Anzeigen-Spezial

Cybersecurity

Unternehmen müssen umdenken

5 Minuten Lesezeit

Die Methoden der Hacker werden raffinierter, die Attacken unauffälliger. Um mit den neuen Bedrohungen Schritt zu halten, müssen Unternehmen ihre Cybersecurity neu aufstellen. Und noch mehr wie ein Hacker denken.

Das Netz ist voll von Nachrichten über erfolgreiche Cyberattacken. Wiederholt geraten Millionen von Datensätze in die Hände von Kriminellen: Kreditkartendaten, persönliche Informationen, Firmengeheimnisse. Und das, obwohl die Unternehmen immer mehr Geld für ihre IT-Sicherheit ausgeben. Wie passt das zusammen?

Tatsächlich erleben Security-Verantwortliche eine immer komplexere Bedrohungslandschaft: Cloud-Dienste wie Office 365 vergrößern die Angriffsfläche ebenso wie die zahlreichen Digitalisierungsinitiativen, die laufend neue Verbindungen zum Internet schaffen. Hinzu kommt eine steigende Zahl an Endgeräten, die es ebenfalls zu schützen gilt: den privaten Laptop im Homeoffice, den intelligenten Kühlschrank beim Kunden, den Roboter in der Fabrikhalle.

Warum die alten Security-Ansätze versagen

Christoph Jansen, Security-Experte beim IT-Dienstleister Atos
Christoph Jansen, Security-Experte beim IT-Dienstleister Atos

Einen weiteren Grund, warum die bisherigen Security-Ansätze immer weniger greifen, nennt Christoph Jansen, Security-Experte beim IT-Dienstleister Atos: „Die Hacker agieren zunehmend professioneller und nehmen einzelne Unternehmen immer unauffälliger ins Visier.“ So liefen etwa „dateilose“ Angriffe am klassischen Virenschutz vorbei, weil sie statt typischer Malware vorhandene Bordmittel verwenden, wie zum Beispiel die Windows-Eingabefunktion PowerShell, über die sonst IT-Administratoren Befehle ausführten. In anderen Fällen erschwindelten sich Cyberkriminelle mit gezielten Phishing-Aktionen Zugangsdaten von Opfern, die sie anhand ihrer Social-Media-Profile ausgewählt hätten.

Das muss sich ändern

Die Unternehmen haben dieser neuen Qualität auch deshalb wenig entgegenzusetzen, weil sich ihre Security-Praxis darauf beschränke, Richtlinien nach bestehender Norm sowie Empfehlungen aus der Fachwelt umzusetzen, die mehr oder weniger regelmäßig erscheinen, so Jansen weiter. Dieser Compliance-Ansatz sei nicht grundfalsch, aber viel zu träge, um angemessen auf eine hochdynamische Bedrohungswelt zu reagieren. Vielmehr gehe es darum, ihn so zu erweitern, dass die reale Sicherheitslage sichtbar werde. Und darüber hinaus müssten die Unternehmen im Sinne eines Exposure Assessments laufend prüfen, wie wirkungsvoll ihre Schutzmaßnahmen überhaupt sind, so der Security-Experte.

Schritt 1: Transparenz schaffen

Um das zu leisten, brauchen Unternehmen zunächst einen genauen Überblick über alle sicherheitsrelevanten Komponenten. Einer, der diesen Schritt bereits vollzogen hat, ist Paul Bayle, der als Group Chief Security Officer (CSO) die Sicherheitsthemen von Atos und damit von rund 110.000 Beschäftigten in 73 Ländern verantwortet. Um seine IT-Infrastruktur sowie die vorhandenen Mittel und Maßnahmen transparent zu machen, hat Bayle ein Security Dashboard aufgebaut. Diese Instrumententafel zeigt übersichtlich kategorisiert an, was an welcher Stelle zu tun ist, wer dafür verantwortlich und welches Ziel bis zu welchem Zeitpunkt zu erreichen ist. „Auf diese Weise wird die Sicherheitslage unserer Organisation bis ins Detail transparent und überprüfbar“, sagt Bayle. „In Kombination mit einem kontinuierlichen Exposure Assessment können wir nun deutlich schneller und effektiver auf neue Situationen reagieren.“

Paul Bayle, Group CSO Atos
Paul Bayle, Group CSO Atos

Schritt 2: kontinuierliche Assessments

Wer wissen möchte, wie verletzlich sein Unternehmen wirklich ist, müsse außerdem lernen, wie ein Hacker zu denken, sagt Bayle. Diese Anforderung erfüllt der Atos-CSO unter anderem mit einer internen Hackercrew, dem sogenannten „Red Team“. Es verwendet reale Verhaltensmuster von Angreifern, wie sie zum Beispiel in der laufend aktualisierten Sammlung MITRE ATT&CK zu finden sind. Damit und mit viel Erfindungsgeist versucht das Red Team, Schutzmechanismen zu überlisten und zur kontinuierlichen Verbesserung der Sicherheitslage beizutragen. In Zukunft möchte Bayle den Schutz noch weiter verstärken, etwa mit automatisierten Angriffen, künstlicher Intelligenz oder Bug-Bounty-Programmen, welche die Suche nach Schwachstellen gegen Belohnung ausschreiben.

Jetzt Cybersecurity prüfen und erweitern

Was aber können Unternehmen tun, die in Sachen Cybersecurity noch nicht so weit entwickelt sind? „Am besten gleich mit einer Kombination aus bewährter Praxis und kontinuierlichen Assessments starten“, rät Sicherheitsexperte Jansen. Wichtig sei ein guter Mix aus menschlicher Intelligenz, Automatisierung und Aufklärung. So könne man etwa die Beschäftigten mittels Awareness-Schulungen über die neuen Angriffsmethoden informieren und konkrete Handlungsanweisungen geben. Auch eine Beratung könne sinnvoll sein, um die richtigen Mittel zur kontinuierlichen Verbesserung der Sicherheitslage zu wählen oder ihre Wirksamkeit mit Dienstleistungen wie einem externen Red Team oder automatisierten Penetrationstests zu erweitern, die laufend neue Sicherheitslücken aufdecken.

Ziel eines zeitgemäßen Security-Ansatzes müsse es sein, jede noch so kleine Schwachstelle zu identifizieren und abzudecken, sagt Atos-Sicherheitschef Bayle. Das sei keine einfache Sache, aber unbedingt notwendig. Schließlich genüge nur eine einzige davon, um dem Unternehmen erheblich zu schaden.

Atos ist ein weltweit führender Anbieter für die digitale Transformation mit mehr als 110.000 Mitarbeitern in 73 Ländern und einem Jahresumsatz von mehr als zwölf Milliarden Euro. Als europäischer Marktführer für Cloud, Cybersecurity und High Performance Computing bietet die Atos-Gruppe ganzheitliche Lösungen für Orchestrated Hybrid Cloud, Big Data, Business-Anwendungen und Digital Workplace.