Cybersecurity 2020: Die grösste Herausforderung sind Ransomware-Attacken
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Isabelle Berger.
Es gibt viele Security-Herausforderungen, welche die IT-Branche auf Trab halten. Welche davon als DIE grösste bezeichnet werden soll, ist immer auch von der Unternehmung selbst abhängig. Täglich kommen neue Herausforderungen dazu und die Dynamik dabei ist hoch. Die zu verarbeitende Datenmenge nimmt laufend zu und die Anforderung, jederzeit und von überall arbeiten zu können, trägt zum grossen Umfang des Themas bei. In dieser Situation jederzeit den Überblick über das Gesamte zu behalten, ist an sich schon eine echte Herausforderung.
Angriffe sind mittlerweile ein lukratives Geschäftsmodell
Dennoch betrachte ich persönlich die zahlreichen Ransomware-Attacken, die mit ihrer Schadsoftware auf Lösegeldforderungen abzielen auch in Zukunft als die grösste Security-Herausforderung. Dies vor allem auch deshalb, weil sich diese Angriffe mittlerweile zu einem lukrativen Geschäftsmodell entwickelt haben. Waren solche Attacken in der Vergangenheit noch sehr ungezielt und oftmals unprofessionell, so wurden sie in der letzten Zeit immer gezielter und raffinierter. Mittlerweile spricht man nun sogar von einem eigenen Geschäftsmodell, nämlich von Ransomware-as-a-Service (RaaS). Das bezeichnet genau das, was es in Tat und Wahrheit auch ist – nämlich eine «Dienstleistung», die eingekauft werden kann. Dahinter stehen gut organisierte Unternehmen, die sowohl über Marketing- und Sales-Abteilungen als auch über Supportabteilungen verfügen. Selbst Dienstleistungsvereinbarungen (Service Level Agreements) können abgeschlossen werden. Die Anbieter dieser RaaS haben als oberstes Ziel das Einkassieren einer möglichst hohen Lösegeldforderung und schrecken vor nichts zurück. Sie gehen dabei sehr clever und wirtschaftlich vor, d.h. die Lösegeldforderungen werden in realistischen Beträgen angesetzt, so dass die betroffenen Firmen dadurch tatsächlich auch in Versuchung kommen, den Forderungen nachzukommen. Kurzfristig gesehen ist das oftmals die kostengünstigste Variante, selbst wenn natürlich auch nach dem Bezahlen des Lösegeldes keine Garantie besteht, dass die Schlüssel für die Entschlüsselung auch tatsächlich ausgehändigt werden. Ethische Grundsätze kennen die Erpresser nicht. Sie schlagen dort zu, wo mit dem grössten Gewinn gerechnet werden kann und nehmen dabei auch dramatische Auswirkungen in Kauf, z. B. bei Angriffen im Gesundheitswesen oder bei der Manipulation von Navigationshilfen.
Genau dieses professionelle Vorgehen stellt die Betroffenen nicht nur vor eine grosse Herausforderung, sondern bedeutet zugleich auch eine grosse Gefahr. Heutzutage ist keine Unternehmung mehr vor einer erfolgreichen Attacke sicher! Ohne näher auf den technischen Ablauf eines solchen Angriffs einzugehen, sei an dieser Stelle nur erwähnt, dass sich die Kriminellen oftmals schon vor Wochen oder Monaten unbemerkten Zugriff auf das Firmennetzwerk und die Systeme verschaffen konnten. Das bietet ihnen nicht nur die Möglichkeit, sich gute Kenntnisse über die Geschäftsprozesse sowie die Organisation und den Personenkreis zu verschaffen, sondern auch nach möglichen Schwachstellen zu suchen. So können sie relativ detailliert analysieren, welche Geschäftsprozesse am verwundbarsten sind. Der finale Angriff dauert unter Umständen nur ein paar Minuten und erfolgt in den meisten Fällen über ein Phishing-Mail mit einem verseuchten Link oder Anhang. Dabei sind selbst bisher relativ sichere PDF-Dokumente nicht mehr gefeit vor Manipulationen. War es in der Vergangenheit relativ einfach, die Benutzerinnen und Benutzer im Umgang mit solchen betrügerischen E-Mails mittels Schulung zu sensibilisieren, ist das mit den heutzutage angewandten Methoden sehr viel schwieriger bis fast unmöglich geworden. Diese E-Mails erscheinen nun nämlich in höchst professioneller Form: Sie stammen von bekannten Absendern, sind in korrekter Art und Weise verfasst und weisen sogar einen direkten Bezug zur Tätigkeit des jeweiligen Unternehmens auf. Dadurch stellen sich Fragen wie z. B.: Wie können Mitarbeitende aus dem Personalwesen tatsächliche Spontanbewerbungen von gefälschten unterscheiden, oder wie können echte Bestellungen von gefälschten unterschieden werden? Die nun auf diesem Weg eingeschleuste Schadsoftware blockiert dann z. B. die Kernprozesse der Unternehmung oder verschlüsselt die Daten, so dass der Betrieb im schlimmsten Fall komplett lahmgelegt wird. Nicht selten ist danach eine Firma über Tage oder sogar Wochen blockiert und die ganzen Geschäftsprozesse brechen zusammen. Die Nachwehen können also dramatisch sein und sogar existenzbedrohende Auswirkungen annehmen. Nebst dem monetären Schaden bedeutet das für die Firma nicht nur Reputationsverlust, verlorene Kunden, verlorene Daten etc., sondern unter Umständen auch noch Bussen wegen Vertragsverletzungen. Solche Folgen können dann noch viel schlimmeren Schaden darstellen als die Lösegeldforderung an sich.
