Identifying Hazards to Better Prepare for Cyberattacks

Gefahrenerkennung ist die erste Verteidigungslinie gegen Cyberbedrohungen

Von Bob Violino

Sicherheitslücken sind teuer – daher ist eine breit angelegte, multifunktionale Verteidigungsstrategie mit Fokus auf unternehmensinterne Gefährdungen ebenso wie Bedrohungen von außen jedem Großunternehmen nur zu empfehlen.

Und wie teuer sind Sicherheitslücken? Die Wiederherstellung nach einem DDoS-Vorfall (Distributed Denial of Service) kann Finanzinstitute durchschnittlich 1,2 Millionen US-Dollar kosten. In anderen Branchen beläuft sich der Schaden auf 952.000 US-Dollar. Zu diesem Ergebnis kommt ein Bericht von Kaspersky Lab aus dem Jahr 2017.

Identifying Hazards to Better
Eine breit angelegte Verteidigungsstrategie schützt vor überraschenden Bedrohungen – und zwingt Unternehmen auch dazu, bestehende Sicherheitslücken zu bewerten.

Manche Unternehmen wie Akamai Technologies – ein globaler Anbieter von Plattformen für die Cloudbereitstellung – haben multifunktionale Verteidigungsansätze zu einer wesentlichen Komponente ihrer Cybersicherheitslösungen gemacht.

In der Vergangenheit basierte die Ausgestaltung der Cybersicherheit hauptsächlich auf Compliance mit regulatorischen Vorgaben oder der Einhaltung von Branchenstandards. Dies hatte zur Folge, dass die Sicherheitsinfrastruktur eines Unternehmens oft nicht wirklich auf die realen Bedrohungen und Schwachstellen ausgerichtet war.

„Ein solcher Ansatz ist nicht vorausschauend und hindert Unternehmen daran, Veränderungen in der Sicherheitslandschaft vorherzusehen“, erklärt Andy Ellis, Chief Security Officer bei Akamai.

So sind Unternehmen, die auf eine herkömmliche Sicherheitsstrategie setzen, den jüngsten Bedrohungen durch Ransomware oder DDoS-Angriffe relativ hilflos ausgesetzt. Das ist ein hochgefährliches Szenario, da solche Angriffe Unternehmen ohne geeignete Schutzmechanismen schwerwiegenden Schaden zufügen können.

Ausweitung der Verteidigungsstrategie

Eine breit angelegte Verteidigungsstrategie schützt vor überraschenden Bedrohungen – und zwingt Unternehmen auch dazu, bestehende Sicherheitslücken zu bewerten. Wie gefährdet Unternehmen durch bestimmte Bedrohungen sind, hängt von den unterschiedlichsten Variablen ab: Branche, (Online-)Geschäftsmodell, Standort, Zugriffsmöglichkeiten durch Mitarbeiter, Geschäftspartner und Kunden.

Ein Unternehmen mit einer multifunktionalen Verteidigungsstrategie würde vor der Einführung einer neuen Webanwendung zunächst die möglichen Gefährdungen analysieren.

„Eine mögliche Gefährdung wäre zum Beispiel eine Online-Anwendungsdatenbank“, so Ellis. „Wir möchten bei der Bewertung objektiv feststellen: Welche inakzeptablen Verluste drohen uns im schlimmsten Fall?“

Wenn das Risiko besteht, dass persönliche Kundendaten in falsche Hände geraten könnten, wäre dies mit Sicherheit ein inakzeptabler Verlust. Dies hieße, dass das Projekt erst dann weiter vorangetrieben wird, wenn diese Gefahr gebannt ist.

Wenn die Sicherheit auf diese Weise gehandhabt wird, wird es für Sicherheitsdirektoren auch einfacher, den Leitern der Geschäftsabteilungen die Bedeutung von Sicherheitsfragen zu vermitteln. So könnte ein CIO den Kollegen aus dem Geschäftsbereich eindringlich die Folgen einer Sicherheitslücke schildern, statt einfach zu berichten, dass ein neuer Schutzmechanismus zur Verfügung steht.

„Kann ich die Geschäftsabteilungen mit einer Web Application Firewall überzeugen? Wohl kaum. Mit dem Argument, dass wir kritische Kundendaten nicht leichtfertig preisgeben dürfen, allerdings schon“, verdeutlicht Ellis. „Bei diesem Ansatz lässt sich eine enge Verknüpfung zwischen den Tools herstellen, die Sie anschaffen möchten, und den Gefährdungen, gegen die Sie sie einsetzen wollen. Wichtig ist es, den Fokus auf die Gefährdung zu lenken.“

Die Aufgabe von Sicherheitsdirektoren und CIOs ist es, sicherzustellen, dass die wichtigsten Gefährdungen abgedeckt sind.

Durch eine solche Bestandsaufnahme sind „Sie besser gegen unbekannte Gegner geschützt“, meint Ellis.

Ob SQL-Injection oder eine andere Bedrohung, die man sich bisher noch nicht ausgemalt hat – wie anfällig ein Unternehmens ist, hängt immer auch von der Art der Ressource und ihrem Standort ab.

Aufbau von Beziehungen

Mit einer breit angelegten Verteidigungsstrategie können Sie ein Budget für Sicherheitsinitiativen sichern. Dabei sind manchmal die Finanzen gar nicht das größte Problem.

Der schwierigere Teil ist die Überzeugungsarbeit, so Ellis.

Die Partner aus den Geschäftsabteilungen müssen mehr darüber erfahren, welche Gefahren unzureichender Schutz auch für das Unternehmen darstellt. „Zu diesem Zwecke müssen Sie eine Beziehung mit den Verantwortlichen aus dem operativen Geschäft etablieren – und das ist manchmal gar nicht so einfach,“ meint Ellis.

Es ist dabei Aufgabe des CIO und des Sicherheitsbeauftragten, einer breit angelegten Verteidigungsstrategie den Weg zu bereiten, indem sie die Ansprechpartner aus anderen Unternehmensbereichen über die drohenden „inakzeptablen Verluste“ aufklären.

Eine solche Verteidigungsstrategie ist für viele Unternehmen mit Ausnahme einiger Finanzinstitute noch völliges Neuland, so Ellis.

Dabei ist das Konzept grundsätzlich für Unternehmen jeder Größe anwendbar, wobei kleinere Firmen möglicherweise aufgrund fehlender interner Ressourcen externe Hilfestellung benötigen, beispielsweise von einem Anbieter verwalteter Sicherheitsservices.

Dieser Ansatz ermöglicht Unternehmen nach Ansicht von Ellis den Aufbau eines Sicherheitsprogramms, das stärker auf den wahrscheinlichen Risiken fokussiert und so gezielteren Schutz bietet.

Bob Violino ist freiberuflicher Autor im Bereich Business und Technologie, der sich besonders mit Cloud Computing, Cybersicherheit und Big Data auskennt.