Der wirtschaftliche Schaden durch Attacken wie Datendiebstahl, Spionage und Sabotage von Industrieunternehmen ist enorm: Laut einer aktuellen Studie des IT-Verbands Bitkom beläuft sich der finanzielle Schaden in den vergangenen zwei Jahren auf rund 43 Milliarden Euro. Täglich tauchen zudem rund 100 000 neue Schadprogramme auf; das bedeutet, dass etwa alle vier Sekunden online ein neues Malware-Muster entsteht. Die Bedrohungen sind jedoch nicht nur zahlreich, sondern sie werden dazu auch noch zunehmend komplexer.
Komplexe Bedrohungen
Besonders gerne setzen Hacker sogenannte Exploit-Schadprogramme als Infizierungsmethode ein, welche Sicherheitslücken von Unternehmenssoftware ausnutzen. Dabei können die Geräte der Nutzer über den Besuch einer Website, die den schädlichen Code enthält, infiziert werden oder durch das Öffnen einer Datei, die per Spam- oder Phishing-Mail auf dem Endgerät landet. Startet der Exploit einmal, hat der Hacker Zugriff auf Unternehmenssysteme und kann weitere Schadprogramme hochladen. Brandaktuell sind sogenannte Zero-Day-Attacken. In diesem Fall nutzen Hacker bis dato unbekannte Schwachstellen. «Zero-Day» steht für die Zeitspanne, die zwischen der Entdeckung der Sicherheitslücke und dem Cyberangriff liegt. Die Schwachstelle wird also erst entdeckt, wenn der Angriff bereits erfolgt ist und das infizierte Unternehmen hat keinerlei Vorlaufzeit, sich und seine Kunden durch Gegenmassnahmen wie Patches zu schützen.
Um diesen komplexen Cyberangriffen wirkungsvoll zu begegnen, sind umfangreiche Abwehrmechanismen gefragt. Denn Hacker müssen nur einmal erfolgreich sein – die Sicherheit hingegen sollte immer up to date bleiben. Die Schwierigkeit für Unternehmen besteht darin, die IT-Infrastruktur nicht nur ständig neuen Anforderungen und wechselnden Prozessen anzupassen, sondern auch darin, die entsprechenden Sicherheitsparameter nachzujustieren. Darüber hinaus müssen Sicherheitsverantwortliche das externe Bedrohungsumfeld genau beobachten, um schnellstmöglich hinsichtlich der Komplexität, des Vektors, des Targets und anderer Parameter Anpassungen vorzunehmen. Doch nicht jeder Hersteller und nicht jede Technologie kann unmittelbar auf jede Bedrohung reagieren, um Abwehrmechaniken bereitzustellen. Auch die Beobachtung der Bedrohungslage ist oft nicht so effizient umsetzbar, wie es eigentlich nötig wäre. Gängige Massnahmen, um die Sicherheit in IT-Infrastrukturen zu überprüfen, sind Penetrationstests, die im Idealfall mehrmals pro Jahr durchgeführt werden: Gezielte Angriffe auf die IT-Infrastruktur sollen Schwachstellen feststellen.
Nur Momentaufnahmen
Das Problem dabei: Da keine kontinuierlichen sondern punktuelle Prüfungen erfolgen, geben Penetrationstests nur Aufschluss über den Sicherheitsstatus zum Testzeitpunkt. Alle Anpassungen nach dem Penetrationstest bedeuten allerdings fast immer auch eine Veränderung des Sicherheitsstatus. So bleiben Sicherheitslücken unentdeckt, die selbst durch minimale Veränderungen an den Unternehmenssystemen entstehen. Darüber hinaus werden alte, bereits gepatchte Probleme gern von Angreifern ausgenutzt. Oft passiert es zudem, dass sich bei der Reparatur von Fehlern neue Lücken auftun.
Wer Penetrationstests regelmässig vornimmt, zählt schon zu jenen, die IT-Sicherheit ernst nehmen. Doch die meisten Unternehmen führen selbst diese Tests nicht durch. Viele hoffen schlicht, dass der Kelch an ihnen vorüberzieht und sie von Angriffen verschont bleiben. Doch Attacken auf Sicherheitslücken können prinzipiell jedes Unternehmen treffen – egal ob Krankenhaus, Autohaus oder Börsen-notierter Grosskonzern. Manchmal wird damit bewusst Geld erpresst, manchmal wird Malware auch einfach als Experiment gestreut. Ob ein Unternehmen davon betroffen ist oder nicht, unterliegt dann dem Zufall. Es kann infiziert werden, ohne per se ausgewähltes Ziel eines Angriffs gewesen zu sein.
Diese Kollateralschäden können alle betreffen – Argumente wie «Wer soll uns schon angreifen? Wir sind doch viel zu klein.» zählen hier nicht. Statistisch gesehen, bestehen sogar erhebliche Risiken, Opfer einer weit angelegten Angriffskampagne zu werden – selbst wenn man nicht Ziel der ersten Welle ist. Eine Studie ergab, dass Angreifer im Durchschnitt etwa sieben Tage Vorsprung haben. Bei 34 Prozent der für die Studie analysierten Schwachstellen gab es bereits am gleichen Tag einen Exploit.
Die grossen Player sind sich über die Bedrohungen der IT-Sicherheit im Klaren: ein Bewusstsein, das auch in kleinen Unternehmen geschaffen werden muss. Haben sie dieselben Sicherheitslücken wie die grossen, machen sie sich genauso angreifbar. Punktuell Sicherheitsdienste und -werkzeuge einzusetzen, ist schön und gut, aber keine reelle Antwort auf die Gefährdungslage.
Ein neuer Ansatz ist gefragt, der nicht nur an einzelnen neuralgischen Punkten der Infrastruktur ansetzt, sondern der den Sicherheitsstatus dauerhaft abbilden kann – und nicht nur als bald schon veraltete Momentaufnahme. Um den Schutz dauerhaft aufrechtzuerhalten, ist ein kontinuierlicher Prozess notwendig. Die Diagnostik muss sich der Agilität der Angreifer anpassen.