So planen Unternehmen ihre nächste Reaktion auf einen Cyberangriff
In einer Umgebung mit ständig zunehmenden und gezielteren Cyberbedrohungen ist jede Organisation gefährdet. Sophos liefert einen Leitfaden zur proaktiven Planung der Reaktion auf Vorfälle.
Es ist mitten in der Nacht und sie werden von der Nachricht geweckt, dass ihr Unternehmen von Ransomware angegriffen wurde. Reaktionszeit ist wichtig – die Entscheidungen, die sie in den folgenden Sekunden, Minuten und Stunden treffen, haben langfristige operative und regulatorische Konsequenzen, die sich grundlegend auf den Unternehmensbetrieb und damit auch ihren geschäftlichen Ruf auswirken.
Dies ist kein hypothetisches Szenario – es ist eine zunehmend alltägliche Realität für Unternehmen, da Cyberangriffe – einschließlich Ransomware – immer häufiger und komplexer werden. Als Reaktion darauf nutzen viele Organisationen Cybersecurity-as-a-Service (CSaaS), ein Sicherheitsmodell, bei dem externe Spezialisten Unternehmen dringend benötigte Expertise, Abwehrmaßnahmen und Eingriffe auf Abruf bieten. Durch die Auslagerung aller Sicherheitsoperationen oder die Verstärkung bestehender Teams können Unternehmen rund um die Uhr Bedrohungssuche, -erkennung und -reaktion sicherstellen. Ermöglicht wird dies durch Managed Detection and Response (MDR), einem zentralen CSaaS-Angebot.
Aber MDR ist nur die halbe Miete. Unternehmen benötigen außerdem detaillierte Pläne zur Reaktion auf Vorfälle, um von CSaaS-Modellen voll profitieren zu können. Strategische Vorbereitungen ermöglichen schnelles Handeln in Krisenzeiten und optimieren die Zusammenarbeit mit Managed Service Providern (MSPs) und MDR-Partnern. Mit MDR und ganzheitlicher Reaktionsplanung können Unternehmen einen vollwertigen Sicherheitsbetrieb aufbauen, der gegen die immer stärker werdenden Bedrohungen gewappnet ist.
MDR ist der Eckpfeiler der Incident-Response-Planung
Aktive Cyberattacken können für die Verantwortlichen in Unternehmen schnell überwältigend werden. Wenn, bildlich gesprochen, die Sirenen heulen, kann es kompliziert und stressig sein, mehrere Anbieter, Beteiligte und Bereitstellungstools zu verwalten und effektiv zu nutzen. Ohne die Hilfe durch einen Incident-Response-Plan ist es für die Verantwortlichen schwierig, die Schwere eines Angriffs einzuschätzen und alle Rollen und Aufgaben während des gesamten Wiederherstellungsprozesses abzustimmen.
Eine fehlende interne Ausrichtung und Planung verlängert die Reaktionszeit entscheidend, da die Geschäftsführung im Fall der Fälle erst einmal Prozesse klären und feststellen muss, wer in welchem Bereich die Entscheidungsbefugnis hat. Ohne einen Incident-Response-Plan kann es sogar unklar sein, wer im Falle eines Angriffs zu benachrichtigen ist. Im Gegensatz dazu ermöglicht die proaktive Entwicklung von Reaktionsplänen, verschiedene Aktivitätsprotokolle durch Scheinszenarien und Übungen zu evaluieren. Diese Praxis hilft Organisationen, ihre „Reaktionsmuskeln“ für eine Cyberattacke zu stärken und Probleme mit bestehenden Prozessen zu identifizieren.
Ein Incident-Response-Plan gibt den Beteiligten auch die Möglichkeit, eine interne Ausrichtung aufzubauen und sich auf die Integration ausgelagerter MDR-Services vorzubereiten. Angetrieben von einer von Menschen geführten Bedrohungssuche, die in großem Maßstab durchgeführt wird, stellt MDR sicher, dass Vorfälle schneller entdeckt und damit von vornherein weniger wahrscheinlich sind. Im schlimmsten Fall, wenn Vorfälle auftreten, reduziert die On-Demand-Intervention von MDR-Partnern die Schwere der Auswirkungen.
