Gastbeitrag
12.11.2021, 07:30 Uhr
Ohne Teamwork geht nichts mehr
Cyberangriffe sind an der Tagesordnung. Traditionelle Security-Strategien bieten keinen ausreichenden Schutz. Miteinander kommunizierende IT-Sicherheitslösungen müssen ein adaptives Ökosystem bilden, um Hackern effektiv Einhalt zu gebieten.
Angesichts der vielen verschiedenen Cybergefahren müssen Administratoren und IT-Security im Team zusammenspannen
(Quelle: Shutterstock/Gorodenkoff)
Umfragen bestätigen, wie bedrohlich die Lage ist: Die neuen Angriffsvektoren der Hacker, beispielsweise Ransomware, verursachen global Schäden in Millionenhöhe. In der Studie «The State of Ransomware» fallen insbesondere die Entwicklung der Durchschnittskosten für die Wiederherstellung nach einem Ransomware-Angriff auf. Diese haben sich in nur einem Jahr mehr als verdoppelt, konkret von rund 761 106 US-Dollar 2020 auf 1 850 000 US-Dollar 2021. In der Schweiz wurden im laufenden Jahr schon rund 1 430 000 US-Dollar für das Einspielen von Backups nach Ransomware-Vorfällen bezahlt. Weiter ist auch die Lösegeldsumme auf ein extremes Niveau gestiegen. Sie beträgt im weltweiten Durchschnitt über 170 000 US-Dollar pro Fall.
Dennoch gibt es Lichtblicke. Die Zunahme von Cyberangriffen während der Pandemie wirkte sich laut der Studie positiv auf das Wissen und die Security-Fähigkeiten von IT-Teams aus. Alle, die sich im Laufe des Jahres 2020 mit einer Zunahme von Cyberangriffen und einem höheren Sicherheitsaufkommen konfrontiert sahen, bestätigen, ihre Sicherheitsfähigkeiten und -kenntnisse ausgebaut zu haben. Trotz der stärkeren Herausforderungen stellten 52 Prozent aller und immerhin 43 Prozent der Schweizer IT-Teams für 2020 zudem sogar eine gesteigerte Teammoral und ein besseres Teamplay fest.
Mehrarbeit in der Pandemie
Weitere wichtige Studienergebnisse:
- Die Anforderungen an die IT-Teams sind gestiegen. Die gesamte IT-Arbeitslast (ohne Sicherheit) stieg für 63 Prozent (Schweiz: 50 Prozent) der IT-Teams, während 69 Prozent (Schweiz: 63 Prozent) einen Anstieg der Arbeitslast im Bereich Cybersecurity verzeichneten.
- Angreifer nutzten die Chancen, die sich durch die Pandemie boten: 61 Prozent aller Befragten und 64 Prozent der Schweizer IT-Teams berichteten von einem Anstieg der Cyberangriffe auf ihre Organisationen im Laufe des Jahres 2020.
- Die höhere Zahl von Cyberangriffen bot IT-Teams die Möglichkeit, ihre Fähigkeiten und Kenntnisse in der Cybersecurity auszubauen. Vieles in dieser Entwicklung basiert auf «Learning by doing» anhand neuer Sicherheitsanforderungen und Technologien, oft unter grossem Druck und fernab des normalen Arbeitsplatzes.
Die Umfrage legt ferner nahe, dass diese Herausforderungen in vielen Fällen nicht nur zu besser ausgebildeten, sondern auch zu motivierteren IT-Teams geführt haben. Da immer mehr Länder mit der Planung für das Leben nach den Pandemiebeschränkungen beginnen, besteht jetzt die Chance, neue IT- und Sicherheitsrichtlinien zu implementieren, moderne Tools zur Verwaltung von Mitarbeitern und Abläufen jenseits des IT-Perimeters einzuführen, Expertenteams aus internen und externen Talenten aufzubauen und Sicherheitsplattformen einzuführen, die bei der Bedrohungsjagd intelligente Automatisierung mit menschlicher Expertise kombinieren.
Menschliche und künstliche Intelligenz
Die Erfahrungen aus dem Pandemiejahr 2020 haben die Ambitionen für grössere IT-Teams und den Einsatz fortschrittlicher Anwendungen mit künstlicher Intelligenz (KI) verstärkt. Gemäss der Studie rechnen 68 Prozent der IT-Teams mit einer Aufstockung des internen IT-Sicherheitspersonals bis 2023 und 56 Prozent (68 Prozent in der Schweiz) gehen für denselben Zeitraum von einer Ausweitung der externen IT-Sicherheitsmitarbeiter aus. Eine überwältigende Mehrheit (86 Prozent) erwartet, dass KI bei der Bewältigung der wachsenden Anzahl und/oder Komplexität von Sicherheitsbedrohungen helfen wird. Dies könnte zum Teil darauf zurückzuführen sein, dass 54 Prozent der IT-Teams der Meinung sind, dass Cyberangriffe inzwischen zu weit fortgeschritten sind, als dass das interne Team sie allein bewältigen könnte.
