5 Minuten Lesezeit 30 April 2021
Mann läuft durch bunte Unterführung

Cybersicherheit: Warum Prävention allein heute nicht mehr reicht

Von Bodo Meseke

EY Global Forensics Cyber Response Leader, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Zertifizierter Experte für Forensik-Technologie. Bekämpft weltweit Wirtschaftskriminalität und Cyberattacken. Hilft Kunden, ihr Firmenvermögen und geistiges Eigentum zu schützen.

5 Minuten Lesezeit 30 April 2021

Weitere Materialien

Cyberbedrohungen schnell zu erkennen und auf Vorfälle effektiv zu reagieren, hat bei vielen Unternehmen inzwischen oberste Priorität.

Überblick:

  • Vollständige Prävention vor Cyberangriffen ist heute kaum möglich. Umso wichtiger ist es, Attacken schnell zu erkennen und einzudämmen.
  • Cyberangriffe nehmen weltweit zu, treffen vermehrt kleine und mittlere Unternehmen sowie Gesundheitseinrichtungen. Die Schäden sind erheblich.
  • Eine hohe Anzahl an Fehlalarmen mindert die Effektivität bei der Bekämpfung tatsächlicher Cyberangriffe. Der Einsatz von Künstlicher Intelligenz (KI) kann helfen.

Angriffe abwehren, bevor sie gelingen: Lange Zeit war Prävention die vorrangige Strategie zum Schutz eines Unternehmens vor Cyberangriffen. Durch die zunehmende Raffinesse von Cyberkriminellen wird es jedoch immer schwieriger, solche Sicherheitsvorfälle ganz zu verhindern. Ein zu spät entdeckter Angriff kann Millionen kosten, den Betrieb lahmlegen oder sogar das Aus für ein Unternehmen bedeuten.

Seit Ausbruch der COVID-19-Pandemie nutzen Hacker Ängste der Menschen und Lücken in den Unternehmensnetzwerken weiter aus. Sie setzen zunehmend auf Phishing-Angriffe und Ransomware-Attacken. So stellte die Internationale Kriminalpolizeiliche Organisation (INTERPOL) weltweit eine deutliche Zunahme der Ransomware-Attacken auf Krankenhäuser und andere Gesundheitsdienstleister fest. Zudem greifen Cyberkriminelle derzeit verstärkt mobile Geräte an – ein Trend, der wahrscheinlich noch ansteigen wird, da Mitarbeiter im Homeoffice ihre Mobilgeräte oft für berufliche Zwecke nutzen, zudem sind diese Geräte meist „always on“. Mehr als die Hälfte der 2020 befragten IT-Leiter geben an, dass es eine „große“ oder sogar „extrem große“ Herausforderung sei, diese Mobilgeräte zu schützen.

  • Ransomware: Software mit Schadensfunktionen, zu deren Entfernung ein Lösegeld gefordert wird.

    „Ransom“ ist das englische Wort für Lösegeld. Die Absicht der heimtückischen Schadsoftware ist klar: Für die Wiederfreischaltung der Daten, die der sogenannte Trojaner verschlüsselt, soll der Betroffene ein Lösegeld zahlen.

    Allein das Surfen im Internet kann ausreichen, um sich über eine infizierte Website Ransomware auf den eigenen Rechner zu holen, aber auch E-Mail-Anhänge oder Downloads können den Trojaner transportieren. Bemerkbar macht sich Ransomware allerdings oft erst beim nächsten Neustart des Computers: Es erscheint ein Lockscreen und eine Meldung, die darauf hinweist, dass eine Zahlung notwendig wird, um wieder Zugriff auf die Daten zu erhalten. Das System des Rechners ist komplett gesperrt, die verschlüsselten Dateien können nicht mehr geöffnet werden. Das sollten Nutzer auch nicht versuchen, andernfalls werden die Daten unter Umständen vollständig gelöscht.

    Daher sollten sich ausschließlich IT-Profis um Rechner kümmern, die mit Ransomware infiziert sind. Opfer von Ransomware sollten das Lösegeld auf keinen Fall ohne Rücksprache mit Strafverfolgungsbehörden zahlen und stets Anzeige erstatten. Regelmäßig aktualisierte Sicherheits-software und Datensicherung kann dem Einzug der Schadsoftware vorbeugen bzw. ihren Schaden mindern.

Cybersecurity

654 Mrd. US $

beträgt der geschätzte Verlust, der laut EY Global Information Security Survey 2020 allein US-amerikanischen Unternehmen durch Cyberangriffe im Jahr 2019 entstanden ist.

Cyberangriffe: Erfolgreiche Prävention scheint unmöglich

Selbst die beste Abwehr bietet heute kaum noch Schutz gegen die immer trickreicheren Angriffe, die mittlerweile auch auf Künstliche Intelligenz (KI) setzen. Angreifer entwerfen beispielsweise intelligente Malware-Programme, die aus vereitelten Attacken lernen und sie entsprechend abwandeln, um beim nächsten Mal erfolgreich zu sein.

