Braucht es im Zeitalter von Ransomware ein Sicherheits-Rating für Unternehmen?

bei

 / 24. November. 2021

Cybersicherheitsversagen hat es laut dem Bericht des World Economic Forums auf Rang 4 der weltweit größten Risiken geschafft. Damit rangiert die Bedrohungslage aus dem Cyberspace gleich hinter dem globalen Infektionsgeschehen und extremen Wetterverhältnissen. Angesichts einer solch prominenten Position verwundert es nicht, dass sogar die Politik auf den Plan tritt und nach Wegen sucht, die organisierte Cyberkriminalität einzudämmen. Der US-Präsident droht mit Strafen für Lösegeldzahlungen auf Ransomware-Angriffe, um den lukrativen Wirtschaftszweig die Einnahmen abzudrehen. Doch braucht es tatsächlich ein Eingreifen auf Regierungsebene oder Regularien, damit das Wirtschaften von Unternehmen ungefährdet möglich ist?

Die Gefahr, Opfer eines Ransomware-Angriffs zu werden, ist allgegenwärtig. Laut der Studie „Ransomware in Focus“ [1] gehen 70 Prozent der befragten CISOs davon aus, in den nächsten 12 Monaten ins Visier von Ransomware-Erpressern zu geraten. Angesichts dieser erschreckend hohen Zahlen stellt sich die Frage, welche Konsequenzen CISOs aus der Bedrohungslage ziehen. Liefern diese Zahlen den IT-Sicherheitsverantwortlichen bereits ausreichend Handhabe, um ihre Sicherheitsinfrastruktur neu zu bewerten und darauf aufbauend die nötigen Investitionen einzuleiten?

Bei vielen Unternehmen erfolgt eine digitale Umgestaltung ihrer IT-Infrastruktur bisher noch nicht gleich getaktet mit dem Upgrade der IT-Sicherheit. Auch wenn die Cloudifizierung mit Nachdruck vorangetrieben wird und Anwendungen in Multicloud-Umgebungen zu AWS, Google und Co verlagert werden, steht die Aktualisierung der Sicherheitsinfrastruktur oftmals hinten an. Es fehlen nicht nur die Budgets, sondern oftmals die Ressourcen oder die nötige Priorisierung. Ein gefährliches Versäumnis, denn gerade die Neugestaltung der Applikationslandschaft und die Verlagerung zu hybriden Arbeitsplatzmodellen sollte nicht nur aus Performanz- sondern auch aus Sicherheitsüberlegungen mit einer Modernisierung der Security einhergehen. Allerdings sind sich Unternehmen noch viel zu selten der Angriffsflächen bewusst, die sie durch die Umstrukturierung tatsächlich im Internet offenlegen. Schwachstellen in Form von offenen Ports, Remote Hardware oder unsauber aufgesetzte Webservices oder Cloud-Umgebungen können Cyberkriminelle als Angriffsvektoren nutzen, wenn die Infrastruktur ungesichert im Internet exponiert ist.

Sind Regularien in puncto Cybersicherheit angesagt?

Einerseits steigt die Bedrohungslage durch Ransomware, anderseits ergreifen Unternehmen aus eigener Kraft noch nicht oft genug geeignete Maßnahmen, um ihr Sicherheitspostulat zu stärken. Es verwundert also nicht wenn der Ruf nach Regularien laut wird. Wie die hochregulierte Finanzbranche zeigt, herrscht im Bankwesen ein sehr hoher Sicherheitsstandard vor. Verständlicherweise, denn hier steht nicht nur die Reputation, sondern auch die Einlagensicherheit auf dem Spiel. Dennoch sind es gerade die Auflagen von Behördenseite, die die Innovationstätigkeit ausbremsen können. Denn bevor in hochregulierten Branchen moderne Technologie Einzug halten kann, müssen in einem ersten Schritt die Regularien evaluiert und gegebenenfalls angepasst werden. Ein zeitaufwändiger Vorgang, dem die schnelllebige Welt der Cyberkriminalität entgegensteht.

Eine weitere Option, für einen höheren Sicherheitsstandard zu sorgen, könnte ein externes Rating sein. Eine externe Organisation, die für die Risikobewertung der vorhandenen Sicherheitsinfrastruktur in Unternehmen verantwortlich ist, kann verschiedene Prozesse in Gang setzen. Der Zwang von außen kann der Anstoß sein, dass Unternehmen ihre Hausaufgaben erledigen und sich mit einer eigenen Bewertung ihrer Sicherheitsinfrastruktur auseinandersetzen. Denn welches Unternehmen möchte schon vor die Stakeholder treten und ein schlechtes Rating in Punkto Sicherheit präsentieren? Ein solcher Mechanismus kann zweierlei bewirken: Unternehmen befassen sich mit der Thematik und beugen einem schlechten Rating durch das Ergreifen geeigneter Sicherheitsinvestitionen vor. Denn weder möchte man selbst das Ergebnis eines schlechten Abschneidens verantworten, das man dem CEO erklären müsste mitsamt den damit verbundenen Auswirkungen auf den Aktienkurs? Ebenso wenig will man in der Öffentlichkeit eine mangelnde Sicherheitsinfrastruktur darstellen müssen, die womöglich Angreifer auf leichte Beute für zielgerichtete Attacken aufmerksam macht. Die Befürchtung ist berechtigt, dass sich Schlupflöcher darbieten, wenn Prozesse der IT-Sicherheitsarchitektur offengelegt werden. Andererseits gibt es einige Szenarien, in denen es wünschenswert wäre, just diesen Einblick zu bekommen. Sicherheit kann heute entscheidend zum Geschäftserfolg eines Unternehmens beitragen, aber beispielsweise auch im Fall von Merger & Akquisition Einblick für die Kauf- oder Verkaufsentscheidung beeinflussen. Denn niemand möchte ein Unternehmen übernehmen, in dessen IT-Netzwerk womöglich schon Malware schlummert, die sich nach einem Merger lateral ausbreiten und damit den Käufer infizieren kann.

