Digital – aber sicher?!
Wo Vernetzung, da auch Einfallstor. Die Gewährleistung und Aufrechterhaltung der digitalen Absicherung von Unternehmen ist kein einmaliges Ereignis, sondern ein laufendes, immerwährendes Rennen gegen Angreifer von außen.
Und diese Attacken sind keine Seltenheit: Laut einer aktuellen KPMG-Studie waren 60 Prozent der heimischen Unternehmen in den letzten zwölf Monaten Ziel von Cyber-Angriffen, 38 Prozent der Befragten haben in der Pandemie eine Zunahme der Attacken wahrgenommen. „Die Sicherheitslage hat sich verschärft, Österreich ist stärker in den Fokus internationaler Cyberattacken gerückt“, bestätigt auch Gerald Steiner, Bereichsleiter Managed Services bei APA-Tech.
Unternehmen müssen also mehr denn je die Verlässlichkeit ihrer Geschäftsprozesse sicherstellen, zusätzlich finden diese in einer immer komplexeren und von Abhängigkeiten geprägten Umgebung statt. Weit verbreitet sind dabei DDoS-Attacken, die ein System durch Überlastung lahmlegen. (Details siehe auch im Interview unten.) Als Ransomware werden wiederum Schadprogramme bezeichnet, die den Zugang zu Daten verhindern und das Unternehmen zur Zahlung von Lösegeld zwingen.
Wie aber können oder müssen Unternehmen ihre IT-Sicherheit bestmöglich gewährleisten? „Erster Schritt ist die laufende Information und Sensibilisierung der eigenen Mitarbeiterinnen und Mitarbeiter durch interne Kampagnen. Auf der technischen Seite reicht es längst nicht mehr, eine simple Firewall zu haben. Für alle Services und Applikationen sind jeweils eigene Sicherheitsschranken nötig. Ein intelligentes Kontrollsystem muss diese wiederum überwachen, frühzeitig verdächtige Aktivitäten erkennen und in Echtzeit darauf reagieren“, sagt Steiner. Laufende Tests – intern, aber auch extern – und Nachbesserungen sind Pflicht. Zusätzlich ist es notwendig, die aktuelle globale und lokale Sicherheitslage zu kennen.
„Die Sicherheitslage hat sich verschärft, Österreich ist stärker in den Fokus internationaler Cyberattacken gerückt.“
Gerald Steiner, APA-Tech
Das bestätigt auch Ulrich Fleck, Geschäftsführer von SEC Consult Österreich, einem der weltweit führenden Beratungsunternehmen im Bereich Cyber- und Applikationssicherheit: „Die Digitalisierung fast aller Unternehmensbereiche eröffnet Cyberkriminellen eine riesige Menge an Angriffsvektoren. Allein die Vielfalt der möglichen Einfallstore zu erkennen und immer up to date zu bleiben, übersteigt die Ressourcen mittlerer Unternehmen bei Weitem. Externe IT-Sicherheits-Profis, deren tägliches Brot es ist, Sicherheitslücken aufzuspüren und Gefahren aus dem Cyberspace zu begegnen, sollten daher früh in die Gestaltung einer sicheren IT-Landschaft eingebunden werden. Sie können dank ihres spezialisierten Wissens und ihrer Erfahrungen Lücken beseitigen, noch bevor sie dem Unternehmen gefährlich werden.“ In beinahe allen Unternehmen sei es heutzutage sinnvoll, für eine sichere IT-Umgebung und Infrastruktur auf externe ExpertInnen zu setzen: „Nicht nur Unternehmen, die auch Online-Handel betreiben, sind heute von der Sicherheit ihrer Webanwendungen abhängig, um ihr Kerngeschäft zu sichern. Unternehmen aus nahezu allen Branchen müssen auf den sicheren und störungsfreien Betrieb ihrer Systeme und Plattformen bauen können. Compliance-Verstöße oder erfolgreiche Hacks ziehen mit dem wirtschaftlichen Schaden zugleich auch einen Image- und Vertrauensverlust nach sich, der existenzbedrohend sein kann“, so Fleck.
„Compliance-Verstöße oder erfolgreiche Hacks ziehen mit dem wirtschaftlichen Schaden zugleich auch einen Image- und Vertrauensverlust nach sich.“
Ulrich Fleck, SEC Consult Österreich
So wie in vielen Bereichen der digitalen Welt sind also Kooperation und Sharing von Expertise angesagt. Doch wie findet man den richtigen Outsourcing-Partner des Vertrauens für ein derart heikles und kritisches Thema? „Eine starke Vertrauensbasis und Offenheit sind essenziell – immerhin muss ich einem Security-Partner auch eventuelle Schwachstellen und besonders wertvolle Informationen darlegen. In der praktischen Zusammenarbeit ist Prozessorientierung wichtig; im Fall einer Attacke müssen viele Bausteine automatisiert ineinandergreifen, und auch danach ist eine Feedbackschleife zur laufenden Verbesserung nötig. Der richtige Outsourcing-Partner sollte außerdem meine Branche und deren Geschäftsprozesse kennen und verstehen“, erläutert APA-Tech-Sicherheitsexperte Steiner.
