Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der j√ľngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Gesch√§ftsbetrieb muss ja noch gew√§hrleistet bleiben und die Unternehmen werden weiter Menschen besch√§ftigen, die das schw√§chste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case f√ľr Cyber-Kriminelle hochattraktiv. Mit der Verschl√ľsselungssoftware Cryptowall Ransomware hat eine¬†Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar t√§glich.¬†Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. F√ľr einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Gesch√§ftsmodell ist! Wir m√ľssen¬†daher davon ausgehen, dass dieses Gesch√§ftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng √∂konomisch. Betroffen von diesem “Gesch√§ftsmodell” sind gerade auch kleine und mittelst√§ndische Unternehmen. ¬†Die eingeforderten Betr√§ge sind f√ľr die Betroffenen verkraftbar kalkuliert und so ist es auch f√ľr viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das √∂konomische Kalk√ľl der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das L√∂segeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was k√∂nnen Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz f√ľr ein sorgloses Leben und Arbeiten k√∂nnen sie nicht gew√§hren. Im Zweifel sind die kriminellen besser ausgestattet und technisch √ľberlegen.

Daher m√ľssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Ma√ünahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pl√§ne f√ľr diese Szenarien (Bsp. Nicht-Verf√ľgbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management f√ľr die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement f√ľr die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalit√§t mit seinen potentiellen Auswirkungen auf kritische Gesch√§ftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement m√ľssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bew√§ltigen zu k√∂nnen.

Die Angriffe sind mittlerweile so ausgekl√ľgelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile¬†t√§uschend echt gebaut. Die Adressaten¬†der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen M√∂glichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unersch√∂pflich. Damit im Fall der F√§lle das Business weiter l√§uft ben√∂tigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade f√ľr diese Szenarien Pl√§ne nicht ausreichend. Gerade hier gilt √ľben, √ľben, √ľben. Denn die Bedrohungsszenarien √§ndern sich laufend genauso wie sich elektronische Vertriebskan√§le und sch√ľtzenswerte Daten √§ndern. Wof√ľr¬†die¬†IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und √úbungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss st√§ndig ge√ľbt werden, so wie Piloten im Simulator regelm√§√üig die Notfallverfahren √ľben¬†bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden k√∂nnen.

be prepared

Ihr Matthias Hämmerle

One Response

Ein Pingback

  1. Hacker erpressten drei griechische Banken ¬Ľ Continuity Management News

Schreibe einen Kommentar