Covid-19 und Cybersicherheit: die Bedrohungen von morgen antizipieren

Post Covid, Gefahren böswilliger Cyberattacken für Organisationen | Stormshield

Auf dem Höhepunkt der Gesundheitskrise mussten die Unternehmen ihre Bemühungen auf den Fortbestand ihrer Tätigkeiten konzentrieren, auch auf die Gefahr hin, sich einige Freiheiten in Bezug auf Cybersicherheit zu nehmen. Wie kann man in einem Sturm flexibel bleiben, ohne die digitale Sicherheit aufs Spiel zu setzen? Wie können wir den Risiken der Cyberattacken für Organisationen vorbeugen? Und vor allem: Wie planen wir für die Zukunft? Antwortelemente.

 

Auswirkungen der Gesundheitskrise im Cyberspace

Die Gesundheitskrise hat Millionen Beschäftigte zur Telearbeit gedrängt, mit einer explosionsartigen Zunahme der Nachfrage nach Fernzugang und VPN. „Mit der Krise wurden alle von einem Tag auf den anderen in die Telearbeit gestürzt, mit Infrastrukturen, die der Performance nicht standhielten“, erklärt Alain Dupont, Customer Service Director von Stormshield. „Wir hatten in den letzten beiden Märzwochen 30 % mehr Aktivitäten, darunter Anfragen von Netzwerk- und Systemadministratoren, die über Nacht Fernzugriffe einrichten mussten“, sagt Farid Ichalalène, Technical Support Manager von Stormshield.

Aber angesichts der Dringlichkeit mussten die CISOs auch Kompromisse bei der Sicherheit eingehen, sie sogar verändern. Sie haben zum Beispiel mehr Zugriffe eröffnet, Remote-Desktops eingerichtet, ohne alle üblichen IT-Sicherheitsverfahren anwenden zu können und ohne eine vorherige Risikoanalyse durchzuführen. Geringere Wachsamkeit und digitale Unschärfe kommen Cyberkriminellen zugute, um sich in Netzwerke einzuschleusen und sensible Daten zu holen.

Zu den am stärksten betroffenen Strukturen gehören diejenigen, die Telearbeit noch nie oder nur selten genutzt haben und daher nicht auf dem Laufenden waren über die organisatorischen Verfahren zum Schutz von Informationssystemen in einem solchen Kontext. Bei Regierungen, Ministerien, Gemeinden, Verbänden, Gesundheitsinstituten, Körperschaften und anderen sensiblen öffentlichen Stellen wurden während dieser Gesundheitskrise die IT-Systeme auf eine harte Probe gestellt. Und ihre digitale Anfälligkeit zeigte sich deutlich. Die Beispiele sind international. Wir führen hier nur Deutschland an, wo das Bundesland Nordrhein-Westfalen einen Phishing-Angriff erlitt und mehrere zig Millionen Euro verlor, und die Vereinigten Staaten, wo Hacker, wie vom FBI und der CISA behauptet, aktiv gegen Agenturen vorgegangen sind, die an der Forschung gegen Covid-19 beteiligt sind. In Frankreich scheinen es die KMU zu sein, die am stärksten betroffen sind - in der Regel mit einem hohen Lösegeld (ransomware). Überall hat die Covid-19-Epidemie Schwachstellen in den Computer- und Betriebsnetzwerken von Unternehmen und lokalen Behörden, in ihren speziellen Anwendungen und in den Terminals der Mitarbeiter aufgedeckt.

Wir hatten tatsächlich einen Pandemieplan in den Schubladen, der seit Jahren schlief... aber nichts hatte uns darauf vorbereitet.

Heute sind wir dank der Implementierung von BCP-BRP (Business Continuity Plan)-Verfahren in der Lage, die Verfügbarkeit von Informationssystemen z.B. bei Naturkatastrophen oder bei Brand in einem Rechenzentrum aufrechtzuerhalten. Wir hatten tatsächlich einen Pandemieplan in der Schublade, der seit Jahren schlief... aber nichts hatte uns darauf vorbereitet“, erklärt der CISO eines großen Industriekonzerns.

 