Während des gesamten Incident-Response-Prozesses – von der anfänglichen Erkennung, Eindämmung und Neutralisierung von Bedrohungen bis hin zur Entfernung von Angreifern aus dem Netzwerk – müssen interne Entscheidungsträger, MSPs und MDR-Partner zusammenarbeiten, um die geschäftlichen Auswirkungen abzuwägen und die nächsten Schritte festzulegen. Dies ist das Entscheidende an einem ganzheitlichen Plan zur Reaktion auf Cybervorfälle – er stellt sicher, dass alle Beteiligten ihre Rollen während des gesamten Wiederherstellungszyklus verstehen. Dieser Ansatz ermöglicht auch eine optimierte Beziehung zwischen den Parteien, was letztendlich zu einer schnelleren Neutralisierung von Bedrohungen führt.
5 Schritte für eine gründliche Planung der Reaktion auf Cybervorfälle
Unternehmen sollten nicht bis nach einem Cyberangriff warten, um in eine ganzheitliche Planung der Reaktion auf Vorfälle zu investieren. Angesichts der steigenden Zahl von Ransomware-Angriffen und der Zunahme stark kollaborativer Angriffsmodelle ist jede Organisation ein Ziel. Das Sophos Incident Response Team empfiehlt die folgenden fünf Schritte, um eine solide interne Ausrichtung und optimierte Zusammenarbeit mit externen Experten sicher zu stellen:
203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen
Digitale Angriffe nehmen zu, analoge gehen leicht zurück
Angriffe auf die Wirtschaft haben sich im vergangenen Jahr weiter in den digitalen Raum verlagert. So geben zwei Drittel der Unternehmen (69 Prozent) an, dass sie in den vergangenen zwölf Monaten von Diebstählen von IT- und Telekommunikationsgeräten betroffen oder vermutlich betroffen waren, ein Anstieg um 7 Prozentpunkte zum Vorjahr. 63 Prozent berichten vom Diebstahl sensibler Daten (plus 3 Prozentpunkte), bei 57 Prozent wurde digitale Kommunikation ausgespäht (plus 5 Prozentpunkte) und 55 Prozent sind von der digitalen Sabotage von Systemen oder Betriebsabläufen betroffen oder vermuten dies (plus 3 Prozentpunkte). Leicht rückläufig sind dagegen der analoge Diebstahl von physischen Dokumenten, Unterlagen oder Mustern (42 Prozent, minus 8 Prozentpunkte), das Abhören von Besprechungen oder Telefonaten (28 Prozent, minus 9 Prozentpunkte) sowie die analoge Sabotage (22 Prozent, minus 3 Prozentpunkte). „Unternehmen in Deutschland haben seit Beginn der Corona-Pandemie die Digitalisierung vorangetrieben. Damit verlagern sich auch die Angriffe zunehmend in den digitalen Raum“, so Berg.
Datendiebstahl: Täter haben es auf die Daten Dritter abgesehen
Beim Diebstahl digitaler Daten haben es die Angreifer verstärkt auf Daten Dritter abgesehen. So geben 68 Prozent der von diesem Delikt betroffenen Unternehmen an, dass Kommunikationsdaten wie E-Mails entwendet wurden (2021: 63 Prozent). Bei fast jedem Zweiten (45 Prozent) waren Kundendaten im Visier – nach nur 31 Prozent vor einem Jahr. Berg: „Die Täter scheinen genau zu wissen, an welcher Stelle sie am härtesten zuschlagen können. Wenn Daten Dritter entwendet werden, droht den Unternehmen zusätzlicher Schaden. Der reicht von Reputationsverlust bis hin zu möglichen Bußgeldern der Aufsichtsbehörden.“ In jedem dritten betroffenen Unternehmen wurden unkritische Business-Informationen (38 Prozent) oder Cloud-Zugangsdaten (32 Prozent) gestohlen. Jedes vierte Unternehmen meldet den Verlust kritischer Business-Informationen wie Marktanalysen (28 Prozent) sowie Daten von Mitarbeiterinnen und Mitarbeitern (25 Prozent). In rund jedem fünften betroffenen Unternehmen (18 Prozent) hatten es die Täter auf geistiges Eigentum wie Patente abgesehen, in 14 Prozent flossen Finanzdaten ab.