Die grösste Schwachstelle ist der Mensch
Damit es gar nicht erst so weit kommt oder doch zumindest der Schaden begrenzt werden kann, ist ein ganzheitliches Informationssicherheits-Management unabdingbar. Bei dessen Konzeption muss man sich im Klaren sein, dass die grösste Schwachstelle nach wie vor der Mensch ist. Rein technische Vorkehrungen sind häufig sehr teuer und gerade für KMU-Betriebe fast unerschwinglich. Auch nützen diese – isoliert betrachtet – relativ wenig angesichts der finanziellen Aufwendungen. Zu einer guten Informationssicherheit gehören immer Massnahmen aus den Bereichen Technik, Infrastruktur, Organisation und Personal. An dieser Stelle seien nur ein paar wenige Möglichkeiten dazu genannt – z. B. ein gesicherter Zugang zu kritischen Räumen, der korrekte Umgang mit Passwörtern, das Einhalten von «Best Practices», ein regelmässiges Testen des Wiederherstellens von Backups, klare Regelungen der Verantwortlichkeiten, das zügige Einspielen von Patches, sowie Rollen- und Berechtigungskonzepte. Das alles kostet nicht viel, bringt jedoch eine deutliche Verbesserung der Sicherheit. Dabei dürfen auch Wiederherstellungsmassnahmen nicht vergessen werden. Es ist wichtig, dass Notfallkonzepte vorliegen und diese auch regelmässig geübt werden. Nur so zeigen sie im Bedarfsfall ihre Wirkung. Das interne IT-Team muss also auf solche Vorfälle vorbereitet sein, damit der Betrieb auch unter widrigen Umständen möglichst schnell wiederhergestellt werden kann. Es müssen demnach nicht nur die Benutzer und Benutzerinnen mittels Awareness-Kampagnen sensibilisiert werden, sondern auch das IT-Team muss entsprechend geschult werden. Nur wenn alle Massnahmen auf allen Ebenen ineinandergreifen, kann ein gewisser Schutz vor grösseren Schäden gewährleistet werden.
Es ist wichtig, allen Mitarbeitenden deutlich vor Augen zu führen, dass sie einen zentralen Teil in der Verteidigungslinie darstellen und dass jeder in seinem Bereich einen wertvollen Beitrag zur Gesamtsicherheit leisten kann und muss. Selbstverständlich dürfen Kampagnen, Schulungen und Notfallübungen nicht isoliert betrachtet werden. Vielmehr müssen sie in einem kontinuierlichen Prozess in ein umfassendes Sicherheitskonzept eingebaut werden. Resultate müssen laufend ausgewertet, entsprechende Massnahmen definiert werden und schlussendlich müssen die gewonnenen Erkenntnisse in einen Optimierungsprozess einfliessen. Haben sich diese Mechanismen einmal in einem Unternehmen etabliert, kann man von einem gelebten Informationssicherheits-Konzept sprechen. Damit hat man gute Karten im Umgang mit Security-Herausforderungen aller Art.
Autorin: Isabelle Berger, Leiterin IT-Services, Kantonsschule Olten
Literaturquellen
MELANI Halbjahresbericht 2019
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Cybersecurity 2020: Die grösste Herausforderung sind Ransomware-Attacken