in Allgemein, Cyber Security

Cyber Security beginnt bei den internen Prozessen.

Um 10:45 Uhr läuten die Telefone des IT-Administrators, des Security- und Risikomanagers und der Cyber Security Experten fast gleichzeitig. Ein Mitarbeiter eines Mittelstandunternehmens, hat eine „Büchse der Pandora“ geöffnet. Die Email kam augenscheinlich von einem Klienten; in der Hitze des Tagesgeschäftes fiel das „m“ statt dem „n“ in der Mitte des gefälschten Namens nicht auf. Die angehängte Datei öffnet eine Ransomware, die sofort beginnt sämtliche Dateien auf allen Systemen, auf die von dem Arbeitsplatz des Mitarbeiters aus Zugriff besteht, zu verschlüsseln. Als Mitarbeiter die ersten verschlüsselten Dateien entdecken, ist seit dem „Freisetzen“ rund ½ Stunde vergangen. Zu diesem Zeitpunkt sind rd. 2.000 der rund 20.000.000 bedrohten Dateien verschlüsselt.

Minuten nach den Anrufen ist die Quelle – der Desktop des Mitarbeiters – identifiziert, isoliert und alle Systeme auf „Stand by“. Die Mitarbeiter müssen sofort jede Arbeit auf PC´s einstellen und nach ½ Stunde herrscht Gewissheit, dass nur ein Email Auslöser des Angriffes war. Die Malware wird isoliert und mit den bereits verschlüsselten Dateien professionell vernichtet, also nicht „gelöscht“.

Die Back Ups des Vorabends werden eingespielt, während alle Mitarbeiter wieder einmal mehr „alerted“ weiter arbeiten. Rund 50 Dateien waren verloren. Als das übliche Erpresser Email eintrifft, gegen Bezahlung die verschlüsselten Dateien zu entschlüsseln, wird es isoliert und vernichtet. Ein glimpflicher Ausgang, der den Angreifern durch ihre nachfolgenden „Servicedienstleistungen“ massive Profite beschert. Sogar US-Bundesbehörden, empfehlen die Erpresserzahlungen zu leisten, da der wirtschaftliche Schaden zu hoch und die Verfolgungsaussichten zu gering sind.

Stellen Sie sich vor, Sie kaufen einen Defilibrator um einen Herzinfarkt zu verhindern und essen jeden Tag Burger, trinken Alkohol und machen keine Bewegung. Wie kann sie der Defilibrator vor einem Herzinfarkt bewahren?

Ähnlich verhält es sich mit Cyber Security. Jüngste Umfrage  belegen, in Europa fühlen sich nur 37% der Geschäftsführer und Vorstände für IT verantwortlich, während dies in den USA 87% tun. Attacken von Außen liege im 20% Bereich der Cyber Zwischenfälle, Angriffe von Innen durch mißbräuchliches, schlampiges oder vorsätzliches Vorgehen von Mitarbeitern bei rund 80%.

Es wird also die beste Cyber Security nichts helfen, wenn es keine IT-Compliance  zu Passwortpolicy, Email Policy, mobilen Datenträgern, Sofortmaßnahmen, etc. gibt.

Lange bevor der technische Teil der Cyber Security zum Einsatz kommt, geht es um organisatorische Prozesse, Richtlinien und Mitarbeiterschulungen. Wer darf was? Wer hat wie worauf zu reagieren? Welche Hierarchien gelten in welchen Fällen?

Üblicherweise machen wir Menschen heute Vorsorgeuntersuchungen, um die Schwachstellen „unseres Systems“ möglichst rechtzeitig zu identifizieren und uns gegen allfällige „Angriffe von Innen“ (wie zB fettes Essen, Alkohol) oder „Angriffe von Aussen“ (wie zB zu wenig oder zu viel Sport, Stress) zu wappnen und uns zu schützen. Erst dann wird der Defilibrator zu einer sinnvollen Ergänzung unseres „Abwehrsystems“.

So verhält es sich auch mit Cyber Security.

Es kann bereits mit minimalem Aufwand eine Analyse durchgeführt werden, die den Verantwortlichen einen schnellen und klaren Überblick über allfällige Risiken im IT-Bereich darstellt. Durch die Verbindung von gerade einmal 40 Fragen mit einem „24-Stunden-Netzwerk-EKG“ kann das IT-Netzwerk eines mittelständischen Unternehmens schnell und günstig auf Risiken und Schwachstellen getestet werden.

Dann werden interne Prozesse und Richtlinien angepasst, Mitarbeiter geschult und vorbereitet. Parallel wird die IT-Infrastruktur erforderlichen Sicherheitsstandards angepasst und notwendige Cyber Security Maßnahmen implementiert – „security by design“.

Da jedes Unternehmen wie jeder Mensch seine individuellen Merkmale hat, müssen Lösungen individualisiert werden. Daraus ergibt sich ein Prozess, der „Cyber Pyramid“ heisst und aus drei Ebenen besteht:

Die Basis bildet die „Cyber Protection“. Dazu gehören Richtlinien zu Umgang, Paswörtern, Zugriffsrechten und Verantwortlichkeiten, die beim Management enden. Hier findet die „security by design“ bereits statt – das Design der gesamtunternehmerischen Cyber Security, mit Richtlinien, Prozessen, Verantwortungen, Hard- und Software.

Die mittlere Ebene heißt „Cyber Intelligence“. Die Sammlung, Auswertung, Analyse und Gegenmaßnahmen ist damit umschrieben. Es geht um die analytischen Fähigkeiten, die von professionellen „Cyber Security Beratern“ zur Verfügung gestellt wird.

Die Spitze der Pyramide bildet schließlich die „Cyber Resilience“, die Ausfallssicherheit. Damit ist „Werkzeugkiste“ gemeint, mit der sich ein Unternehmen und seine Mitarbeiter und Manager entsprechend ihres individuellen Designs und „Cyber Intelligence“ ausstattet um gegen Angriffe von Innen und Außen geschützt zu sein.

Illusionen sind nicht angebracht, es gibt keinen 100%igen Schutz aber mit 24 Stunden EKG, individualisierten Risikoanalysen, Richtlinien und Prozessen kann ein Sicherheitsportfolio erstellt werden, dass dann mit Cyber Security Maßnahmen, wie Firewalls ua perfektioniert wird.

 

 

Recent Posts

Kommentieren

Suchbegriff eingeben und Enter klicken