Cyberangriffe: 45 Prozent fürchten um Existenz
Insbesondere digitale Angriffe beunruhigen die Wirtschaft. 39 Prozent haben in den vergangenen zwölf Monaten erlebt, dass Cyberattacken auf ihr Unternehmen stark zugenommen haben, 45 Prozent meinen, sie haben eher zugenommen. Vor allem Betreiber kritischer Infrastrukturen erleben einen Anstieg der Angriffe: Hier sagen 49 Prozent, die Attacken haben stark zugenommen, und 38 Prozent, sie haben eher zugenommen. Die Sorgen vor den Folgen einer Cyberattacke wachsen: 45 Prozent der Unternehmen meinen, dass Cyberattacken ihre geschäftliche Existenz bedrohen können – vor einem Jahr lag der Anteil bei gerade einmal 9 Prozent.
Bei den Cyberangriffen wurden vor allem Attacken auf Passwörter, Phishing und die Infizierung mit Schadsoftware bzw. Malware für die Unternehmen teuer – in jeweils jedem vierten Unternehmen (25 Prozent) ist ein entsprechender Schaden entstehen. Dahinter folgen DDoS-Attacken, um IT-Systeme lahmzulegen (21 Prozent). Ransomware-Attacken haben in 12 Prozent der Unternehmen Schäden verursacht, das ist nach dem Rekordjahr 2021 mit 18 Prozent ein deutlicher Rückgang. „Bei Ransomware gilt: Durch technische Vorkehrungen und Schulung der Beschäftigten lassen sich Angriffe abwehren. Und wer aktuelle Backups zur Verfügung hat und einen Notfallplan aufstellt, der kann den Schaden einer erfolgreichen Attacke zumindest deutlich reduzieren“, so Berg. „Auf keinen Fall sollte ein Lösegeld gezahlt werden. Häufig erhalten die Opfer ihre Daten selbst dann nicht in einem brauchbaren Zustand zurück – und zugleich werden die Täter zu weiteren Angriffen motiviert, und die können auch auf dasselbe Unternehmen erneut treffen.“
Einen Anstieg gab es beim sogenannten Social Engineering. Fast jedes zweite Unternehmen (48 Prozent) berichtet von entsprechenden Versuchen. Dabei wird vor allem und deutlich häufiger als in der Vergangenheit versucht, über das Telefon (38 Prozent, 2021: 27 Prozent) und über E-Mail (34 Prozent, 2021: 24 Prozent) an sensible Informationen zu gelangen. Sie können dann für Cyberattacken verwendet werden. Berg: „Eine regelmäßige Schulung von Mitarbeiterinnen und Mitarbeitern zu Sicherheitsfragen, damit sie sich auch bei Social-Engineering-Versuchen richtig verhalten, sollte in jedem Unternehmen selbstverständlich sein.“
Weitere Zunahme von Cyberattacken erwartet – vor allem auf kritische Infrastruktur
Die Unternehmen erwarten in den kommenden zwölf Monaten eine weitere Zunahme von Cyberangriffen. 42 Prozent der Unternehmen rechnen mit einem starken Anstieg, 36 Prozent mit einem eher starken. Die Betreiber kritischer Infrastruktur stellen sich sogar auf noch heftigere Attacken ein: Hier rechnen 51 Prozent mit einem starken, 33 Prozent mit einem eher starken Anstieg. Die Wirtschaft fürchtet dabei vor allem Ransomware-Angriffe, die 92 Prozent als sehr oder eher bedrohlich einschätzen. Dahinter folgen Zero-Day-Exploits (91 Prozent) und Spyware-Attacken (85 Prozent). 72 Prozent sehen mögliche Angriffe mit Quantencomputern als künftige Bedrohung. Aber auch Entwicklungen auf dem Arbeitsmarkt beunruhigen die Unternehmen: 72 Prozent sehen den Mangel an IT-Sicherheitsexperten als Bedrohung, 58 Prozent die zunehmende Fluktuation von Beschäftigten.
