Cyberresilienz Der smarte Impfstoff gegen Cyberattacken

Autor / Redakteur: Matthias Ochs * / Johann Wiesböck

Die enorme Beschleunigung in der Digitalisierung und die massive Zunahme von Cyberattacken erheben die Cyberresilienz zum zentralen Leitbild innerhalb jeder IT-Strategie. Das sind die drei wichtige Handlungsfelder.

Firmen zum Thema

Matthias Ochs, Geschäftsführer genua: „Unternehmen benötigen ein umfassendes Management der Komplexität, eine Sicherheitspolicie basierend auf Aufgaben und Verantwortlichkeiten sowie eine auf Cyberresilienz ausgerichtete IT-Sicherheitsorganisation.“
Matthias Ochs, Geschäftsführer genua: „Unternehmen benötigen ein umfassendes Management der Komplexität, eine Sicherheitspolicie basierend auf Aufgaben und Verantwortlichkeiten sowie eine auf Cyberresilienz ausgerichtete IT-Sicherheitsorganisation.“
(Bild: genua)

Die vergangenen Monate haben die digitalen Infrastrukturen von öffentlichen Organisationen und Unternehmen vor enorme Herausforderungen gestellt. Innerhalb kürzester Zeit mussten Teams, Strukturen, Abläufe und Technologie auf eine Ausnahmesituation umgestellt werden. Dieser noch immer nicht abgeschlossene Prozess hat gerade in der IT-Sicherheit die Bedeutung der Resilienz als Kerneigenschaft komplexer Systeme stark in den Vordergrund gerückt und das Bewusstsein dafür geschärft, dass die Cyberresilienz als zentrales Leitbild innerhalb jeder IT-Strategie etabliert werden muss.

Resilienz wird im organisatorischen Kontext einerseits als Fähigkeit verstanden, die Funktionsfähigkeit von Kernprozessen und Kerninfrastrukturen (etwa die Lebensmittel- und Gesundheitsversorgung, Zahlungsprozesse, oder die Energie- und Kommunikationsnetze) auch unter außergewöhnlichen und unwahrscheinlichen Umständen auf ausreichendem Niveau aufrechtzuerhalten. Beispiele für solche Umstände sind Wirtschaftskrisen, Pandemien, Netzausfälle und immer häufiger auch massive Cyberangriffe. Andererseits bezieht sich Resilienz auf die Fähigkeit, ausgehend von den ausreichend funktional gehaltenen Prozessen ein zügiges Recovery zur vollen Leistung vornehmen zu können.

Cybersecurity für eine vulnerable Welt

Die hohe strategische Relevanz der Cyberresilienz ergibt sich dabei aus dem Zusammenspiel mehrerer Trends. Wir erleben eine fortschreitende Vernetzung, die nicht zuletzt durch die Entwicklung des Internet of Things in neue Dimensionen hineinreicht. Bedingt durch die enge und weiter zunehmende Verzahnung in Lieferketten und IT-Netzen, können lokale Angriffe schnell eine globale Dimension entfalten.

Diese Entwicklung wird durch die Digitalisierung massiv verstärkt, denn gesellschaftliche und wirtschaftliche Systeme funktionieren ohne die IT de facto nicht mehr. Das hohe Tempo der technologischen Entwicklung und der Druck zur digitalen Optimierung der Geschäftsprozesse führen dabei auch dazu, dass teilweise unausgegorene und nicht ausreichend geschützte Technologien zum Einsatz kommen. Gleichzeitig beobachten wir eine Professionalisierung der Angriffe, die zunehmend durch eine hochorganisierte, schlagkräftige und immens profitable Hacker-Industrie erfolgen, hinter der sowohl private als auch staatliche Akteure stehen.

In Summe können Cyberangriffe Schadensdimensionen annehmen, die noch vor wenigen Jahren undenkbar erschienen. Die Zerstörungskraft der Ransomware Wannacry, die 2017 die Abfahrtsmonitore der Deutschen Bahn lahmlegte und immer noch Schäden in Milliardenhöhe verursacht, ist ein Vorgeschmack auf die Herausforderungen, denen sich die IT Security stellen muss. Und auch Angriffe ohne globale Reichweite können katastrophale Folgen haben – so etwa bei der Attacke auf das Universitätsklinikum Düsseldorf, die sich im September 2020 ereignete. 30 Server wurden von Hackern dabei verschlüsselt – und die Abläufe in dem Krankenhaus weitgehend lahmgelegt.

Vor diesem Hintergrund gilt es, unser Verständnis von IT-Sicherheit auf den Prüfstand zu stellen. In den kommenden Jahren müssen wir lernen, Risiken und Aufwände, die in Relation zu diesen Risiken stehen, effektiv zu managen. Dabei geht es vor allem darum, sich auf eine adäquate und nicht auf eine hundertprozentige Sicherheit zu fokussieren. Das Denken in den Kategorien der Resilienz ermöglicht es, Gefahren bewusst zu akzeptieren und zur Grundlage der Security-Strategie zu machen. So lassen sich effektive und kostengünstigere Lösungen aufbauen, um im Ernstfall angemessen zu reagieren und ein schnelles Recovery zu ermöglichen.