Die Dringlichkeit einer guten Diagnose

Die Rückkehr zu einer nahezu normalen Situation scheint zwar in kleinen Schritten zu erfolgen, aber dieser Zeitraum scheint für eine ordnungsgemäße digitale Autopsie günstig zu sein. Zum Zeitpunkt der Gesundheitskrise hatten wir geraten, alle Ausnahmeregelungen, die zu ihrer Infragestellung eröffnet worden waren, ordnungsgemäß zurückzuverfolgen. Es ist daher an der Zeit, eine Bestandsaufnahme zu machen und sich die Zeit dafür zu nehmen. Nachdem die Akzeptanzphase abgeschlossen ist, erscheint es logisch, zur Inspektions- und Überprüfungsphase überzugehen. Die CISOs müssen nun eine mehrstufige chirurgische Untersuchung mit Erkennen und Entfernen von Infektionsherden sowie Abhilfe durchführen. Und bei strukturellen Mängeln in der Architektur muss eine Überholung der IT-Infrastruktur (sowie ihres Gegenstücks im Betriebsuniversum, der OT-Infrastruktur) vorgenommen werden. Eine andere Größenordnung von Investitionen hier. Das letztendliche Ziel ist es, die Kontrolle über Daten und Zugangssysteme nachhaltig wiederzuerlangen. Die Hacker haben zwar den allgemeinen Ansturm im Zusammenhang mit der Coronavirus-Krise genutzt, scheinen aber keine neuen Formen von Cyber-Bedrohungen geschaffen zu haben. Sie haben einfach ihre Angriffe dem Kontext der Umgebung angepasst.

Für Farid Ichalalène gibt es natürlich vernünftige Reflexe, wie zum Beispiel „nur die notwendigen Zugriffe je nach Abteilung zu genehmigen“. F&E- oder Buchhaltungsabteilungen werden beispielsweise insbesondere nicht denselben Bedarf haben. Vielleicht einfacher zurück zu den Grundlagen. Was wäre, wenn man die Mitarbeiter zu ihrem eigenen Wohl in Zaum halten müsste? Die Frage ist offen... „Ich halte es für unerlässlich, die Infrastruktur zu bereinigen, die aufgrund der Menge der Technologien und Lösungen, die sie bieten, zu komplex geworden ist. Darüber hinaus sehen wir, dass sie nicht unbedingt über die menschlichen Kompetenzen verfügen, die für ihr reibungsloses Funktionieren erforderlich sind. Die Verwendung von Sicherheitsüberlagerung ist in diesem Sinne problematisch: Wir werden zu einfacheren Dingen zurückkehren müssen, um eine bessere Kontrolle zu ermöglichen. Selbst wenn es nur darum geht, eine Sicherheitsstelle einzurichten, um Vorfälle schnellst möglich aufzudecken und den Cyberkriminellen auf lange Sicht keine Möglichkeit zu geben, sich dort dauerhaft anzusiedeln“, fügt der Industrie-CISO hinzu.

 

Sich für eine ordentliche digitale Hygiene entscheiden

Die Verallgemeinerung der Telearbeit macht die Aufgabe der CISO komplexer: Diese neue Situation muss in die Sicherheitspolitik der Unternehmen integriert werden, und mit ihr muss die ISD ihre Strategie der Systemanpassung fortsetzen Zuerst sollte die Covid-19-Pandemie nicht als Ausnahme betrachtet werden: Für den Fall einer neuen kritischen Periode müssen die IT-Strukturen bereit sein, mit den richtigen Antworten und entsprechenden Werkzeugen, um sie zu gegebener Zeit zu unterstützen. Es geht jetzt darum, schnell und unter zufriedenstellenden Zuverlässigkeits- und Sicherheits-Bedingungen auf Anfragen nach Fernzugang reagieren zu können. Diese besondere Phase der intensiven Telearbeit sollte bis zum Ende des Jahres andauern und sich in Zukunft weiter verallgemeinern. Dabei ist die Notwendigkeit, die Mitarbeiter bei den neuen Bedürfnissen und Nutzungen im Zusammenhang mit der professionellen Mobilität zu unterstützen – Videokonferenz-Tools und die Frage ihrer Sicherheit sind ein Beispiel unter anderen.

Der CISO muss jeden Tag mit neuen Herausforderungen rechnen und sich auf morgen vorbereiten. Der komplexeste Teil laut CISO des großen Industriekonzerns: „Der CISO musste, manchmal ohne die Wahl zu haben, Abweichungen von der Sicherheitspolitik des/der Informationssystem(e) (ISSP) validieren, die er selbst jahrelang aufgebaut hatte, um ein Minimum an Sicherheit zu gewährleisten. Wenn die Mitarbeiter die Möglichkeit bekommen, an ihren Arbeitsplatz zurückzukehren, muss er ihren Handlungsspielraum reduzieren und notwendigerweise den offenen Zugang zur Außenwelt beschränken. Es ist denkbar, dass dieses Zurück kompliziert wird, weil viele der Ansicht sein werden, dass diese außergewöhnlichen Maßnahmen zur Regel geworden sind. Bei all den nachzuholenden Verpflichtungen muss jeder neue Antrag auf Zugangsberechtigung auf Voruntersuchungen beruhen. Frage: mit welchem Budget? Auch wenn einige Anbieter während der Krise ihre Dienste kostenlos anboten, dürfen wir nicht vergessen, dass in all der Eile viele VPN-Zugänge gekauft wurden, ohne die Zeit zu haben, mit verschiedenen Anbietern über Preise zu verhandeln.“

Komplikationen, die den allgegenwärtigen Stress der CISOs in den letzten Jahren noch vergrößern.