Der Anteil der Ausgaben für IT-Sicherheit am IT-Budget der Unternehmen ist verglichen mit dem Vorjahr leicht gestiegen. 9 Prozent geben die Unternehmen im Schnitt aus, vor einem Jahr waren es 7 Prozent. „Bei den Ausgaben für IT-Sicherheit müssen die Unternehmen dringend zulegen. Die Erkenntnis, welche dramatischen Folgen ein erfolgreicher Angriff haben kann, ist längst da – den notwendigen Schutz davor gibt es aber nicht zum Nulltarif. Hier müssen Vorstände und Geschäftsleitungen umgehend aktiv werden“, sagte Berg.
Von der Politik wünschen sich 98 Prozent mehr Einsatz für eine verstärkte EU-weite Zusammenarbeit bei Cybersicherheit. 97 Prozent fordern, dass die Politik stärker gegen Cyberattacken aus dem Ausland vorgehen soll. Und drei Viertel (77 Prozent) meinen, die Politik solle die Ermittlungsbefugnisse erweitern, damit Cyberangriffe aufgeklärt werden können. Zugleich beklagen 77 Prozent, dass der bürokratische Aufwand bei der Meldung von Vorfällen zu hoch ist.
Militärforschung - Cyberangriffe könnten Atomkriege auslösen
Hackerangriffe könnten nukleare Konflikte eskalieren lassen (dpa / picture alliance / Silas Stein)
Im Oktober 2021 gaben Sicherheitsexperten von Microsoft bekannt, der russische Auslandsnachrichtendienst SWR führe einen großangelegten Cyberangriff gegen die US-Regierung, Unternehmen und Think-Tanks. Das Ziel: die auf Cloud-Servern gespeicherten Daten. Überhaupt verzeichneten IT-Experten im vergangenen Jahr einen Rekord an Cyberangriffen, die so ausgefeilt waren, dass die Beteiligung staatlicher Stellen naheliegt, erklärt Wilfred Wan vom UN-Institut für Abrüstungsforschung UNIDIR in Genf – mit potentiell weitreichenden Folgen für die nukleare Sicherheit:
„Unabhängige Untersuchungen deuten darauf hin, dass staatliche Cyber-Operationen auf dem Vormarsch sind. Staaten unterstreichen die strategische Bedeutung des Internets und vernetzter IT-Systeme, wobei einige ihn als operativen Bereich für das Militär oder als potenzielles Kampffeld ansehen. Viele Länder, insbesondere Atomwaffenstaaten, haben Cyber-Doktrinen entwickelt, also Leitlinien für den Umgang mit solchen Angriffen. Obwohl sie weitgehend defensiv sind, wird klar, dass entsprechende Fähigkeiten existieren. Und Forschungen belegen, dass die Grenzen zwischen Verteidigungs- und Angriffsfähigkeiten verwischen.“
Hackerangriffe könnten Abschreckung sabotieren
Mehrere Atomwaffenstaaten haben dabei die Möglichkeit einer Eskalation durch Hackerangriffe eingeräumt. Oder sie haben offengelassen, ob sie auf schwere Cyber-Attacken mit einem Nuklearschlag reagieren würden. Mögliche „Schwellenwerte“ werden dabei eher nicht weiter präzisiert, um der Abschreckung durch bewusste Unklarheiten mehr Gewicht zu verleihen: „Es gibt eine Menge subjektiver Formulierungen in der Nuklearpolitik. So wird beispielsweise auf extreme Bedingungen der Selbstverteidigung verwiesen. Solche unklaren Formulierungen bedeuten, dass potentielle Gegner nicht unbedingt wissen, wann sie rote Linien im Cyberbereich überschreiten.“
Das Problem: Nuklearstaaten wollen mit ihren Waffen in erster Linie abschrecken, Angriffe von vornherein unterbinden. Doch Hackerattacken können genau diese Abschreckungsfähigkeit sabotieren, erklärt der Experte: „Cyber-Operationen, die diese Abschreckungsfähigkeit untergraben, indem sie die Fähigkeit dieser Staaten zu Vergeltungsmaßnahmen oder Zweitschlägen in Frage stellen, könnten in der Tat zu einer Eskalation und in Krisensituationen zu einer Art 'Use it or loose it'-Szenario führen.“
Militärische Zulieferer als Ziel von Hackerangriffen
Bei internen Tests hatten IT-Spezialisten der US-Streitkräfte schon in den 1990er Jahren einen „Hintertürzugang“ zu ihren atomar bewaffneten U-Booten erlangt. Eine feindliche Operation dieser Art könnten die Vergeltungsfähigkeit untergraben und zu einer nuklearen Eskalation führen. Solche Risiken haben sich durch die rasanten Fortschritte bei der digitalen Kriegsführung verschärft.