Ausgangspunkt ist eine fundierte Risikoanalyse

Was sind nun die Voraussetzungen, die für eine nachhaltige Cyberresilienz geschaffen werden müssen? Der Ausgangspunkt auf dem Weg zur Cyberresilienz ist eine fundierte Risikoanalyse der kritischen Geschäftsprozesse und die Definition möglicher Bedrohungen. Diese bilden einerseits die Basis für wirksame Mitigationsstrategien (Mitigation – Abschwächung, Milderung), etwa im Hinblick auf Firewalls, Backup, oder Awareness-Schulungen und andererseits auf tragfähige Notfallpläne für Risiken, die mit akzeptablem Aufwand nicht vollumfänglich abgeschwächt werden können. Korrespondierend dazu müssen die Verantwortlichkeiten, Führungsstrukturen und Kommunikationsprozesse optimal auf Notsituationen ausgerichtet werden: Schnelle Entscheidungen, hohe Reaktionsgeschwindigkeit, reibungslose Ressourcenallokation und flexibler Einsatz von internem und externem Knowhow sind die Voraussetzung dafür, dass die Gefahren schnell eingegrenzt werden und eine möglichst zeitnahe Recovery initiiert werden kann.

Cyberresilienz ist wie ein Impfstoff für die digitale Gesellschaft

Aus technologischer Perspektive geht es dabei um das Zusammenspiel zwischen Detektion und Prävention. Dabei machen die skizzierten Entwicklungen und Rahmenbedingungen die Prävention zu einer anspruchsvollen Aufgabe, bei der klassische Firewall-Regeln und -Policies an ihre Grenzen kommen. Leistungsfähigere kontextabhängige und kontextübergreifende Regelwerke ermöglichen zwar eine höhere Qualität der Prävention. Zusätzlich gewinnt auch ein effektives und vor allem schnelles reaktives Vorgehen nach der Erkennung der Gefahr zunehmend an Bedeutung. Die Relevanz der Reaktionsgeschwindigkeit lässt sich dabei am Beispiel des Contact Tracing in der aktuellen Corona-Pandemie illustrieren: Werden die Infektionsketten nicht schnell und effektiv eingegrenzt und unterbrochen, gerät die Dynamik außer Kontrolle. Das gilt analog auch für die Reaktion auf einen Angreifer im IT-Netzwerk. Cyberresilienz ist wie ein Impfstoff für die digitale Gesellschaft.

Ein weiterer wichtiger Aspekt ist die nahtlose Kombination aus vertikaler und horizontaler Mitigation. Dabei stehen bei der vertikalen Ausprägung Themen wie Off-site und Multi-level Backup, externe und interne Sicherheitsperimeter, und Monitoring im Fokus. Die horizontale Mitigation umfasst heterogene Infrastrukturen (Systeme mehrerer Anbieter), Flexibilität in den Arbeitsweisen, und den Einbau von Redundanzen, um einen Totalausfall zu vermeiden. Integrierte Defense-in-Depth Konzepte spielen dabei eine wichtige Rolle und umfassen Security-Lösungen am Endpunkt, im LAN, am inneren und äußeren Netz-Perimeter, VPN-Produkte zum Schutz von Kommunikation sowie Monitoring-Tools.

Der Weg zur Cyberresilienz: Die wichtigsten Handlungsbedarfe

Vor diesem Hintergrund ergeben sich drei wesentliche Bausteine für die Transformation von IT-Sicherheitsarchitekturen in Richtung einer umfassenden und nachhaltigen Cyberresilienz.

Erstens: Komplexität managen

Der erste Baustein ist ein effektives und umfassendes Management der Komplexität. Dabei geht es erstens um den Ausbau der Präventionsmöglichkeiten in Richtung intelligenter Systeme, die beim Beherrschen der zunehmenden Komplexität durch den Einsatz AI-basierter Lösungen und Methoden helfen. Gleichzeitig sollte jedoch die Komplexität reduziert werden, beispielsweise durch klar definierte und minimale Schnittstellen (etwa durch Mikrokernel auf OS-Ebene, oder Segmentierung und Mikrosegmentierung auf Netz-Ebene). Parallel dazu müssen die Detektionsmöglichkeiten und das Monitoring auf Netz- und Applikationsebene ausgebaut werden.

Zweitens: Sicherheitspolicies anpassen

Zweitens sollten Sicherheitspolicies basierend auf Aufgaben und Verantwortlichkeiten entwickelt werden. Ein Schwerpunkt liegt dabei auf Identitäts- und Dienste-basierten Zugriffskontrollen (authentisierter Nutzer von überprüftem System darf spezifische Applikation benutzen), die sowohl bei der Prävention als auch bei der Detektion helfen.

Drittens: IT-Sicherheitsorganisation

Und schließlich müssen auch die skizzierten Voraussetzungen geschaffen, um eine auf Cyberresilienz ausgerichtete IT-Sicherheitsorganisation aufzubauen. Dieser Prozess ist mehr als die Summe seiner strukturellen, personellen und technologischen Elemente: Seine Initiierung hat tiefgreifende transformative Auswirkungen auf die gesamte Organisation und ist der Weg zu einem neuen IT Security Paradigma.

Weitere Infos zu genua finden Sie unter www.genua.de.

* Matthias Ochs ist Geschäftsführer der genua GmbH. Das deutsche IT-Security-Unternehmen ist spezialisiert auf komplexe und kritische digitale Infrastrukturen.

(ID:47412352)