Tipps für effektive IT-Sicherheitsstrategien

Eine Bitkom-Studie von 2022 ergab, dass 9 von 10 Unternehmen Opfer von Datendiebstahl, Erpressung, Spionage oder Sabotage wurden, was zu einem Gesamtschaden von 203 Milliarden Euro führte. Sicherheitsvorfälle und erfolgreiche Cyberangriffe können also nicht nur einzelne Arbeitscomputer funktionsuntüchtig machen, sondern auch erhebliche wirtschaftliche Schäden für das jeweilige Unternehmen, deren Kund:innen und Partner:innen verursachen. Wie können sich Betriebe wirksam gegen solche Angriffe schützen und welche Gefahren drohen in Zukunft? 

Bei der Identifizierung eines IT-Sicherheitsvorfalls sollten zunächst die wesentlichen Schutzziele für Informationssicherheit zum Beispiel nach DIN EN ISO/IEC 27001 berücksichtigt werden: 

• Vertraulichkeit: Nur befugte Personen dürfen Zugang zu vertraulichen Daten und Informationen haben. Dies umfasst beispielsweise personenbezogene Daten von Kund:innen und Mitarbeitenden, Vertriebsdaten sowie Forschungsdaten und Patente. 

• Integrität: Die Korrektheit, Unversehrtheit und Funktionsfähigkeit von Systemen müssen gewährleistet sein. Ein Integritätsverlust bedeutet, dass Daten ohne Erlaubnis modifiziert, manipuliert oder gelöscht wurden. Beispielsweise können Vertragsklauseln, Bank- und Rechnungsinformationen sowie Zahlungsinformationen verändert werden. 

• Verfügbarkeit: Eine jederzeit funktionierende IT-Infrastruktur ist eine wichtige Voraussetzung für die Verfügbarkeit von Informationen. Dazu gehören beispielsweise der Zugriff auf Rechenzentren sowie die Nutzung von Servern und Netzwerken.  

Die dargestellten grundlegenden Schutzziele dienen der Orientierung oder der Definition des Idealzustands, an dem sich der Schutzbedarf messen lässt. 

Die Ursachen für Angriffsformen wie Identitätsdiebstahl oder Phishing, Malware, Ransomware oder Denial-of-Service sind unterschiedlicher Natur. Das BSI gibt im Papier „DER.2.1: Behandlung von Sicherheitsvorfällen“ veraltete Systeminfrastrukturen, Innentäter und Sicherheitslücken bzw. Zero-Day-Exploits an, die noch nicht geschlossen wurden. Menschliche Unachtsamkeit und Fehlverhalten sind aber ebenfalls entscheidende Faktoren. 

Laut Thomas Kuhn besteht die beste und effektivste Verteidigungsstrategie gegen Vorfälle und Angriffe in einer gründlichen Vorbereitung. Ist das Kind erst einmal in den Brunnen gefallen, fällt die Wiederherstellung der ursprünglichen Zustände umso schwerer, warnt der Experte. „Hat ein Unternehmen nichts vorbereitet, ist die Wahrscheinlichkeit größer, dass eine Art Panik entsteht und chaotisch vorgegangen wird. Diese Unternehmen laufen Gefahr, dass sie das Problem nicht schnell und effektiv beheben, ohne dabei weitere, noch größere Schäden zu verursachen.“ 

Beim Aufbau eines Informationssicherheitssystems besteht für den Experten die oberste Priorität darin, dass die Sicherheitsbeauftragten eines Unternehmens zunächst wirksame Prozesse einführen. „Das heißt, präventive Maßnahmen zu planen sowie einen klaren Ablauf und Verantwortlichkeiten festzulegen, wie im Ernstfall Schritt für Schritt vorgegangen werden soll.“ 

Der Experte veranschaulicht eine ideale Herangehensweise an einem Beispiel. „Melden einzelne Mitarbeitende dem IT-Support, dass sie sich nicht mehr in ihren Arbeitscomputer einloggen können, handelt es sich zunächst nur um einen typischen Verdachtsfall. Zuerst muss geklärt werden, ob es um einen Sicherheitsvorfall oder lediglich um eine technische Störung geht.“ Letzteres kann auch nur ein vergessenes Passwort oder ein weiterer Authentifikationsfaktor sein, der sich leicht zurücksetzen lässt. 

„Rufen im gleichen Zeitraum allerdings z. B. 50 bis 60 Mitarbeitende an, die sich nicht einloggen können, ist es unwahrscheinlich, dass alle gleichzeitig ihr Passwort vergessen haben. Wir betrachten es also nicht mehr als Verdachtsfall, sondern untersuchen die Situation mit einer kleinen Gruppe von Expert:innen etwas genauer.“ Zusätzlich kann hierbei bei Bedarf durch externe Dienstleister:innen unterstützt werden. „Wenn die Sicherheitsexpert:innen Spuren finden, die beispielsweise auf Eingriffe durch organisierte kriminelle Akteur:innen hinweisen, liegt ein Sicherheitsvorfall vor“, ergänzt Thomas Kuhn.  

Als Nächstes erfolgt die Kategorisierung als leichter oder schwerer Vorfall. „Stellen Sie sich vor, 50 Mitarbeitende haben sich schon gemeldet und es kommen noch mehr dazu. Sie merken außerdem, dass jemand Ihr Active Directory übernommen hat und alle Nutzer:innen ausgeschlossen sind. Dann handelt es sich um einen schweren Vorfall, weil das Vertrauen in eine zentrale Komponente Ihres Unternehmens verloren gegangen ist.“ Der Experte rät in einer solchen Situation zu vier Schritten, die parallel erfolgen sollten:

Künstliche Intelligenz (KI) wird auch im Bereich der Informationssicherheit eine immer wichtigere Rolle spielen. Thomas Kuhn beschreibt KI grundsätzlich als ein Instrument, das in der Lage ist, schnell Informationen aus verschiedensten Quellen, insbesondere aus dem Internet, zu verarbeiten. „Kriminelle können künstliche Intelligenz nutzen, um Schwachstellen zu identifizieren und die Handlungsfähigkeit eines Unternehmens zu gefährden. Diese Gruppen setzen solche Tools ein, um schneller auf einer oder mehreren Ebenen in Systeme einzudringen.“ 

Unternehmen müssen sich daher bereits jetzt und in Zukunft entsprechend rüsten, um sich effektiv zur Wehr setzen zu können, wie Thomas Kuhn erläutert. „Das bedeutet, dass sie selbst KI-Algorithmen einsetzen müssen, um Schwächen im eigenen System zu erkennen, bevor Angreifer:innen sie ausnutzen können. Schon heute wird mit effizienten Instrumenten und KI-Technologien dagegengehalten, um diese Angriffsvektoren zu identifizieren. Das ist keine Zukunftsmusik, sondern bereits Realität.“ Grund genug, sich heute schon mit dieser Technologie auseinanderzusetzen.