Hinterher lässt es sich immer sehr leicht erklären, was alles schiefgelaufen ist. Experten fassen dann neutral zusammen, warum die Angreifer das Netzwerk verschlüsseln konnten. Meist geht es dabei um Technologie. Aber gerade während des Angriffs sind es Menschen, die eine entscheidende Rolle spielen. Die ungewohnte Stresssituation sorgt unter anderem dafür, dass existierende Konflikte zu offenen Krisen eskalieren. Führungskräfte sind nun gefragt, besonders die Geschäftsführung spielt eine zentrale Rolle. Nicht selten werden Schuldzuweisungen vorgenommen, und die haben für einzelne Beteiligte massive Konsequenzen. Aber schauen wir uns einige Vorfälle aus der Vergangenheit und häufige Szenarien an.
Einfallstor - Email
Praktisch keine Cybersicherheitsveranstaltung ohne Hinweis darauf, dass die eigenen Mitarbeiter das „wichtigste Cyber Asset“ sind und geschult werden müssen, um sich gegen Phishing & Co wehren zu können. Trotzdem sind immer noch etwas mehr als die Hälfte aller erfolgreichen Angriffe auf diese Methoden zurückzuführen. Schulungen helfen aber durchaus und sei es nur, dass sich Angreifer neue Wege überlegen müssen.
Aber den Mitarbeiter verantwortlich machen, wenn etwas schiefläuft? In einer ersten Stellungnahmen zum Cyberangriff, der die Ronin Bridge Cryptoexchange mehr als 600 Millionen Dollar kostete, erklärte das Unternehmen, der Vorfall sei auf einen über Phishing kompromittierten Mitarbeiter zurückzuführen, den man deshalb auch entlassen habe. Die Aussage hatte nicht ganz den erhofften Erfolg. Man musste sich fragen lassen, ob nicht damit jeder Mitarbeiter das Potenzial habe, ein paar Millionen abzuzweigen. Hier sei auch das Stichwort Innentäter genannt. Der „Link klickende Mitarbeiter“ mag auf den ersten Blick wie ein Schuldiger aussehen, aber eigentlich wird damit nur die Hilflosigkeit der eigenen IT-Sicherheitsorganisation dokumentiert. Bei einem derart bekannten Problem kann man nicht mehr von „unvorhersehbar“ sprechen, wenn es eintrifft. Hat man keine Maßnahmen ergriffen, um dieses Risiko aufzufangen, ist nicht der Mitarbeiter schuld.
Der nicht installierte Patch
Sicherheitslücken sind ein heißes Thema und jeder in der IT kennt das Problem. Natürlich ist das Installieren von Updates eine verantwortungsvolle Aufgabe und Mitarbeiter, die dieser nicht nachkommen, tragen deshalb Schuld, oder nicht? So zumindest argumentierte das US-Unternehmen Equifax. Dessen CEO musste vor dem US-Senat erklären, wie es zu der Katastrophe kommen konnte, bei der die persönlichen Daten von mehr als 100 Millionen US-Bürgern gestohlen wurden. Ein nicht namentlich bekannter Mitarbeiter der IT-Abteilung habe nicht nach Unternehmensvorgabe gehandelt. Was sich erst einmal nachvollziehbar anhört, wurde schnell kritisiert. Patch Management kann nicht dem Zufall überlassen werden. Personaleinsparungen oder das Verzichten auf technologische Werkzeuge, die beispielsweise eine erfolgreiche Installation überwachen, sind Managemententscheidungen. Und für diese trägt die Chefetage Verantwortung. Mitarbeiter können aus verschiedenen Gründen ausfallen. Ein Unternehmen muss diese Möglichkeiten in Betracht ziehen und das daraus entstehende Risiko einschätzen.
Warum habt ihr nicht…?
Bei einer Trend Micro-Umfrage gaben von 2600 befragten Unternehmen 75% an, sie hätten innerhalb der vergangenen 12 Monate bereits einen Cybervorfall aufgrund eines nicht verwalteten oder sogar unbekannten respektive nicht dokumentierten Systems erlitten. In den Incident Response Ranglisten nimmt dieser Grund Platz 1 der Ursachen eines erfolgreichen Cybervorfalles ein.
Aber wie kann es sein, dass es undokumentierte Systeme gibt oder diese für einen Vorfall verantwortlich sind? Hier beginnt oft ein Hauen und Stechen innerhalb der IT-Abteilungen. Die Endpoint-Kollegen müssen alles dokumentieren, die Netzwerker regeln die Zugriffe. Man schiebt sich gegenseitig Schuld und Verantwortung zu und eskaliert schnell zur Krise. Nicht selten fallen dadurch Mitarbeiter aus, gesundheitsbedingt oder durch Kündigungen. Wie so oft ist hier das Management gefragt, das vermitteln und die Schulddiskussion umgehend beenden muss. Denn die hilft niemandem. Es geht darum, so schnell wie möglich Klarheit zu schaffen und die Probleme zu beseitigen.
Wenn es schief läuft
Die Verantwortung für das Unternehmen trägt die Geschäftsführung. Gerade in einer Cyberkrise zeigen sich vor allem Menschen, die nie besonders an Cybersicherheit interessiert waren, plötzlich von einer unangenehmen Seite. Die IT-Abteilung wird unter Druck gesetzt. Man habe in der Vergangenheit „so viel“ in etwas investiert, das nun offensichtlich versagt hat! IT-Sicherheitsverantwortliche, die monatelang vergeblich versuchten, eine Budgeterhöhung zu erreichen oder überhaupt ins Gespräch zu kommen, werden nun regelmäßig angerufen, wann das Unternehmen endlich wieder arbeiten kann. Es sind dann auch diese Chefs, die den ITler anweisen, „halt das Lösegeld zu zahlen“ - natürlich mündlich – sowas macht man ungerne schriftlich. Hauptsache der Laden läuft wieder.