Auch wenn ein solches externes Rating-Verfahren als Motivator für die Selbstregulierung der IT-Sicherheit sorgen könnte, ist dieses Vorgehen nicht ganz unproblematisch. Ein geeigneter Kriterienkatalog für die Bewertung der IT-Sicherheitsinfrastruktur muss aufgestellt werden. Ein Streitpunkt von Regularien wird es auch daraufhin noch bleiben, ob die betroffenen Unternehmen dann lediglich nach der Einhaltung von Minimumanforderungen streben, oder eben nach maximal möglicher Sicherheit. Und was sagt das schiere Vorhandensein von Sicherheitstechnologie tatsächlich aus? Werden die Tools auch richtig eingesetzt, verwaltet, gewartet, um größtmögliche Rückschlüsse auf die tatsächliche Sicherheit zuzulassen? Ein schwieriges Unterfangen, solche Anforderungen durch ein punktuelles Rating abzudecken. Auch wenn es heute bereits Security-Ratings gibt, werden diese bisher von den Rating-Agenturen nicht genutzt, um ein Unternehmensrating zu beeinflussen – aus gutem Grund.

Cybersicherheit ist Chefsache

Für eines ist eine Diskussion um ein Rating oder der Ruf nach behördlichen Auflagen für die Sicherheit auf jeden Fall gut. Es rüttelt die Entscheidungsträger wach, sich geeigneter Maßnahmen im Kampf gegen die Cyberkriminalität anzunehmen. Und dabei ist Cybersicherheit längst nicht mehr ausschließlich eine Angelegenheit der IT-Abteilung. Genauso wie die Digitalisierung muss sich die Chefetage der Sicherheit der Unternehmensinfrastruktur annehmen. Gerade dort muss man sich dem finanziellen Risiko eines Ransomware-Angriffs und auch einem damit möglicherweise einhergehenden Reputationsverlust auseinandersetzen. Erpressungssummen in Millionenhöhe tun weh, ebenso kostenintensiv ist der Wiederaufbau der Infrastruktur nach einem Angriff, der alle IT-Systeme lahmlegt. Werden gar sensible Kundendaten vor der Verschlüsselung der Systeme von den Eindringlingen entwendet, werden Datenschützer auf den Plan gerufen, die Versäumnisse prüfen und ebenfalls Forderungen stellen.

Viel besser bedient sind Entscheidungsträger, wenn diese dadurch anfallenden Summen schon vor einem Angriff investiert werden, um die Cybersicherheit auf den neuesten Stand zu heben. Bereits mit den Digitalisierungsbestrebungen sollte klar sein, dass Perimetersicherheit für Multicloud-Umgebungen und mobile Mitarbeiter ins Leere greift. Maßnahmen sind gefragt, um der IT-Abteilung die Hoheit über alle Datenströme, die es auf Malware zu kontrollieren gilt, zurückzugeben und somit das Abfließen sensibler Informationen und unberechtigte Zugriffe zu verhindern. Die Angriffsfläche eines Unternehmens lässt sich verringern, wenn die gesamte IT-Infrastruktur für Außenstehende unsichtbar gemacht wird. Ein Zero Trust-Konzept hilft dabei, Zugriffsrechte regelbasiert zu gestalten. Wird für den Zugriff auf eine Anwendung nicht mehr das gesamte Netzwerk geöffnet, sondern nur autorisierte Anwender kontext-basierten Zugang zu ihren benötigten Applikationen erhalten, lassen sich auch dann laterale Bewegungen innerhalb der IT-Infrastruktur vermeiden, wenn ein einzelner User kompromittiert wurde.

Fazit

An die Stelle von externen Regelmechanismen für höhere Cybersicherheit sollte bei den Verantwortlichen die Einsicht treten, dass sie die Möglichkeiten moderner Sicherheitsmechanismen vorhanden sind. Es gilt lediglich, diese Chancen auch zu ergreifen. Denn der Ruf nach externer Hilfe wird immer dann laut, wenn ein Problem nicht aus eigener Kraft bewältigt werden kann. Unternehmen sollten nicht erst auf den Druck von außen warten, um sich selbst zu raten, sondern ihre Risikobewertung selbst in die Hand nehmen.

Quellen und Referenzen:

[1] https://www.businesswire.com/news/home/20211019005162/en/Paying-the-Ransom-New-Research-Finds-That-Seventy-Percent-of-CISOs-Expect-to-be-Impacted-by-Ransomware-in-Next-12-Months-80-Percent-Will-Consider-Paying-the-Ransom

Über den Autor / die Autorin:


Kevin Schwarz ist Director Transformation Strategy bei Zscaler EMEA. Sein Fokus liegt im Bereich der Implementierung von disruptiver IT-Technologien sowie IT-Security. Herr Schwarz bringt mehrere Jahre im Program & Management Consulting für Global 2000 Unternehmen mit sich.