Um beim Beispiel U-Boote zu bleiben: Ihre Systeme gelten als air-gapped – sprich, als vom Internet getrennt. Doch das könnte eine Illusion sein. Unter anderem weil Komponenten und Software von kommerziellen Unternehmen stammen – und die werden regelmäßig attackiert: So kämpfte der russische U-Boot-Konstrukteur Rubin in Sankt Petersburg 2021 gegen einen Angriff mit einer wohl aus China stammenden Schadsoftware. Die sollte eine Hintertür in das Netzwerk des Unternehmens einbauen, um interessante Dateien zu identifizieren und Schwachstellen zu erzeugen.
„Fast alle Atommächte investieren derzeit viel Geld in umfangreiche Modernisierungspläne ihres Arsenals. Und viele der Maßnahmen treiben die Abhängigkeit von Computern und in einigen Fällen auch von maschinellem Lernen und Automatisierung weiter voran. Vor allem Russland und die USA sind bestrebt, ihre alten Systeme auszumustern und modernste Technologien für ihre nuklearen Kontroll- und Kommunikationssysteme einzusetzen. Das räumt zwar einige Sicherheitsbedenken aufgrund veralteter Systeme aus, doch die Integration neuer Technologien könnte es unmöglich machen, Computersysteme vom Internet zu isolieren.“
Gefahr eines Atomkriegs durch Hackerangriffe real
So hat das US-Verteidigungsministerium 2018 bei IT-Sicherheitstest Schwachstellen bei in der Entwicklung befindliche Waffensysteme entdeckt – und zwar mit – Zitat – „relativ einfachen Werkzeugen und Techniken“. Wilfred Wan: „Es ist zwar sehr gut, dass diese Sicherheitslücken entdeckt wurden, aber es deutet darauf hin, dass solche Schwachstellen häufiger auftreten, als wir vielleicht erwarten. Durch gezielte Hackerangriffe könnte man beispielsweise die Standorte von Nuklearstreitkräften, einschließlich mobiler Raketenabschussrampen, besser verfolgen, was deren Effektivität untergräbt. Auch nukleare Kommando-, Kontroll- und Kommunikationssysteme sowie Frühwarnsysteme könnten beeinflusst werden.“
Feinde könnten zum Beispiel fehlerhafte Anzeigen in Frühwarnsystemen provozieren und damit Situationen hervorrufen, die schon früher um ein Haar einen nuklearen Schlagabtausch ausgelöst hätten. Um Eskalationen zu verhindern, müssten die Staaten „freiwillige Spielregeln“ für Cyberangriffe entwickeln, fordern Wilfred Wan und sein Team. Geheimniskrämerei sei gefährlich – und es müsse ein Bewusstsein für die Situation geschaffen werden: Das Risiko, dass militärische Hackerangriffe zu einem unbeabsichtigten Atomkrieg führten, sei sehr real – und sollte ein Anreiz sein für sofortiges Handeln.