Thought Leadership
Experten sagen voraus, dass der durch Cyberangriffe verursachte Schaden bis 2025 auf 10,5 Billionen Dollar ansteigen könnte. Viele Unternehmen nehmen diese Bedrohungslage noch immer auf die leichte Schulter. Brendon Macaraeg von Fastly spricht im Interview darüber, wie sich Firmen mit einer „Defense in Depth“-Strategie gegen solche Bedrohungen wappnen können.
Wie schätzen Sie die aktuelle Bedrohungslage in Bezug auf Cybersicherheit ein?
Brendon Macaraeg: Der Russland-Ukraine-Konflikt hat einmal mehr gezeigt, dass politische Auseinandersetzungen heutzutage auch digital ausgetragen werden, was die allgemeine Sicherheitslage erheblich verschlechtert. Wir mussten miterleben, wie Russland Angriffe auf ukrainische Banken und Regierungsinstitutionen verübt, um sie vom Netz zu nehmen. Und natürlich gibt es auch unabhängig davon immer Bedrohungsakteure, die aus unterschiedlichsten Motivationen heraus Cyberangriffe durchführen – sei es mit finanziellen Absichten, als destruktives Statement oder weil sie als staatlich unterstützte Gruppen gezielt Schäden in für die Öffentlichkeit wichtigen Infrastrukturen anrichten wollen. Wie ernst das Thema Cyberkriminalität ist, zeigt beispielsweise das Kopfgeld in Höhe von 10 Millionen Dollar, das die US-Regierung auf den Anführer der Conti-Ransomware-Gruppe ausgesetzt hat. Es ist also umso wichtiger, dass Unternehmen ihre Cyber-Resilienz verbessern, um den nächsten Angriff zu verhindern oder zu erkennen..
Wie gut sind Unternehmen derzeit angesichts dieser Bedrohung in Sachen Cybersicherheit aufgestellt?
Brendon Macaraeg: Zu viele Unternehmen nehmen die eigene Cybersicherheit noch immer nicht ernst genug oder unterschätzen die ständige Veränderung der Bedrohungslandschaft, denn Cyberkriminelle entwickeln ihre Taktiken und Techniken stetig weiter. Sie suchen und finden immer neue Wege, in die technische Infrastruktur von Unternehmen einzudringen. Ob im Einzelhandel, in der Unterhaltungsbranche, im Gaming, im Gesundheitswesen oder im Finanzwesen – Unternehmen, die digital arbeiten, sind besonders betroffen. Jedes Unternehmen nutzt Webanwendungen und APIs, um seinen Kunden die Abwicklung von Geschäften oder den Datenaustausch mit Partnern zu ermöglichen. Und wenn Daten das Lebenselixier eines Unternehmens sind, dann sind diese Anwendungen und APIs alles, was zwischen einem Bedrohungsakteur und den wertvollen Daten steht. Daher ist es nicht verwunderlich, dass bei mehr als 70 Prozent aller Sicherheitsverletzungen eine Webanwendung oder eine API ausgenutzt wird, was sie zu den häufigsten Angriffszielen in Unternehmen macht. Zu den Web-Angriffsmethoden gehören dabei der Missbrauch gestohlener Anmeldeinformationen, SQL-Injection, Remote-Befehlsausführung und andere Taktiken, die Schwachstellen und Fehlkonfigurationen von Webanwendungen und den zugrunde liegenden Servern ausnutzen. Hinzu kommen etliche alte „Baustellen“, wie Phishing oder das Einschleusen von Malware, gegen die einige Unternehmen noch immer nicht gewappnet sind, weil sie es beispielsweise versäumen, ihre Mitarbeiter entsprechend zu schulen.
Was sollten Unternehmen also tun?
Brendon Macaraeg: Unternehmen müssen ihre Sicherheitsstrategien in drei verschiedenen Schlüsselbereichen optimieren: Menschen, Prozesse und Technologien. Proaktive Unternehmen haben bereits in alle drei Säulen investiert, gehen aber noch einen Schritt weiter – sie überprüfen regelmäßig ihren Sicherheitsstatus. Dabei werden folgende Aspekte genauer unter die Lupe genommen:
- Verfügen die Verantwortlichen über die notwendigen Fähigkeiten, um den Schutz des Unternehmens zu verwalten und auf veränderte Situationen zu reagieren?
- Verfügen die Mitarbeiter über die benötigten Kenntnisse und Schulungen, um das Beste aus den Investitionen in Sicherheitstools und -richtlinien herauszuholen? Können sie Recovery-Pläne im Falle einer Sicherheitsverletzung schnell umsetzen?
- Ist die Sicherheitstechnologie modern genug, um Bedrohungen zu erkennen und darauf zu reagieren? Gewährt sie gleichzeitig ausreichend Transparenz und Usability für Mitarbeiter, damit diese Risiken vermeiden und Bedrohungen abwehren können, bevor diese zum Problem für das Unternehmen und dessen wertvolle Daten werden?