Dazu passt, dass 80 Prozent der befragten IT-Fachleute sagen, Prävention sei die größte Herausforderung beim Thema Cybersicherheit. Das liegt vor allem an unzureichenden Technologien, fehlendem internen Know-how und am hohen Zeitaufwand für die Erkennung der Bedrohung. Mehr als drei Viertel der Befragten stimmen dieser Aussage zu: „Mein Unternehmen konzentriert sich auf die Erkennung von Cyberangriffen, da erfolgreiche Prävention unmöglich zu sein scheint.“

Cyberkriminalität

60 %

der globalen Unternehmen waren laut EY Global Information Security Survey 2020 im vergangenen Jahr von einem wesentlichen oder erheblichen Cybervorfall betroffen.

Warum Unternehmen auf Cyberangriffe noch immer langsam reagieren

Cybersicherheitsexperten haben nur ein begrenztes Zeitfenster, um Angriffe zu erkennen und einzudämmen, bevor sie einem Unternehmen ernsthaften Schaden zufügen. Verzögert sich aber die Reaktion auf Cyberattacken, gewinnen die Angreifer wertvolle Zeit, um Daten zu stehlen oder zu manipulieren – und der Schaden fällt entsprechend deutlich größer aus. Rechtsstreitigkeiten, behördliche Strafen und Reputationsverlust können zusätzliche Kosten verursachen.

 

Cyberkriminalität

314

Tage: So lange dauert es laut eines Berichts aus dem Jahr 2019, um einen böswilligen Angriff zu identifizieren und einzudämmen.

Eine Untersuchung von Tausenden Sicherheitsvorfällen durch Verizon im Jahr 2019 hat ergeben, dass mehr als die Hälfte aller Cyberattacken erst nach Monaten entdeckt wurde. So fällt zum Beispiel die betrügerische Verwendung von Zahlungskarten mit gestohlenen Daten üblicherweise erst nach Wochen oder Monaten auf.

Cybersecurity Live-Events

Regelmäßig trifft sich die Cybercommunity zu unserer digitalen Cybersecurity Live-Eventreihe, jeweils am letzten Donnerstag im Monat. Die Veranstaltungsreihe dient als Austauschplattform  mit hohem Praxisbezug und bietet Gespräche auf Augenhöhe sowie einen regen Erfahrungsaustausch zu aktuellen Themen und Trends.

Mehr erfahren

Bekämpfung von Cyberangriffen: Fehlalarme mindern die Effektivität

Einer der Hauptgründe, warum Cyberattacken nicht schneller erkannt werden, ist die schiere Anzahl an Sicherheitswarnungen, die über die Cyberfachleute hereinbrechen. Eine weltweite Cisco-Umfrage ergab, dass 17 Prozent der Unternehmen 2019 täglich mindestens 100.000 Warnungen erhielten. Eine unglaublich hohe Zahl, die letztendlich dazu führt, dass ungefähr die Hälfte der echten Bedrohungen nicht wahrgenommen wurde.

Security Information und Event Management (SIEM)-Software soll Analysten bei der Überwachung von Bedrohungen in Echtzeit unterstützen. Schätzungen zufolge verbringen Analysten jedoch etwa ein Viertel ihrer Zeit damit, Fehlalarme zu untersuchen, die diese Tools erzeugen. Eine Umfrage unter Cybersicherheitsfachleuten aus 2019 zeigt, dass die Prüfung jeder Warnung mehr als zehn Minuten Zeit kostet – und mehr als die Hälfte der Warnungen stellt sich letztendlich als Fehlalarm heraus. Folglich verbringen Analysten den Großteil ihrer Zeit damit, Warnungen zu checken und zu verwalten, anstatt echte Bedrohungen einzudämmen oder zu beseitigen.

Wie intelligente Automatisierung bei der Bekämpfung von Cyberangriffen hilft

Damit künftig keine wertvolle Zeit mehr verloren geht, binden immer mehr Anbieter von SIEM-Software KI-Technologien in ihre Produkte ein, um die Anzahl der Fehlalarme zu reduzieren. Auch Unternehmen kombinieren Automatisierung mit KI, um Angriffe effizienter zu erkennen und besser darauf reagieren zu können. Unternehmen ohne Sicherheitsautomatisierung entstanden 2019 beinahe doppelt so viele Kosten aus Cyberangiffen wie Unternehmen, bei denen die Automatisierung bereits vollständig umgesetzt war. 75 Prozent der befragten Sicherheitsfachleute bestätigen außerdem, dass Automatisierung besonders wichtig sei, um Cyberresilienz zu erreichen.

Die effektivste Art der Bedrohungserkennung ist die Kombination aus menschlicher und Künstlicher Intelligenz.

KI-Anwendungen können beispielsweise so programmiert werden, dass sie Bedrohungen automatisch abwehren oder diese überlisten, indem sie falsche Signale senden, während sie Informationen sammeln. Erscheint eine neue Form von Malware, vergleicht die KI diese dann mit bisherigen Formen in ihrer Datenbank und entscheidet, ob die Malware automatisch abgewehrt werden soll. In Zukunft könnte sich KI dahingehend entwickeln, dass sie beispielsweise Ransomware erkennt, bevor diese Daten verschlüsselt. Oder KI setzt noch früher an und stellt fest, ob eine Website zu einer bösartigen Domain führt.

