Sysbus
ArtikelSecurity

Cyberresilienz: Mehr Schutz vor Angriffen und ihren Folgen

gg

Autor/Redakteur: James Blake, EMEA CISO bei Cohesity/gg

Laut einer aktuellen globalen Cybersicherheitsstudie von Deloitte folgen die meisten CISOs bei der Gestaltung ihres Budgets einer 80/20 Aufteilung zwischen Risikovorbeugung und Schadensbegrenzung. Entsprechend fließen nur elf Prozent ihrer Budgets in die Reaktion auf Vorfälle und die Wiederherstellung im Katastrophenfall sowie in die Sicherheit der Infrastruktur.

Bild: Cohesity

Anstatt sich der Illusion einer vollständigen Cybersicherheit hinzugeben, sollte der Schwerpunkt jedoch stärker auf die operative Cyberresilienz verlagert werden, damit Unternehmen effektiver auf Angriffe reagieren und ihnen standhalten können. Vorbeugende Maßnahmen sind zwar wichtig, aber bei der Abwehr von Cyberangriffen sind sie nur ein Teil der Vorkehrungen. Es spricht also viel dafür, die traditionelle Sichtweise des sogenannten NIST Cybersecurity Frameworks aus „Schutz; Erkennen; Reagieren; Wiederherstellen“ zu überdenken.

Übermaß an Technologie und Mangel an Prozessen

Häufig planen Unternehmen ihre Reaktion auf einen Ransomware-Angriff mit Hilfe von Prozessen und Technologien für die Business Continuity und Disaster Recovery. Doch diese wurden für Szenarien wie Unwetter, Stromausfall oder Fehlkonfiguration entwickelt. Sie sind schlicht nicht für die Abwehr von Cyberattacken geeignet, welche die technologische Wiederherstellung aktiv beeinträchtigen. Stattdessen müssen Unternehmen bei der Wiederherstellung zunächst untersuchen, wie sich der Angriff manifestiert und welche Schwachstellen er ausgenutzt hat. Sie sollten die Schwachstellen schließen und die Sicherheitsmaßnahmen auf Basis der neuen Erkenntnisse verstärken. Dann müssen sie alle bösartigen Artefakte des Angriffs aus der wiederhergestellten Umgebung entfernen. Erst danach dürfen sie die wiederhergestellten Systeme wieder in Betrieb nehmen.

Die Recovery Time Objectives (RTO) sollten bei der Cyber-Wiederherstellung demnach einer eigenen Zeitachse folgen. Unternehmen sollten ihr Geschäft erst dann wiederaufnehmen, wenn sie verstanden haben, wie sie angegriffen und ihre Verteidigungsmaßnahmen umgangen wurden. Wenn sie nicht diese Angriffsfläche schließen und alle Spuren des Angreifers beseitigen, ist die Wahrscheinlichkeit einer erneuten Beeinträchtigung groß. Daraus können sich ein langer Reaktionszyklus und anhaltende Auswirkungen auf den Betrieb ergeben. Als sich CISOs nur mit drei sekundären Auswirkungen von Vorfällen befassen mussten – Rufschädigung, Rechtsstreitigkeiten und Geldbußen – konnte diese Art von Reaktionsstrategie toleriert werden. Aber mit Ransomware und Wiper-Angriffen haben Vorfälle jetzt eine primäre Auswirkung: den Lieferstopp von Produkten und Dienstleistungen.

Viele Unternehmen verfügen über eine Fülle an Sicherheitstechnologien zum Schutz vor und zur Aufdeckung von Angriffen. Aber es mangelt an Operationalisierung und Integration. Diese Situation wurde früher toleriert, wenn es sich um sekundäre Verluste handelte. Bei primären Verlusten, die mit der Zeit exponentiell ansteigen, muss ein Unternehmen jedoch seine Widerstandsfähigkeit verbessern. Das funktioniert nur, indem es die vorhandenen Sicherheitslösungen mit einem besseren Kontext von Daten und Dateien ausstattet sowie gleichzeitig die traditionellen Silos der IT- Sicherheitsteams und -technologien zusammenführt.

Das könnte dir auch gefallen

Im Austausch mit Spezialisten: Gute Gesellschaft mit Fachwissen

gcg

Bromiums Sicherheitslösung raubt Ransomware das Gefahrenpotential

gcg

Tickende Zeitbomben namens Meltdown und Spectre

gg