Viele Unternehmen setzen dabei auf den Einsatz mehrerer Tools, um auf die zunehmende Komplexität ihrer Technologieumgebungen zu reagieren. Dabei dürfen sie aber nicht vergessen, dass kein Tool jemals 100-prozentigen Schutz bieten kann. Die Lösung ist viel mehr, so viele Schutzschichten und Hindernisse für Angreifer aufzubauen, dass diese nicht mehr in die Systeme vordringen können, ohne rechtzeitig entdeckt zu werden. Das nennen wir eine „Defense-in-Depth“-Strategie.
Was genau umfasst denn diese „Defense-in-Depth“-Strategie?
Brendon Macaraeg: Eine „Defense in Depth”-Strategie bedeutet, in Tools zu investieren, die in der Lage sind, Zugriffsanfragen, Authentifizierungsanforderungen sowie externe und interne Bedrohungen automatisch zu erkennen und darauf zu reagieren. Diese Tools können ein Eindringen an mehreren Stellen verhindern, an denen die Infrastruktur eines Unternehmens gefährdet werden kann. Dazu gehören der Schutz von Endpunkten und von Cloud-Workloads, von Web-Applikationen und APIs, dem Schwachstellen-Management sowie Netzwerk-Firewalls. Bei der Investition in Sicherheitslösungen müssen Unternehmen also darauf achten, dass diese Tools so zusammenarbeiten, dass ein vielschichtiges und somit schwer zu durchdringendes Abwehrsystem aufgebaut werden kann. Die richtigen Tools und deren Zusammenarbeit sind aber nur ein Aspekt einer erfolgreichen Sicherheitsstrategie.
Was gehört noch dazu?
Brendon Macaraeg: Eine regelmäßige, umfassende Bewertung der Gefährdungslage. Dadurch lässt sich feststellen, ob Unternehmen in der Vergangenheit bereits kompromittiert wurden, und es können Strategien entwickelt werden, um vorhandene Angreifer abzuwehren. Außerdem werden durch eine Gefährdungsbewertung auch ineffiziente Sicherheitspraktiken aufgedeckt, die behoben werden können.
Ein weiterer wichtiger Punkt einer „Defense-in-Depth“-Strategie ist der Faktor Mensch: Die besten aufeinander abgestimmten Technologien und Schutzmaßnahmen bringen nichts, wenn Mitarbeiter selbst zum Einfallstor werden. Regelmäßige Schulungen verhindern, dass Mitarbeiter Opfer von Phishing-Attacken oder Social Engineering werden. Sie müssen außerdem wissen, wie die eingerichteten Sicherheitsmaßnahmen korrekt umgesetzt werden und was im Falle einer Sicherheitsverletzung zu tun ist.
Was bedeutet das für die Zukunft der Cybersicherheit?
Brendon Macaraeg: Wir sehen jetzt schon, dass Unternehmen sich zunehmend von lokalen Rechenzentren hin zu Cloud- oder Hybrid-Umgebungen verlagern. Das ermöglicht ihnen zwar eine weitaus agilere Softwareentwicklung, wodurch sie neue Funktionen schneller bereitstellen können. Es bedeutet aber auch, dass dieselben Anwendungen mehr Einfallstore für Angreifer darstellen. Seit mehreren Jahren nennt das Sicherheitsteam von Verizon in ihrem Bericht über Datenschutzverletzungen den Missbrauch von Webanwendungen und APIs als den wichtigsten Bedrohungsvektor, den Angreifer nutzen, um in Unternehmen einzudringen. Und Angriffe auf Webanwendungen werden oft in Verbindung mit einer hohen Anzahl von DDoS-Attacken eingesetzt. Es ist daher zwingend erforderlich, dass Unternehmen einen genauen Blick darauf werfen, wie sie ihre Anwendungen in der Produktion als Teil einer umfassenden „Defense in Depth”-Sicherheitsstrategie schützen: Wenn sie derzeit keine Lösung für den Schutz von Webanwendungen oder APIs einsetzen, müssen sie dies in ihren Sicherheitsplan einbeziehen und die notwendigen Investitionen in die Zukunft tätigen. Edge-Cloud-Plattformen mit eingebetteten Sicherheitsfunktionen ermöglichen schnelle Release-Zyklen – heutzutage zentral für Kundenzufriedenheit und unternehmerischen Erfolg – ohne dass Kompromisse in der Sicherheit eingegangen werden müssen.
Ein weiterer Faktor sind die sich stetig weiterentwickelnden staatlichen Richtlinien. Cybersicherheit ist endlich auch zu einem Thema der Politik geworden und Unternehmen müssen diese Sicherheitsrichtlinien immer im Auge behalten.Mit dem technologischen Fortschritt und den Mitteln, die Unternehmen zur Entwicklung und Bereitstellung hochperformanter Anwendungen und zur Verarbeitung und Übertragung noch größerer Datenmengen zur Verfügung stehen, werden neue Angriffstaktiken und Schwachstellen auftauchen. Es ist ein ständiges Wettrennen zwischen Cyberkriminellen und Sicherheitsverantwortlichen. Der Schlüssel zur Bewältigung dieser Herausforderungen sind Erfahrung, ständige Erweiterung des Wissens und ein strategischer „Defense-in-Depth“-Ansatz, um Mitarbeiter, Daten und Infrastrukturen zu schützen.
