BSI: Unternehmen sollten von erfolgreichem Cyber-Angriff ausgehen

Der von Bundesinnenminister Dr. Thomas de Maizière und dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik, Michael Hange vorgestellte Bericht Die Lage der IT-Sicherheit in Deutschland 2015 informiert ausführlich über neu entdeckte Schwachstellen, aktuell genutzte Angriffsmethoden und -mittel sowie die Gefährdungslage bei Behörden und kritischer Infrastruktur. In seinem Fazit weist das Bundesamt darauf hin, dass die Gefährdungslage mittlerweile ein hohes Maß an Komplexität erreicht hat und die einzelnen Ursachen, Methoden und Rahmenbedingungen zunehmend voneinander abhängen und sich gegenseitig beeinflussen.

Zudem lassen sich aus dem Bericht eine ganze Reihe von – teilweise seit Jahren bekannten und empfohlenen – Maßnahmen ableiten, mit denen sich Anwender und Organisationen vor Angriffen schützen können:

  • Viele Angriffe sind nur deshalb erfolgreich, da die Anwender ein unzureichendes Patch-Management betreiben und veraltete Software nutzen.
  • Vielen Anwendern fehlt es nach wie vor an Bewusstsein für Social-Engineering-Angriffe und Manipulationsversuche, die sie per E-Mail oder Telefon erreichen. Ein gesundes Misstrauen wäre wünschenswert, Firmen und andere Organisationen sollten ihre Mitarbeiter entsprechend schulen.
  • Hersteller und Diensteanbieter tragen Verantwortung für ihre Produkte und sind verpflichtet, nach Bekanntwerden einer Sicherheitslücke diese auch zu schließen.
  • Unternehmen und Verwaltungen werden aktuell und auch in Zukunft verstärkt durch zielgerichtete Attacken bedroht, die über einen längeren Zeitraum hinweg Informationen ausspähen wollen (APT, Advanced Persistent Threat). Insbesondere international tätige Unternehmen sollten diese Angriffe in ihr Risikomanagement einbeziehen und ihre Maßnahmen zur Detektion, zum Monitoring und zur Vorfallsbearbeitung entsprechend ausrichten.
  • Die Vernetzung der IT im industriellen Umfeld bildet ein hohes Sicherheitsrisiko, insbesondere für kritische Infrastrukturen. Über eine Segmentierung der Netzwerke lässt sich die Sicherheit erhöhen und beispielsweise verhindern, dass ein Angriff auf das Büronetz Auswirkungen auf Steuerung und Fertigung hat.
  • Die Zahl der Schadprogramme für stationäre wie auch für mobile Geräte steigt weiter an. Da die Verteilzyklen immer kürzer werden, sollten signaturbasierte Security-Lösungen häufige Aktualisierungen anbieten. Die Anwender sollten sich bewusst sein, dass die meisten Infektionen nach wie vor von Spam-Mails ausgehen.
  • Unternehmen und andere Organisationen sollten sich die Frage stellen, welche wirtschaftlichen Folgen ein Cyber-Angriff nach sich ziehen kann. Dabei sollten sowohl die Kosten für die betroffene Organisation selbst (interne Kosten) als auch für Kunden, Dienstleister und Lieferanten (externe Kosten) berücksichtigt werden.
  • Der technische Fortschritt sorgt für eine immer weitergehende Professionalisierung der Angreifer. Sie können bei ihren Attacken zunehmend auf fertige Werkzeuge, Dienstleistungen und komplette Infrastrukturen zurückgreifen. Das bedeutet zugleich, dass immer weniger Fachwissen erforderlich ist, um einen Angriff durchzuführen. Dadurch wird die Zahl der Attacken weiter steigen.
  • Da die Verantwortlichen für Cyber-Attacken oft nur schwer zu fassen sind, winkt ihnen ein hoher Ertrag bei verhältnismäßig geringem Risiko. Auch dadurch wird sich die Gefährdung weiter erhöhen.

Zum Schluss heißt es in dem sehr lesenswerten Bericht: „Statt einer reinen Abwehr gegen Angriffe gehört es zum Risikomanagement einer Organisation, sich darauf einzustellen und darauf vorzubereiten, dass ein IT-Sicherheitsvorfall eintritt oder ein Cyber-Angriff erfolgreich ist (Paradigma: Assume the Breach). Dazu müssen Strukturen geschaffen, Verantwortlichkeiten benannt und Prozesse geübt werden, wie mit einem anzunehmendem Vorfall umzugehen ist.“ Dieser Einschätzung ist an sich nichts hinzuzufügen – außer: Es wird Zeit, dass Unternehmen diesen Ratschlag beherzigen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Der ganze Artikel: BSI: Unternehmen sollten von erfolgreichem Cyber-Angriff ausgehen