 

Ihr IT-Budget überdenken, um gesund zu bleiben

Seit einigen Jahren sind sich die Führungskräfte des Cyber-Risikos stärker bewusst, häufig hervorgehoben durch digitale Transformationsprojekte. Und noch mehr mit der Gesundheitskrise. Aber bis heute sind die wirtschaftlichen Auswirkungen der Gesundheitskrise auf die IT- und Cybersicherheits-Branche reine Spekulation.

Überraschenderweise sagen 40 % der IT-Entscheidungsträger in Deutschland, den Vereinigten Staaten, Frankreich und Großbritannien, sie wollen ihr Budget für Cybersicherheit kürzen, um die finanziellen Auswirkungen der Covid-19-Krise zu begrenzen. Die CESIN-Mitglieder, alle aus großen französischen Unternehmen und Verwaltungen, legen ähnliche Zahlen vor, wobei fast ein Drittel der Befragten einen Rückgang des Cyberbudgets angeben. Aber ein anderer mehrheitlicher Teil ist optimistischer: für fast 48 % der Befragten sollte das Budget für Cybersicherheit nicht von der Krise betroffen werden. Und nach derselben Umfrage sehen fast 20 % sogar eine Erhöhung ihres Budgets für Cybersicherheit.

Es ist eine Sache, in Telearbeit zu gehen, aber es ist etwas anderes, das gleiche Maß an Sicherheit zu bieten, wie man es in der Unternehmenswelt hätte.

Alain Dupont, Kundenservice-Manager Stormshield

Es besteht die Gefahr eines erneuten Lockdowns und damit die Notwendigkeit der Telearbeit. Die Entscheidungsträger berücksichtigen dies nun in ihren IT- und IT-Sicherheitsprojekten“, sagt Farid Ichalalène. „Auch wenn einige Investitionen als Kosteneinsparungsmaßnahme überprüft werden könnten, werden die Cyberbudgets beibehalten, aus dem guten und einfachen Grund, dass es eine Sache ist, Telearbeit zu leisten, aber eine andere, das gleiche Sicherheitsniveau zu garantieren, als wenn man in der Firma ist“, sagt Alain Dupont. Das Budget muss neu zugeordnet werden, und einer seiner Teile muss für bessere Ausbildung und Sensibilisierung der Mitarbeiter verwendet werden. Franck Nielacny, CIO von Stormshield, bezeugt: „Selbstverständlich sind unsere Mitarbeiter erfahren im Umgang mit digitalen Tools, was es vereinfacht. Deshalb müssen wir auch unseren Teams vertrauen, sie sind anpassungsfähig und verfügen über Resilienz“.

 

Und oft ist es gerade in schwierigen Momenten so, dass jeder sein Bestes zum Ausdruck bringt: Franck Nielacny beschreibt eine sehr schöne Solidaritäts-Erfahrung innerhalb seines Teams, mit dem Wunsch, „als Team zu arbeiten und unsere Reaktivität und unseren Sinn für den Service bei unseren internen Kunden zu bestätigen“. Seien wir ehrlich: das Leben der Unternehmen geht weiter...

Teilen auf

Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberangriffen stellt sich nicht mehr die Frage, ob Ihre Organisation angegriffen wird, sondern eher wann ... Und vor allem: ist sie in der Lage, ihren Betrieb ohne Schwierigkeiten fortzusetzen? Genau darin besteht die Cyberresilienz. Erklärungen.
Die Cybersicherheit eines Unternehmens geht alle etwas an! Im Alltag ist man jedoch oft der Meinung, dass vor allem die anderen nachlässig sind. Über die technischen Instrumente hinaus ist aber der Aspekt der Sensibilisierung und Schulung der Mitarbeiter ganz wesentlich. Und um alle Mitarbeiter mitzunehmen, können die Charten, Verhaltensregeln und andere Leitfäden zur digitalen Hygiene nicht genügen, wenn sie nicht in einem größeren und motivierenden Rahmen gesehen werden.

Über den Autor

mm
Julien Paffumi
Product Management Leader, Stormshield

Julien hat sich seine Sporen als Qualitätsingenieur in der Forschung und Entwicklung bei Arkoon verdient. Danach bildete er direkt die Administratoren aus und erarbeitete sich umfassendes Wissen zu ihren Anforderungen. Die ist ein wichtiger Erfahrungsschatz für seine nächste Rolle als Produktmanager der Firewalls Arkoon Fast360 und danach der Konsole für die zentrale Administration Stormshield Management Center. Aufgrund seiner Bereitschaft, Ergebnisse auch weiterzugeben, arbeitet er als Leiter des Produktmanagements an der fortlaufenden Verbesserung des Produktmanagements bei Stormshield. In dieser besonderen Rolle kann er auch seine unersättliche Neugier stillen und zwar mit einem allgemeineren Ansatz für Stormshield-Lösungen.