Ransomware stellt für alle Unternehmen unabhängig von der Betriebsgröße eine Bedrohung dar. Die Zahl der Angriffe hat sich in den vergangenen Jahren deutlich erhöht. Zudem wurden die Methoden der organisierten Cyber-Kriminellen ausgefeilter und raffinierter.
2021 hat die Zahl der Schadprogramme insgesamt nach dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) um 144 Millionen Schadprogrammvarianten zugenommen.
Cyber-Kriminelle haben sich spezialisiert und gehen häufig arbeitsteilig vor
Die Cyber-Kriminellenszene hat sich in den letzten Jahren zunehmend spezialisiert und geht häufig arbeitsteilig vor. Cybercrime as a Service (CCaaS) und Ransomware as a Service (RaaS) haben sich zu einem einträglichen Geschäftszweig in der kriminellen Welt entwickelt. Spezialisierte Organisationen bieten CCaaS oder RaaS als Mietmodell mit regelmäßigen Updates an, die von den eigentlichen Angreifern auch ohne eigene Fachkenntnis genutzt werden können. Die Folge sind eine Zunahme schwer zu entdeckender Angriffsvarianten, die Unternehmen vor neue Herausforderungen stellen.
Risiken
Zum bekannten Risiko der Verschlüsselung kompletter Unternehmensnetzwerke treten weitere Risiken hinzu. Häufig bewegen sich die Angreifer über einen längeren Zeitraum im Unternehmensnetzwerk, bevor es zu sichtbaren Aktivitäten kommt. Weitere mögliche Risiken sind
- Sensible Unternehmensdaten werden vor der Verschlüsselung des Netzwerks abgefischt. Die Angreifer drohen mit der Veröffentlichung, wenn nicht zeitnah gezahlt wird.
- Die erlangten Informationen werden zur Vorbereitung weiterer Angriffe auf Kunden und Partner des angegriffenen Unternehmens genutzt.
- Die Angreifer bauen zusätzliche Lücken für künftige Angriffe auf das Unternehmensnetz ein.
- In der Folge erfolgreicher Angriffe kommt es zu Reputations- und Kundenverlusten.
- Mögliche Verstöße gegen datenschutzrechtliche Vorgaben können mit erheblichen Bußgeldern verfolgt werden.
… und Gegenwehr
Ziele einer Gegenstrategie sollten sein:
- potentiellen Angreifern das Leben möglichst erschweren. Häufig suchen Angreifer nach leichten Zielen und ziehen weiter, wenn der Aufwand für einen erfolgreichen Angriff zu hoch ist.
- mögliche Schäden minimieren und
- im Falle eines erfolgreichen Angriffs die Handlungsfähigkeit möglichst rasch wieder herzustellen.
Eine erfolgreiche Abwehrstrategie kombiniert technische und organisatorische Maßnahmen in einem stimmigen Resilienz- und Präventionskonzept. Oftmals ist es möglich, mit vergleichsweise einfachen und kostengünstigen Mitteln eine höheres Maß an Sicherheit zu erlangen.
4 Faktoren begünstigen die Unternehmensresilienz
Das 4-R-Modell von Charlie Edwards (Reslient Nation, 2009) umfasst vier Faktoren, die für die Resilienz von Unternehmen im Kontext von Cyberangriffen entscheidend sein können:
- Robustheit: Fähigkeit von Systemen einer (vorhersehbaren oder unvorhersehbaren) Belastung standzuhalten.
- Redundanz: Fähigkeit mittels alternativer Handlungsvarianten die Funktionsfähigkeit des Systems aufrecht zu erhalten.
- Einfallsreichtum: Fähigkeit zur Kreativität in unvorhergesehenen, überraschenden Situationen
- Schnelligkeit: Fähigkeit in einer Krisensituation rasch zu reagieren
Das von Edwards entwickelte Modell lässt sich von der Ebene staatlicher Organisation durchaus auch auf Unternehmen übertragen.
ISO 22316
Organisatorische Resilienz ist die Fähigkeit einer Organisation, ein sich veränderndes Umfeld zu absorbieren und sich anzupassen, um ihre Ziele zu erreichen und zu überleben und zu gedeihen. Resilientere Organisationen können Bedrohungen und Chancen, die sich aus plötzlichen oder allmählichen Veränderungen in ihrem internen und externen Umfeld ergeben, vorhersehen und darauf reagieren. Die Verbesserung der Resilienz kann ein strategisches Ziel der Organisation sein und ist das Ergebnis guter Geschäftspraktiken und eines effektiven Risikomanagements.
(Quelle: ISO 22316, übersetzt aus dem englischen)
Resiliente Unternehmen können nicht jeden Angriff abwehren, aber Risiko minimierend auf Krisen antworten
Robustheit und Redundanz gehören dabei in die Kategorie der Prävention vor einem Angriff, Einfallsreichtum und Schnelligkeit in die Kategorie der Reaktion auf einen erfolgreichen Angriff. Alle vier Faktoren wirken im Zusammenspiel und helfen Unternehmen in Krisen zu bestehen.
Gewährleistungsziele der Datensicherheit und des Datenschutzes
Die Gewährleistungsziele der Datensicherheit und des Datenschutzes ergänzen einander und sind primär den präventiven Kategorien Robustheit und Redundanz zuzuordnen. Die praktische Umsetzung der Gewährleistungsziele hilft, das Risiko erfolgreicher Angriffe zu verringern. Unternehmen sollten jedoch darüber hinaus auch über Konzepte für den Krisenfall verfügen. Das Standarddatenschutzmodell (SDM) der Datenschutzkonferenz gibt hier einige organisatorische und technische Hinweise.
Resilienz kann trainiert werden
Die Fähigkeit einer Organisation, adäquat auf die Herausforderungen von Cyberangriffen zu reagieren, kann trainiert werden. Wie bei einem guten Fußballteam können Abläufe geprobt und automatisiert werden. Bevor der Stürmer losläuft, weiß der Mittelfeldspieler, welchen Laufweg sein Teampartner nehmen wird und kann den entscheidenden Pass spielen.
Krisen- und Notfallpläne, die nur in der Schublade liegen, sind wenig hilfreich. Abläufe können und müssen trainiert und verinnerlicht werden. In größeren Unternehmen sind Incidenz-Response Teams etabliert, in mittelständischen Unternehmen liegt hier ein Potential an Möglichkeiten, die ausgeschöpft werden sollten.
Angebot
Sie haben Fragen? In einem kostenfreien telefonischen Erstgespräch evaluieren wir Ihren möglichen Beratungsbedarf. Nutzen Sie einfach unser Formular auf dieser Seite oder rufen uns gleich an.