Es stellt sich also die Frage, was Organisationen und Unternehmen tun können (und müssen), um nicht das nächste Opfer zu werden. Ausser Frage steht, dass die traditionellen Schutzmassnahmen wie Firewall und Antivirus allein heute keinen ausreichenden Schutz mehr gegen professionelle Angreifer bieten.
Denn oftmals werden Cyberangriffe heutzutage als «Blended Attacks» durchgeführt, die maschinelle und menschliche Angriffstechniken kombinieren. In der Folge kommen verschiedenste und oftmals unter dem Radar laufende Einzelangriffe zum Einsatz, die sich zudem individuell anpassen, wenn sich ihnen ein Hindernis in den Weg stellt. Threat Hunter und Analysten enthüllen diese verborgenen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und untypischen Aktivitätsmustern orientieren. Das Threat-Hunting-Team des Sicherheitsanbieters Sophos hat Telemetriedaten solcher Attacken ausgewertet und ist dabei zu bemerkenswerten Ergebnissen gekommen, welche die Wichtigkeit einer ganzheitlichen IT-Security-Strategie noch einmal betonen.
Bösartige Administratoren
In dem Bericht zeigt sich unter anderem, dass die Angreifer durchschnittlich elf Tage in einem gekaperten Netzwerk verweilten, bevor ihr Eindringen entdeckt wurde. Der längste unentdeckte Einbruch dauerte sogar 15 Monate. Um dies in einen Kontext zu setzen: Elf Tage bieten Angreifern potenziell 264 Stunden für kriminelle Aktivitäten wie Datenexfiltration oder Zugangsdatendiebstahl. In Anbetracht dessen, dass einige dieser Aktivitäten nur wenige Minuten oder Stunden in Anspruch nehmen, sind elf Tage unendlich viel Zeit, um im Netzwerk eines Unternehmens immensen Schaden anzurichten.
Die Telemetriedaten verrieten ausserdem, dass die Angreifer in 69 Prozent aller Fälle RDP (Remote Desktop Protocol) als Einfallstor für ihre Schleichfahrten durch Netzwerke nutzen. Sicherheitsmassnahmen für RDP wie VPNs oder Multi-Faktor-Authentifizierung konzentrieren sich in der Regel auf den Schutz des externen Zugriffs. Sie funktionieren jedoch nicht, wenn sich der Angreifer bereits innerhalb des Netzwerks befindet. In der Folge setzen Angreifer bei aktiven, tastaturgesteuerten Angriffen, zum Beispiel mit Ransomware, immer häufiger RDP zur Infiltrierung eines Systems ein. Eine ebenfalls beliebte Strategie der Cyberkriminellen ist die Nutzung von im Unternehmen offiziell verwendeten Administrations-Tools als Deckmantel für ihre Aktivitäten. Da viele dieser Tools von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben verwendet werden, ist es eine Herausforderung, rechtzeitig den Unterschied zwischen gutartigen und bösartigen Aktivitäten auszumachen.
Software und Mensch im Team
Zur Abwehr solcher Attacken haben sich Endpoint Detection-&-Response-Lösungen, kurz EDR, bewährt. EDR ist ein ganzheitlicher Ansatz am Endpoint und Server, der neben modernen Schutztechnologien wie Exploit- und Ransomware-Schutz auch die unternehmensweite Erkennung von Hackeraktivität und die Eindämmung von Bedrohungen beinhaltet. Mit EDR können bereits Vorstufen von Angriffen und Hackeraktivitäten in der Phase erkannt werden, in der sich ein Angreifer im Netzwerk umsieht und ausbreitet. Um EDR jedoch effektiv zu bedienen, wird spezialisiertes Personal benötigt – und zwar rund um die Uhr, am Wochenende sowie auch an Feiertagen.
Immer mehr Unternehmen erweitern ihren EDR-Einsatz mittlerweile um XDR-Funktionen (Extended Detection & Response), welche die menschliche Kompetenz von IT-Sicherheitsspezialisten miteinbeziehen. Damit geht der Schutz über die Endpoint- und Server-Ebene hinaus und ermöglicht der Firewall, der E-Mail-Security und anderen Informationsquellen, zusätzlich wichtige Daten an einen Data Lake zu senden. Diese Kombination gleicht einem adaptiven Cybersecurity-Ökosystem: Es nutzt gleichzeitig die Automatisierung und die Kompetenz menschlicher Spezialisten, um Angreifern einen Schritt voraus zu sein. Es lernt und verbessert sich ständig und schafft so einen positiven Kreislauf der Cybersicherheit.