Erfolgreiche Cyberangriffe zeigen, dass der heutige Schutz nicht mehr genügt. Die IT-Security muss sich also transformieren. «Assume the breach» ist das neue Paradigma, das veränderten IT-Infrastrukturen Rechnung trägt. Wohin die Reise geht.
Text: Andreas Heer, Bild: Adobe Stock,
Das Jahr 2021 war noch keine sechs Wochen alt, da meldete das Nationale Zentrum für Cybersicherheit (NCSC) bereits einen Rekord: Über 800 Meldungen zu cyberkriminellen Vorfällen gingen für die erste Februarwoche ein. Und auch Sicherheitsverantwortliche in Unternehmen haben keine ruhige Zeit. «In den letzten Monaten beobachteten wir eine Zunahme an DDoS-Angriffen und weiterhin Ransomware-Attacken», resümiert Stefan Marzohl. Als Head of Cybersecurity Sales B2B bei Swisscom ist er nahe am Puls der Kunden.
Immer wieder sind solche Angriffe erfolgreich. So kommunizierte Mitte April ein Ostschweizer Unternehmen, dass es sämtliche IT-Systeme herunterfahren musste, um die Folgen eines Ransomware-Befalls zu beseitigen. Die meisten dieser Vorfälle gelangen nicht an die Öffentlichkeit. Was aber nicht heisst, dass die Unternehmen hinter den Kulissen nicht aktiv sind. «Den Unternehmen wird bewusst, dass Präventionsmassnahmen alleine nicht ausreichen», sagt dazu Stefan Marzohl. «Wir sehen eine Transformation in Richtung Threat Detection & Response.»
Nun sind die Angriffsformen nicht neu. Aber die Ausgangslage hat sich verändert. Die Mitarbeitenden arbeiten nicht mehr nur innerhalb des Firmennetzes, sondern auch unterwegs und im Homeoffice. Viele Unternehmen transformieren ihre Infrastruktur in die Cloud. Das bringt unbestritten Vorteile, stellt aber neue Herausforderungen an die IT-Security. Denn die Systeme und Applikationen sind nun nicht mehr nur über das gut abgesicherte Firmennetzwerk erreichbar, sondern auch übers Internet. Das verlangt nach einer anderen Security-Architektur, wie Stefan Marzohl erläutert: «Ein Beispiel: Im lokalen Netz können Unternehmen ihre Security Policies über eine physische Firewall abbilden. Nun sind die Spezialisten mit verschiedenen Arten von Firewalls und Sicherheitssystemen konfrontiert, der eigenen und derjenigen in der Cloud.»
Konfigurationsfehler haben dadurch umso grössere Auswirkungen, weil Systeme viel exponierter sind. Denn Angreifer müssen sich nicht mehr zuerst Zugriff ins Firmennetzwerk verschaffen, sondern können direkt die Infrastruktur in der Cloud attackieren. «Das Policy-Management ist in solchen dezentralen Umgebungen eine grosse Herausforderung», fasst Stefan Marzohl die Situation zusammen.
Die – logische – Folge: Mit der Transformation der IT-Infrastruktur muss sich auch die IT-Security transformieren. «Assume the breach» ist die heutige Ausgangslage. Der Trend geht zu Threat Detection & Response und einem verstärkten Security Incident Management. SIEM (Security Information and Event Management), SOC (Security Operations Center) und Security Incident Response (CSIRT) sind Themen, die nun auch ausserhalb sensibler Branchen wie Banken und Versicherungen vermehrt diskutiert werden.
Doch das permanente Monitoring der Infrastruktur und die Reaktion auf Security Incidents verlangen nach gut ausgebildeten Security-Fachleuten, die nach wie vor rar sind. Die Nachfrage nach externem Know-how in der Form von Managed Security Services dürfte deshalb genauso wenig nachlassen wie die Cyberangriffe selbst.
Die steigende Vernetzung, die Nutzung von Cloud-Diensten und die Vielfalt der Endpoints führen zu einer deutlichen Vergrösserung der Angriffsflächen und neuen Schwachstellen. Folglich muss sich auch die Cybersicherheit transformieren, um den neuen Herausforderungen situationsgerecht und entschieden begegnen zu können.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?