Wollen Unternehmen Bedrohungen effektiv erkennen, ist die Kombination aus menschlicher und Künstlicher Intelligenz am sinnvollsten. Unternehmen, die bereits KI einsetzen, geben an, dass sie dadurch die benötigte Zeit zur Erkennung von Bedrohungen und Sicherheitsverletzungen um zwölf Prozent reduzieren konnten.[1] Außerdem kann KI die Benutzerauthentifizierung und den Passwortschutz verbessern.

SOAR: Orchestrierung von menschlichem und maschinellem Lernen

Viele Unternehmen setzen auf Security Orchestration, Automation and Response (SOAR). SOAR-Dienste verwenden Daten aus SIEM- und anderen Sicherheitssystemen, um die Reaktion auf Vorfälle zu standardisieren und zu verkürzen. Dafür vereinen sie Orchestrierung, Automatisierung und Bedrohungserkennung sowie menschliches und maschinelles Lernen, um Bedrohungen zu identifizieren und einzudämmen.

Sie analysieren Cyberangriffe und entscheiden, ob automatisch gehandelt werden kann oder ob menschliches Eingreifen erforderlich ist. So können SOAR-Dienste zum Beispiel ein System umgehend isolieren oder herunterfahren, sobald sie bösartige Aktivitäten erkennen. Sie können auch die Ausbreitung von Malware verlangsamen, indem sie Vorgänge wie die Erfassung forensischer Daten und die Suche nach Schwachstellen automatisieren. Laut IBM reduzieren automatisierte, orchestrierte Reaktionen die durch Datenverletzung entstehenden Kosten um durchschnittlich 1,5 Millionen US-Dollar.

Gerade kleine Unternehmen, öffentliche Einrichtungen und Gesundheitsdienstleister werden zunehmend von Cyberkriminellen angegriffen, die sich einen größeren Erfolg von diesen weichen, datenreichen Zielen versprechen.

Cybersicherheit auslagern oder doch auf geschulte Mitarbeiter setzen?

Wer Cyberangriffe schnell erkennen und bannen will, muss in Technologien und personelle Ressourcen investieren. Das können kleine und mittlere Unternehmen (KMU) nicht immer leisten. Doch gerade kleine Unternehmen, öffentliche Einrichtungen und Gesundheitsdienstleister werden zunehmend von Cyberkriminellen angegriffen, die sich einen größeren Erfolg von diesen weichen, datenreichen Zielen versprechen.

Diese Unternehmen sollten daher zumindest darauf achten, Antivirus- und Anti-Malware-Programme zu installieren und fortlaufend zu aktualisieren. Eine ausreichende Anzahl an gut ausgebildeten Cybersicherheits-Mitarbeitern ist ebenfalls entscheidend, um Bedrohungen schnell zu begegnen.

Viele Unternehmen wollen keine eigenen Teams aufbauen und halten es für die beste Lösung, Sicherheitsdienste auszulagern. Wichtig ist hierbei, einen verlässlichen Anbieter zu wählen. Ungefähr ein Drittel der 2019 von Cisco befragten Unternehmen haben Dienste zur Reaktion auf IT-Sicherheitsvorfälle ausgelagert. Mehr als die Hälfte davon nennt die „schnellere Reaktion auf Vorfälle“ als Hauptgrund.

Sogenannte Managed Detection and Response (MDR) Services werden besonders bei kleineren Unternehmen immer beliebter. Sie sollen helfen, Malware und bösartige Aktivitäten eines Systems zu erkennen. MDR helfen den Unternehmen, schneller zu reagieren und die Bedrohungen zu eliminieren. Typischerweise vereinen MDR-Services den Einsatz von Technologie und externen Analysten. Das Marktforschungsunternehmen Gartner prognostiziert, dass bis 2024 ein Viertel der Unternehmen solche Dienste einsetzen wird. Zum Vergleich: 2019 waren es gerade einmal fünf Prozent.

Fazit

Sie nehmen zu und werden immer raffinierter: 60 Prozent der Unternehmen waren im vergangenen Jahr dem EY Global Information Security Survey 2020 zufolge Cyberangriffen ausgesetzt. Für IT-Sicherheitsexperten gibt es viele Herausforderungen: Wie werden Mobilgeräte geschützt? Wie werden Attacken möglichst schnell erkannt und Fehlalarme reduziert? Von der Reaktionszeit hängt in den meisten Fällen auch die Höhe des Schadens ab. Neuere Dienste und Technologien vereinen verschiedene Ansätze zur Abwehr, einer davon ist die vielversprechende Kombination aus menschlicher und Künstlicher Intelligenz (KI).

Über diesen Artikel

Von Bodo Meseke

EY Global Forensics Cyber Response Leader, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

Zertifizierter Experte für Forensik-Technologie. Bekämpft weltweit Wirtschaftskriminalität und Cyberattacken. Hilft Kunden, ihr Firmenvermögen und geistiges Eigentum zu schützen.