Vorfälle und der Fähigkeit ab, diese schnell umzusetzen. Beispielsweise sind unveränderliche Backups für die Wiederherstellung nach einem Ransomware-Angriff grundlegend. Bei einer schnellen Recovery geht es nicht nur um Technologie, sondern auch um Prozesse und Vorbereitungen, die es dem Unternehmen ermöglichen, den Geschäftsbetrieb mit minimalen Auswirkungen auf Geschäftsumsatz und unternehmenskritische Funktionen wieder aufzunehmen.
4. Anpassungsfähigkeit: Aus jedem Vorfall lernen
Die Anpassung ist wohl das wirkungsvollste der vier Hauptziele und meint die Fähigkeit, aus jedem Vorfall zu lernen und gestärkt daraus hervorzugehen. Jeder Vorfall, sei es eine erfolgreiche Umgehung von EDR-Tools oder eine ausgeklügelte Phishing-Kampagne, ist eine Chance zur Optimierung. Sicherheitsexperten sollten sich fragen:
• Was sagt mir dieser Angriff über meinen Gegner?
• Wo haben meine bestehenden Kontrollen versagt?
• Wie kann ich meine Sicherheitsvorkehrungen verbessern, um zu verhindern, dass so etwas erneut passiert?
Indem Sicherheitsverantwortliche jeden Vorfall als Lektion betrachten, schaffen sie eine Feedbackschleife, die das Unternehmen kontinuierlich stärkt.
Praktische Cyberresilienz-Maßnahmen zur Minimierung von Ausfallzeiten
Implementierung einer Zero-Trust-Architektur (ZTNA): Zero Trust steht im Einklang mit Cyberresilienz. Eine Zero-Trust-Architektur (ZTNA) ist kein einzelnes Tool, sondern ein strategischer Ansatz, der die Sicherheit von einem netzwerkzentrierten zu einem ressourcenorientierten Modell verlagert. ZTNA gibt Sicherheitsexperten die detaillierte Kontrolle, die nötig ist, um je nach sich ändernden Bedingungen spezifische Maßnahmen für ein Gerät oder einen Benutzer zu ergreifen. Die Implementierung von ZTNA ist ein wesentlicher Schritt, um eine schnelle Wiederherstellung und adaptive Kontrolle zu ermöglichen.
Aufrechterhaltung der Kontrollhygiene: Konfigurationsabweichungen sind eine ständige Herausforderung, da Sicherheitstools im Laufe der Zeit deaktiviert oder falsch konfiguriert werden. Untersuchungen von Absolute Security zeigen, dass bis zu 25 Prozent der Sicherheitskontrollen zu einem bestimmten Zeitpunkt nicht im gewünschten Zustand sind. Daher muss sichergestellt sein, dass der Betrieb kritischer Anwendungen aufrechterhalten wird und sie stets funktionsfähig sind.
Automatisierte Risikobehebung: Sicherheitsteams sollten kritische Funktionen automatisieren, die es ermöglichen, Risiken zu identifizieren und zu beheben, bevor diese von Angreifern ausgenutzt werden oder zu technischen Ausfällen führen. Hierfür eignen sich Lösungen zum Scannen und Patchen von Sicherheitslücken, die automatisch Schwachstellen und Fehlkonfigurationen in Betriebssystemen, Software und allen eingesetzten Geschäftsanwendungen und Sicherheitskontrollen erkennen und beheben.
Transparenz für Endpunkte: Es sollten Lösungen eingesetzt werden, die uneingeschränkte Fernsichtbarkeit und Kontrolle über die PC-Flotten bieten. Sicherheitsteams sollten wissen, wo sich jedes Gerät befindet, mit welchen Netzwerken es verbunden ist, was Benutzer damit tun, und Geräte aus der Ferne sperren und Daten löschen können.
Netzwerksicherheit: Um die Sicherheit und Verfügbarkeit des Netzwerks zu gewährleisten, benötigt es Lösungen, die Transparenz, Kontrolle und Durchsetzung von Richtlinien über alle Netzwerkzugangspunkte hinweg bieten. Es sollte sichergestellt werden, dass verdächtiger Datenverkehr überwacht, nicht autorisierte Anwendungen und Zugriffsversuche blockiert und sensible Informationen vor unbefugten Benutzern geschützt werden.
Schnelle Wiederherstellung: Angriffe und technische Vorfälle sind unvermeidlich. Früher oder später werden Unternehmen mit einer Situation konfrontiert, die den Geschäftsbetrieb stört. Wie lange und kostspielig diese Betriebsunterbrechung ausfällt, hängt weitgehend davon ab, wie gut Sicherheitsteams darauf vorbereitet sind. Unternehmen sollten über Lösungen verfügen, mit denen Geräte aus der Ferne wiederhergestellt werden können, selbst wenn das Betriebssystem und andere Sicherheits- und Verwaltungstools abstürzen, kompromittiert oder beschädigt sind. Durch die proaktive Simulation von Ausfällen und Angriffen bauen Sicherheitsteams zudem eine Routiniertheit auf, die für eine schnelle, effektive Wiederherstellung erforderlich ist.
Cyberresilienz in die Chefetage bringen
Um erfolgreich zu sein, muss Cyberresilienz ein gemeinsames Ziel der gesamten Organisation sein, angefangen bei der obersten Führungsebene. Gespräche mit dem Vorstand sollten sich nicht auf bestimmte Sicherheitskontrollen konzentrieren, sondern auf den Schutz des Geschäftsbetriebs und der Unternehmenserträge. CISOs sollten dabei proaktive Maßnahmen mit der Unternehmensleitung abstimmen. Zum Beispiel, ob im Fall erster Anzeichen eines Ransomware-Angriffs auf Geräten, auch die der Chefetage, diese sofort deaktiviert werden dürfen, um das Unternehmen zu schützen. So können Sicherheitsteams entschlossen handeln. Durch die Vorbereitung auf Ausfälle und Abstimmung mit der Unternehmensleitung bleiben Cybervorfälle beherrschbare Zwischenfälle.
Cyberresilienz geht über traditionelle Cybersecurity hinaus. Es geht darum sicherzustellen, dass kritische Prozesse Angriffen und technischen Störungen standhalten und sich im Ernstfall rasch erholen, um Ausfallzeiten zu minimieren und die Geschäftskontinuität zu sichern.
