Angreifern mit einem ganzheitlichen Cybersecurity-Ansatz zuvorkommen

Von Januar bis September 2023 wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) der Schweiz bereits über 28'000 Fälle von Cybercrime-Vorfällen gemeldet. Diese stammen von Privatpersonen oder Unternehmen und beinhalten Schadensmeldungen, aber auch Vorfälle, bei denen durch frühzeitiges Erkennen kein Schaden angerichtet werden konnte. Schweizer Unternehmen sind häufig von Datenklau und Remotecodeausführungen betroffen. Remotecodeausführungen bedeuten, dass ein Zugriff auf Geräte aus der Distanz erfolgt, womit ungewollte Änderungen oder Programmausführungen durchgeführt werden können.  Diese grosse Anzahl zeigt: Die Frage ist nicht, ob ein Unternehmen angegriffen wird, sondern wann. Deshalb gilt es, möglichst gut vorzusorgen. 

Die Cybersecurity-Landschaft lässt sich in folgende sechs Bereiche aufteilen: Enduser Awareness, Perimeter Security, Prevention, Detection, Isolation und Recover. Für alle diese Unterthemen gibt es dedizierte Lösungen, um ein Unternehmen möglichst breit vor einer Cyberattacke zu schützen. Ganz wichtig ist die Enduser Awareness, denn häufig sind die ersten Angriffspunkte die Mitarbeitenden. Mithilfe von Phishing-Mails, in dem ein Mitarbeiter einen Link anklickt oder persönliche Daten bekannt gibt, erreicht der Angreifer Zugriff auf die Netzwerkumgebung des Unternehmens. Deshalb ist es entscheidend, die Mitarbeitenden im Unternehmen auf mögliche Bedrohungen aufmerksam zu machen. Regelmässige Schulungen, wie solche Fake-E-Mails aussehen könnten und wie sie sich beim Erhalt einer Phishing-E-Mail verhalten sollen, sind unerlässlich. Mit regelmässigen Test-Phishing-Mails lässt sich auswerten, wie sich das Mitarbeiterverhalten nach einer Schulung verändert hat und wo noch mehr Informationsbedarf besteht.

Perimeter Security betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetzwerk und einem öffentlichen Netz wie dem Internet. Sie wird durch verschiedene Sicherheitsfunktionen wie Firewalls, Eindringungsverhinderung, Webfilter und Schutz vor Schadprogrammen oder Spam realisiert. Die Firewalls kontrollieren Anwender, die auf das Unternehmensnetzwerk zugreifen möchten. 

Mit Prevention, also der Vorbeugung, kann ein weiterer Schritt für die Sicherheit eines Unternehmens getätigt werden. Eine spezialisierte Software erkennt dabei alle Änderungen am Active Directory. Das Active Directory ist ein Verzeichnisdienst für Netzwerke und spielt für Unternehmen mit komplexen IT-Ressourcen und Benutzerrechten eine wichtige Rolle. Damit lässt sich die IT-Struktur einer Organisation übersichtlich nachbilden. Die Prevention-Software zeigt bei den erkannten Änderungen an, welche Benutzer wann und wo welche Objekte geändert haben. Auch sogenannte CIS Controls gehören in die Kategorie Prevention. Die CIS Controls sind eine Sammlung von 18 konkreten, priorisierten Sicherheitsmassnahmen (sogenannte Safeguards), die der Abwehr der häufigsten Cyberangriffe auf Systeme und Netzwerke dienen. Sie reichen unter anderem von Inventar und Management der Hardware und Software zu E-Mail- und Browser-Schutz bis hin zu Netzwerk-Monitoring. Die CIS Controls werden vom Center for Internet Security gepflegt und weiterentwickelt. 

Bei der Detection geht es um die permanente Überwachung der ICT-Infrastruktur und der Aufdeckung möglicher Schwachstellen. Hier gibt es verschiedene Lösungsansätze. Es gibt Anbieter, die mit einem Security Operations Center (SOC) eine 7x24-Überwachung mit «„Concierge Service‟» für die Kunden anbieten. Mit „Concierge Service‟ ist ein persönlich zugeordnetes Team gemeint, das den Kunden im Falle eines Angriffes informiert und die nötigen weiteren Massnahmen bespricht. Ebenfalls dazu gehören Dienstleistungen im Fall einer Verschlüsselung und Verhandlungen mit dem Angreifer. Die Überwachung funktioniert konkret wie folgt: Das SOC erfasst jede Woche über 3 Billionen Ereignisse und beseitigt dabei Lücken, indem es Telemetrie und Datenquellen in Endgeräten, Netzwerken und der Cloud nutzt. Mithilfe verschiedener Erkennungsmethoden, einschliesslich Machine Learning, deckt die Plattform verdächtige und anormale Verhaltensweisen in diesen gesammelten Datensätzen auf.

Zum Thema Detection gibt es auch Lösungen, die Schutz der Endgeräte wie Desktops, Server oder auch virtuelle Maschinen bieten. Diese Sicherheitslösungen schützen Unternehmensanwendungen und -daten vor Datenschutzverletzungen und Unterbrechungen des Geschäftsablaufs.

Wird eine Bedrohung erkannt, ist die Isolation eine weitere wichtige Komponente der IT-Security, um Schäden zu verhindern. Dafür gibt es Softwares, die eine unzulässige Verschlüsselung erkennen und sofort ein Isolierungs- und Eindämmungsprotokoll aktivieren. Dieses erzwingt ein Herunterfahren des kompromittierten Geräts und das VPN des betroffenen Benutzers wird deaktiviert. Ebenfalls werden Cloud-, Netzwerk- und Active-Directory-Zugänge des Nutzers gesperrt. Die bedrohliche Verschlüsselung wird somit innerhalb von Sekunden beendet und das Sicherheitsteam des Unternehmens umgehend alarmiert.

Falls es trotz möglichst hoher Sicherheitsmassnahmen einmal zu einem erfolgreichen Angriff kommen sollte, kommt das Thema Recover zum Zug. Die Wiederherstellung von Daten ist ein wichtiges Element in einem ganzheitlichen Security-Ansatz. Auch hier gibt es verschiedene Anbieter, die Lösungen bereit halten, um möglichst viele Daten wieder herstellen zu können. Wichtig zu wissen ist, dass nach einem Angriff meist trotzdem nicht alle Daten wieder gelesen werden können.

Eine 100% prozentige Sicherheit gibt es nicht, aber wenn bei den genannten sechs Bereichen der IT-Security Massnahmen ergriffen und entsprechende Softwares eingesetzt werden, lässt sich das Risiko massiv verringern. Die LAKE Solutions AG bietet mit ihren Partnern Lösungen, Beratungs- und Installationsservices an, um für Unternehmen einen optimalen und massgeschneiderten 360°-Grad-Security-Service zu bieten. 

Mehr Informationen gibt es hier: www.lake.ch

Zum Autor
Walter Borgia ist CEO und Mitgründer der LAKE Solutions AG.
Seit 25 Jahren ist die LAKE Solutions AG einer der führenden ICT-Solutions-Provider in der Schweiz.
Seit 2019 gehört LAKE zum Ricoh-Konzern.