Laut Studienergebnissen vergehen durchschnittlich 5 Monate, bis ein Sicherheitsvorfall entdeckt wird – wertvolle Zeit, in der es möglich wäre, Schäden abzuwehren oder zu begrenzen. Erfahren Sie, welche Ansätze es gibt, um Angriffe früher zu erkennen und daraus resultierende hohe Folgekosten zu vermeiden.
Studienergebnisse über die Entdeckung illegaler Aktivitäten von Angreifern im Unternehmensnetzwerk sind alarmierend. Laut der Cost of a Data Breach-Studie von IBM Security aus dem Jahr 2021 vergehen durchschnittlich 151 Tage, in denen Hacker ungestört den Zugang zu einem Netzwerk ausnutzen können, um die Strukturen auszuspionieren, sich weitere Passwörter zu verschaffen und letztendlich einen Angriff durchzuführen.
Die fatalen Folgen
Wie lange Unternehmen nach unterschiedlichen Cyberattacken durchschnittlich benötigen, um die Auswirkungen vollständig zu beseitigen, zeigt ein Blick in die Cost of Cybercrime Study des Ponemon Institute. Am schnellsten verläuft die Wiederherstellung mit ca. 6,4 Tagen bei Malware-Attacken, und bei Botnetzen mit ca. 2,5 Tagen. Bei Ransomware werden im Schnitt 23,1 Tage benötigt, bei Angriffen mit bösartigen Codes sogar 55,2 Tage. Insbesondere Erpressungstrojaner stehen bei Angreifern hoch im Kurs und Trends wie Ransomware as a Service (RaaS) sind von Unternehmen sehr ernst zu nehmen.
Mit jedem Tag, an dem ein Angriff nicht erkannt wird, bzw. der zur Beseitigung der Auswirkungen verstreicht, steigen die Kosten für das betroffene Unternehmen in einem nicht abzusehenden Maß. Der Schaden für die deutsche Wirtschaft belief sich für die Jahre 2020/2021 laut Bitkom auf ca. 225 Milliarden Euro. Leider werden diese Kostenexplosionen auch dadurch gefördert, dass Unternehmen noch zu wenig in proaktive Maßnahmen, wie z.B. Cyber Threat Intelligence (CTI) oder selbst initiierte Schwachstellentests (Penetrationstests) investieren. Die Gefahren nehmen aufgrund der immer besseren Angriffstechniken und einfachen Anwendungsmöglichkeiten auch für „ungeübte“ Hacker stetig zu. Die zentrale Herausforderung bei der Abwehr von Angriffen ist daher die frühzeitige Entdeckung der Aktivitäten im Netzwerk.
Vorbeugen statt Reparieren
Es gibt mehrere vorbeugende Ansätze, die im besten Fall kombiniert im Unternehmen angewendet werden. Ein erster Schritt ist, sicherzustellen, dass aktuelle Angriffstechniken bekannt sind und verstanden werden. Nur so kann ein Unternehmen die für die eigenen Systeme passenden proaktiven Gegenmaßnahmen vornehmen. Weiter ist es ratsam, die Vorgänge im eigenen Netzwerk mit geeigneten Mitteln zu beobachten und auszuwerten, um dann mit internen oder externen Expert:innen, z.B. aus einem Cyber Security Incident Response Team (CSIRT), die nächsten Schritte einzuleiten. Dazu bedarf es der frühzeitigen Planung sowie der Implementierung einer unternehmensweit gültigen Vorfallbearbeitungsrichtlinie (Incident Response Policy), die internationalen Standards wie z.B. der ISO folgen sollte.
Aber auch die Einbindung aller Mitarbeitenden eines Unternehmens trägt essenziell zur Früherkennung bei. Durch Awareness-Kampagnen kann das Bewusstsein für die Gefahren eines Cyber-Angriffs geschaffen werden, und alle Mitarbeitenden werden in den Prozess zur Anhebung der IT-Sicherheit eines Unternehmens einbezogen. Denn wenn jedem bewusst ist, dass er oder sie die erste Linie der Verteidigung gegen einen Cyber-Angriff ist, haben potenzielle Angreifer weniger Chancen, z.B. über Phishing-Mails erfolgreich zu sein.
Große Unternehmen implementieren eigene Security Operations Center (SOC), die ausschließlich und rund um die Uhr mit der Überwachung der Netzwerkaktivitäten beauftragt sind. Für kleine und mittlere Unternehmen ist ein solches SOC ein viel zu hoher finanzieller Aufwand. Dennoch gibt es machbare Optionen, bei denen ein externer Dienstleister die Kontrolle und Auswertung interner Informationen übernehmen kann. Der Materna SOC Service bietet genau diese Funktionen. Das SOC überwacht mit seiner eingesetzten Lösung Logs von Betriebssystemen, Servern, Datenbanken, Routern und weiteren Systemen im Netzwerk. Findet das System auffällige Aktionen, informiert das SOC Team umgehend das Materna CSIRT, welches dann je nach Vereinbarung gemeinsam mit dem Unternehmen eine sofortige Reaktion einleitet. Dieser Service kann beispielsweise eine Datenverschlüsselung minimieren, die durch einen erfolgreichen Ransomware-Angriff droht.
Fazit
Potenziell besteht also die Möglichkeit, die Erkennungsdauer von unbefugten Aktivitäten im eigenen Netzwerk von durchschnittlich über 150 Tagen auf Sekunden oder Minuten zu reduzieren. Die aktuelle Lage zeigt, dass der Schlüssel zum Erfolg bei den proaktiven Maßnahmen, wie z.B. den anlassunabhängigen Schwachstellentests, oder der Trenderkennung durch CTI liegt. Aber auch die verstärkte Investition in die Einbindung der Mitarbeitenden trägt entscheidend zur Anhebung des Sicherheitslevels eines Unternehmens bei. Das Motto „The first line of defense is YOU“ sollte also nicht nur irgendwo auf einem Plakat an der Wand hängen, sondern auf allen Unternehmensebenen gelebt werden.
