Welche Folgen ein erfolgreicher Hack für betroffene Unternehmen haben kann, worauf haben es Angreifer abgesehen haben und wie die Cybersicherheitsfront aktuell aufgestellt, fragt Thorsten Henning von Palo Alto Networks im Blog für silicon.de.
In den vergangenen Jahren konnten wir beobachten, dass Cybersicherheit immer mehr zum Thema wird in der Vorstandsetage. Eine Studie im Auftrag von Palo Alto Networks, Forbes, des Financial Services Roundtable und der Georgia Tech aus dem Jahr 2015 zeigt, dass die Aufmerksamkeit für dieses Thema bei den Vorstandsmitgliedern um 33 Prozent gestiegen ist gegenüber 2012. Die Führungskräfte sollten sich dennoch etwas tiefgehender damit auseinandersetzen, welche Auswirkungen Sicherheitsvorfälle auf das Geschäft haben können.
Dabei ist es hilfreich, sich vorzustellen, wie ein Angreifer den Wert der Daten eines Unternehmens einschätzt. Wirtschaftliche Motivation kann ein starker Anreiz für kriminelle Hacker sein.
Die Führungskräfte sollten wissen, was Angreifer am meisten interessieren könnte, um die Schutzmaßnahmen dann auf die wertvollen Daten zu konzentrieren. Die Absicht der Angreifer könnte auch sein, nachgelagerte Effekte zu erzielen, indem mithilfe der erbeuteten Daten gezielt die Kunden des Unternehmens ins Visier genommen werden. Daraus resultiert die Notwendigkeit, sensible persönliche Daten der Kunden effektiv zu schützen, um rechtliche Konsequenzen zu vermeiden.
Gleiches gilt für Behörden für die Personalakten ihrer Mitarbeiter. Ebenso sind Schutzmaßnahmen für das wachsende Internet der Dinge erforderlich und Betreiber kritischer Infrastrukturen müssen industrielle Steuerungssysteme besser schützen.
Erfolgreiche “Geschäftsmodelle”
Wie wir es bei Ransomware beobachten können, sind Cyberkriminelle mit ihren “Geschäftsmodellen” durchaus erfolgreich und verdienen bares Geld. Im letzten Jahr schätzte die Cyber Threat Alliance den Schaden der CryptoWall-v3-Kampagne auf über 325 Millionen Dollar. Die Mehrheit der Angreifer ist finanziell motiviert, aber ihr Geschäftsmodell fällt und steht mit dem Arbeitsaufwand. Eine Ponemon-Studie hat festgestellt, dass eine Erhöhung des Arbeitsaufwands um nur zwei Tage die Akteure bereits davon abhalten würde, einen Angriff fortzusetzen.
Was bedeutet das alles für Geschäftsführer und Vorstände? Leider verstehen die Gegner den Wert der Daten im Unternehmen oft besser als die Unternehmen selbst. Versierte Angreifer, die auf Profit aus sind, suchen nach Möglichkeiten, in großem Stil einmal zuzuschlagen und dann große Mengen gestohlener Daten zu Geld zu machen. Dies bedeutet, dass Angreifer auf Daten abzielen, die das Unternehmen für jemanden verwahrt oder auf Systeme, die mit vielen weiteren potenziellen Angriffszielen verbunden sind.
Die jüngsten Angriffe, für die das globale Zahlungssystem SWIFT genutzt wurde, sind ein weiteres hervorragendes Beispiel. In diesem Fall nahmen die Angreifer das SWIFT-Netzwerk ins Visier, aber nicht, um es zum Absturz zu bringen oder wertvolle IP-Daten zu erlangen. Sie nutzten SWIFT, um betrügerische Transaktionen, die sich gegen andere Benutzer richteten, durchzuführen.
Daraus lässt sich schlussfolgern, dass auch wenn ein Unternehmen das erste Opfer eines Angriffs ist, es nicht unbedingt das primäre Opfer sein muss. Werden jedoch Angriffe von einem schlecht gesicherten Netzwerk gegen andere Ziele ausgeführt, wäre das Unternehmen potenziell mit verantwortlich. Dies hat auch Auswirkungen auf den Versicherungsmarkt für Cybersicherheit, da die Komplexität der externen Kosten es schwierig macht, eine Police anzubieten, die die vollen Kosten großer Vorfälle abdeckt.
Hoffnung an der Cybersicherheitsfront
An der internationalen Cybersicherheitsfront gibt es dennoch Hoffnung. Ein Beispiel ist das Cybersecurity Framework, eine öffentlich-private Partnerschaft, die von der US-Regierung und dem privaten Sektor im Jahr 2014 ins Leben gerufen wurde. Dieses Rahmenwerk betont, dass Investitionen gegen die jeweils spezifischen Geschäftsrisiken einen großen Effekt haben, um die Cybersicherheit gezielt zu erhöhen.
In Deutschland ziehen im Rahmen der Allianz für Cybersicherheit ebenfalls wichtige Akteure aus dem öffentlichen Sektor und der Wirtschaft an einem Strang. Und von Seiten der Politik wurden jüngst auf EU-Ebene die Weichen gestellt für höhere Sicherheitsanforderungen und besseren Datenschutz mit der Verabschiedung der NIS-Richtlinie bzw. der Bekanntgabe der kommenden neuen Datenschutz-Verordnung DSGVO (englisch: GDPR).
Aus der Perspektive von Palo Alto Networks liegt der Fokus klar auf Prävention, um die erfolgreiche Durchführung von Angriffen zu verhindern. Dies ist durchaus möglich durch Investitionen in die richtige Ausbildung des Personals, angemessene Sicherheitsprozesse und Technologie der nächsten Generation.
Dadurch kann der Kostenaufwand für die Angreifer bei jedem Schritt im Angriffslebenszyklus erhöht werden, bis eine Angriffsstrategie nicht mehr attraktiv ist und aufgegeben wird. In eine Strategie der Prävention zu investieren, liegt weitgehend in den Händen hochrangiger Führungskräfte, die letztlich die Verantwortung für die Sicherheit des Unternehmens tragen.