Grösste Security-Herausforderung in der Branche
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Roman Jucker.
Stellen Sie sich vor, sie kommen am Morgen zur Arbeit oder installieren sich in Ihrem Homeoffice und Ihr Endgerät lässt Sie nicht rein. Stellen Sie sich weiter vor, es gehe nicht nur Ihnen so, sondern der gesamten Belegschaft. Das Szenario ist nicht Fiktion, sondern so geschehen beim Schweizer Bürobedarf Grossisten Offix[1]. Drei Wochen hat die Wiederherstellung des normalen Betriebs dort gedauert und war auch nur so rasch möglich, weil ein Mitarbeiter zufällig die Kopie einer wichtigen Applikation aus eigener Initiative auf eine externe Festplatte gespeichert hatte.
Verschlüsselungstrojaner (Ransomeware) sind eine der aktuell bedeutendsten Cybertheats für Unternehmen und die öffentliche Verwaltung. Die Melde- und Analysestelle Informationssicherung MELANI hat allein in den ersten Wochen dieses Jahres mehr als ein Dutzend Ransomewarefälle bearbeitet, bei denen unbekannte Täter die Systeme von Schweizer KMUs und Grossbetrieben verschlüsselt und damit unbrauchbar gemacht haben[2]. Die Angreifer stellten Lösegeldforderungen von mehreren zehntausend Franken, vereinzelt auch in Millionenhöhe. Die Motivation der Angreifer ist entsprechend hoch, denn viele Unternehmen sehen in der Bezahlung von Lösegeld oft den einzigen Ausweg. Dies neben den technischen Herausforderungen nicht zuletzt auch deshalb, weil die potenziellen Verluste oder die Wiederherstellungskosten oft grösser sind als die Erpressersumme, denn die Identifikation der betroffenen Systemkomponenten und deren anschliessende Entschlüsselung sind in der Regel extrem aufwändig und teuer und können nur durch externe Spezialisten bewerkstelligt werden, insbesondere wenn forensische Verfahren zur Anwendung kommen sollen. Gleichwohl rät MELANI von der Bezahlung von Lösegeld ab, da damit einerseits das Geschäftsmodell der Hacker unterstützt wird und andererseits auch keinesfalls Garantie besteht, dass die Daten nach erfolgter Bezahlung auch wieder entschlüsselt werden. Die Tatsache, dass viele Unternehmen Versicherungen für solche Fälle abschliessen treibt die Lösegeldforderungen in die Höhe und macht Unternehmen noch attraktiver für Angriffe. Die Alternative, nämlich Entschlüsselungsversuche oder, im Extremfall, die komplette Wiederherstellung der Systeme, können für ein Unternehmen eine existenzbedrohende Krise darstellen. Je nach Branche und Wertschöpfungskette suchen sich Kunden und Kundinnen innert Kürze neue Lieferanten und kommen unter Umständen auch nachdem alles überstanden ist nicht mehr zurück. Wie wenn das nicht genug wäre, winken auch Konventionalstrafen aufgrund nicht erfüllter Lieferverpflichtungen.
Schutz gegen Angriffe
Wie kann man sich gegen solche Angriffe schützen? Sowohl MELANI als auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) publizieren diesbezüglich Empfehlungen[3]. Mit einigen grundlegenden Sicherheitsmassnahmen kann das Risiko erheblich reduziert werden. Dazu gehören regelmässige Software-updates und Patches, eine sichere Konfiguration von Browsern, E-Mail-Programmen und zugrundeliegenden Servern, eine restriktive Handhabung von Benutzer- und insbesondere Administratorenrechten, der Einsatz von professionellen Virenschutz- und Intrusion-Prevention-Systemen sowie die Sensibilisierung von Mitarbeitenden in Bezug auf die Handhabung potenziell schadhafter E-Mails. Für die Wiederherstellung der Systeme sind ein angemessenes Backupkonzept, insbesondere ein Offlinebackup, und die sichere Verwahrung von Sourcecode zentral.
Grössere Unternehmen mit komplexer IT-Umgebung bieten den Angreifern wesentlich mehr Angriffsfläche. Das BSI stellt seit 2019 den Trend fest, dass Ransomwareattacken vermehrt ATP-Taktiken verwenden, bei denen sich Angreifer während längerer Zeit unbemerkt lateral im Netzwerk bewegen, um Schwachstellen zu erkennen und sich Zugriff zu wertvollen Daten zu verschaffen. Die Verhinderung und Identifikation solcher Attacken stellt die Informationssicherheit vor ungleich grössere Herausforderungen. Das BSI empfiehlt für solche Gefahren deshalb auch weitergehende Schutzmechanismen, die unter anderem ein umfassendes Logging und Monitoring der gesamten Systemumgebung, regelmässige Schwachstellenscans und Penetrationstests sowie die Härtung von Systemen beinhalten. Die laterale Ausbreitung von Schadsoftware soll durch eine angemessene Segmentierung der Netzwerke verhindert werden. Eine solche Sicherheitsarchitektur umzusetzen und zu betreiben, kann vor allem bei Unternehmen mit einer fragmentierten IT, wo allenfalls zahlreiche Legacy-Systeme im Einsatz sind, extrem teuer sein. Will man aber mit der zunehmenden Digitalisierung und Vernetzung mithalten, sind angemessene Sicherheitsvorkehrungen unverzichtbar. Denn die Vernetzung bringt immer neue Einfallstore für Schadsoftware, sei es durch den Einsatz mobiler Endgeräte, Internet of Things oder den Einsatz von Cloudtechnologien und Webapplikationsumgebungen. Deshalb wächst die Einsicht, dass firmeninterne Netzwerke trotz hoher Mauern in Form von geschützten Perimetern für den Zugang von aussen in diesem Umfeld nicht mehr unbedingt sicher sind. Diese Einsicht hat beispielsweise Google zu einem Paradigmenwechsel veranlasst. Mit BeyondCorp[4] setzt Google einen umfassenden Zero-Trust-Ansatz um, indem das interne Netzwerk dem Internet in Bezug auf die Vertrauenswürdigkeit gleichgesetzt wird. Daten werden nicht mehr durch einen Perimeter von der Aussenwelt abgeschottet, sondern innerhalb der Anwendungen durch umfassende Verschlüsselung und über die Endgeräte über restriktive Zugangsrechte geschützt.
Unternehmen dürften in den vergangenen Jahren bisher finanziell vor allem von den Vorteilen der technologischen Entwicklung profitiert haben, ohne die damit einhergehenden Risiken auf der Kostenseite gebührend berücksichtigt zu haben. Fälle wie Offix dürften hier aber zu einem Erwachen führen. Und das Erwachen kann böse sein, wenn man eines Morgens bei seinem Endgerät vor verschlüsselten Türen steht.
Autor: Roman Jucker, Eidgenössische Finanzmarktaufsicht FINMA
Links:
[1] https://www.nzz.ch/wirtschaft/cyber-angriff-auf-schweizer-firma-offix-ein-kampf-ums-ueberleben-ld.1492862.
[2] https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/sicherheitsrisiko-durch-ransomware.html.
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf?__blob=publicationFile&v=6
[4] https://cloud.google.com/beyondcorp#researchPapers
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)