„Idealerweise begleiten Cybersecurity-SpezialistInnen Unternehmen von Anfang an und helfen, eine sichere IT-Landschaft aufzubauen und Awareness für die IT-Sicherheit bei MitarbeiterInnen wie auch in der Führungsebene zu schaffen. Ebenso wichtig sind auf das jeweilige Unternehmen zugeschnittene Testungen von IT-Anwendungen und der Infrastruktur, um Schwachstellen zu identifizieren und Lösungen zur Beseitigung von Sicherheitslücken abzuleiten. IT-Systeme sind wie ein Organismus immer wieder Veränderungen unterworfen, die neue Lücken eröffnen können, daher sind regelmäßig durchgeführte Überprüfungen dringend ratsam“, betont Fleck. Auch Gefahren ändern sich laufend – deshalb ist auch hier niemals 100-prozentige Absicherung möglich, denn jede Sicherheitslücke wird irgendwann zum ersten Mal entdeckt und ausgenützt, bevor sie geschlossen werden kann.
„Idealerweise begleiten Cybersecurity-SpezialistInnen Unternehmen von Anfang an.“
Ulrich Fleck, SEC Consult Österreich
Die wichtigsten Fragen zu Cyber-Attacken
APA-Tech Security-Experte Gerald Steiner im Interview
Was ist eine DDoS-Attacke?
Gerald Steiner: DDoS bedeutet Distributed Denial of Service. Das Prinzip einer DDoS-Attacke ist es, durch gezielte Überlastung eines Systems dieses zum Ausfall oder massiver Verlangsamung zu bringen. Diese Form ist derzeit relativ weit verbreitet, weil sie für die angreifende Person vergleichsweise „günstig“ durchzuführen ist: Man braucht wenig Know-how und im Darknet lassen sich diese Attacken sogar um wenig Geld „einkaufen“. Besonderer Nachteil für die angegriffene Organisation ist leider hierbei, dass die Attacken extrem schwer rückzuverfolgen sind – man kann den Angriff zwar anzeigen, aber es ist für die Behörden in vielen Fällen unmöglich, den Ursprung und damit die Täter zu finden.
Wie läuft eine Cyber-Attacke typischerweise ab?
Gerald Steiner: Idealerweise hat ein Unternehmen oder eine Organisation ihre Server und Anwendungen durch ein bzw. mehrere Systeme geschützt. Ein feindlicher Angreifer nutzt nun eine Software, die versucht, zu der Infrastruktur vorzudringen, etwa Schwachstellen bei Systemen auszunutzen um weiter einzudringen. Das Ziel des Unternehmens ist es unter anderem, diesen „Bad traffic“ bereits möglichst „weit draußen“ zu erkennen und abzublocken, also etwa bereits bei Knotenpunkten hin zum World Wide Web zu erkennen, dass diese Angriffe auf die Schwachstellen nicht zum System vordringen können. Durch diese „Mitigation“ wird die Attacke bereits frühzeitig abgefangen. Der Angreifer wird dann möglicherweise andere Wege versuchen, auch AI wird von Schadsoftware eingesetzt. Die Attacke ist dann erfolgreich abgewehrt, wenn das Defense Team keine Auffälligkeiten mehr sieht. Die Systeme sollten regelmäßig auf Schwachstellen überprüft werden, um die Angriffsvektoren so gering wie möglich zu halten.
Welches Ziel verfolgen Cyber-Kriminelle?
Gerald Steiner: Es gibt verschiedene Hintergründe: Bei der typischen „reinen“ DDoS-Attacke ist das Ziel, eine Organisation lahmzulegen und ihr dadurch zu schaden, entweder weil sie ihren Kundenanfragen nicht nachkommen kann oder auch weil sie dadurch Reputation verliert. Eine zweite Möglichkeit ist, durch einen DDoS-Angriff von einer weiteren Attacke abzulenken und etwa parallel dazu zu versuchen, Daten von dem Unternehmen zu stehlen.
In beiden Fällen kommt es vor, dass die Angreifer das Unternehmen erpressen und mittels Bitcoin – wiederum auf anonymem Weg – eine Bezahlung dafür verlangen, entweder um die Attacke zu stoppen oder Daten wieder freizugeben. Wenn Kundendaten erbeutet werden, können diese auch im Darknet verkauft und damit Geld lukriert werden. Oder es geht in Richtung professioneller Spionage sowohl im Wirtschafts- als auch im politischen Bereich, wo heikle Informationen zum eigenen Vorteil genutzt werden.