Schluss mit Ausreden
Die europäische NIS 2 Direktive ist in diesem Punkt sehr deutlich und legt die Verantwortung für die IT-Sicherheit bei der Geschäftsführung fest. Diese muss die Einführung von IT-Sicherheitsmaßnahmen beauftragen und deren Implementierung überwachen. Hat sie dafür nicht das nötige Wissen, muss sie sich selbst und die dafür benötigten Mitarbeiter schulen lassen. Natürlich muss die Geschäftsführung nicht persönlich die Installation vornehmen. Aber sie muss im regelmäßigen Austausch mit der IT-Sicherheitsabteilung über die Umsetzung der Maßnahmen sowie neue Herausforderungen unterrichtet werden. Das klingt für manche Unternehmen normal, dennoch sah sich die Politik genötigt, dies in ein modernes Cybersicherheitsgesetz zu fassen. Der Hintergrund sind die Erfahrungen, die man in den letzten Jahren machen musste. Immer wieder gab es Ausflüchte, warum irgendetwas schiefgelaufen ist und man das Schlimmste nicht verhindern konnte. NIS 2 soll die Bürger vor Geschäftsführungen schützen, die unverantwortlich mit dem Thema Cybersicherheit umgehen. Deshalb kann auch eine Strafe für grobe Mängel ausgesprochen werden, selbst wenn es noch nicht zu einem Vorfall kam.
Der Verantwortung gerecht werden
Nun geht es um die Erfüllung der Vorgaben. Und damit eigentlich um alles, was wir oben geschrieben haben. Es hilft sehr, dass Mitarbeiter gegen Phishing und ähnliche Angriffe aufgeklärt werden. Dies senkt die Eintrittswahrscheinlichkeit eines solchen Ereignisses. Schutzmaßnahmen wie Firewalls, Antimalware, etc. dienen dazu ebenfalls Angriffe fernzuhalten. Für eine verantwortungsbewusste IT-Sicherheit muss man allerdings davon ausgehen, dass dies auch mal keinen Erfolg hat. Nun geht es um Visibilität oder wie es auch heißt „Detection & Response“.
Erkennen wie es dazu kam, bzw. wie weit die Kompromittierung fortgeschritten ist, und Gegenmaßnahmen in die Wege leiten. Das sind die Grundpfeiler einer jeden Sicherheitsstrategie. Ein weiterer ist ein funktionierendes Backup-System, das im Schadensfall die Auswirkungen abmildert. Je später ein Angriff entdeckt wird, desto teurer allerdings auch die Wiederherstellung. Deswegen versucht man immer mehr die Zeit vor dem Angriff zu nutzen.
Cyber Risk Exposure Management -- CREM
Die Frage „wie einfach ist es eigentlich, bei uns einzudringen?“ ist leicht gestellt und schwierig zu beantworten. Allerdings gibt es auch hier Lösungen. So genanntes Cyber Risk Exposure Management (CREM) sucht eine Umgebung nach Verwundbarkeiten ab und schätzt diese nach Eintrittswahrscheinlichkeit und Schadenspotenzial ein. Maßnahmen zur Risikominderung werden vorgeschlagen.
Kümmert sich um die Resilienz der firmeneigenen Systeme
Dies dient nicht nur dazu, die Resilienz des eigenen Systems besser auszubauen, und Fehler, die wie oben beschrieben zu Vorfällen führen, frühzeitig zu erkennen. Ebenso wird die Kommunikation mit der Geschäftsführung verbessert. So kann der unternehmenseigene Sicherheitsstatus benannt und anhand von Vergleichszahlen auch im Verhältnis zu anderen Firmen eingeschätzt werden. Geschäftsführungen erhalten so einen genauen Überblick über die eigenen Risiken und können ihrer Verantwortung nachkommen.
Aber auch hier geht CREM noch einen Schritt weiter. Mit der neuen Funktion „Attack Path Prediction“ baut Trend Micro seine Lösung derzeit dahingehend aus, mögliche Angriffswege von Tätern vorherzusagen. Welche Auswirkung kann beispielsweise der winzige Konfigurationsfehler in der Cloud-Umgebung auf die hoch kritische Datenbank haben? Oder über welche Sicherheitslücken könnte sich ein Täter innerhalb eines Netzwerks entlang hangeln, um die Domänenadministration zu erreichen? Die neue Technik zeigt solche Wege auf, wenn diese existieren.
Fazit
Cybersicherheit darf nicht zum „Blame Game“ werden. Ja, Menschen machen Fehler, doch damit das keine Konsequenzen hat, gibt es die Technik. Die Geschäftsführung entscheidet über das Budget, wieviel sie dafür ausgibt, das Unternehmen abzusichern. Sie hat ein Recht darauf zu verstehen, ob die genehmigten Maßnahmen ihrem Anspruch entsprechen. Das erst im Angriffsfall herauszufinden, tut keiner Seite gut. Dann kommt es nämlich zu den Vorwürfen. Sorgen Sie dafür, dass keine Zweifel über das tatsächliche Risiko bestehen.