Auf der Website des Bundeskriminalamt (BKA) heißt es: „Die digitale Vernetzung birgt enorme Potenziale, bietet aber auch Cyberkriminellen vielfältige Angriffsflächen“. Weiter gibt das BKA in seiner Sonderauswertung „Cybercrime in Zeiten der Corona-Pandemie „zu bedenken: „Die Gesellschaft weicht im Zuge der Corona-Krise auf die digitale Welt aus – ein perfekter Nährboden für Cyberkriminelle“. Auch Statistiken belegen vermehrte Angriffe seit Beginn der weltweiten Pandemie und der damit verbundenen gestiegenen Homeoffice-Tätigkeit. Doch bereits vor COVID-19 hat die Digitalisierung einen Garten Eden für kriminelle Internetakteure geschaffen. Dies zeigten diverse Studien wie die e-Crime-Studie des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG aus dem Jahr 2019.
Die Cyberangriffe steigen aber nicht nur in ihrer Zahl, sondern verursachen auch immer schwerwiegendere Schäden und höhere Kosten für Unternehmen und Wirtschaft. Umso dringlicher ist es für Organisationen, effiziente Maßnahmen zur Abwehr und Vorbeugung von Attacken durch Cyberkriminelle und Hacker zu ergreifen. Die Einrichtung eines Security-Operations-Centers (SOC), das Systeme, Geräte und Daten schützt, oder die Partnerschaft mit Anbietern von Security-Operations-Services sollte folglich für Organisationen heute oberste Priorität haben.
“First, last and only Line of Defense”: Security-Operations-Center
Ein Security-Operations-Center ist ein Sicherheitszentrum, das mit dem Schutz von Unternehmensnetzwerken und -informationen betraut ist. Hierfür führen die verantwortlichen Sicherheitsexperten umfassende Monitorings, Analysen und Auswertungen durch und prüfen die Unternehmensinfrastruktur und -kommunikation auf Hackerangriffe und Infektionen mit unterschiedlichen Arten von Malware. Im Ernstfall alarmieren sie die unternehmenseigenen Sicherheitsverantwortlichen.
Verschiedenartige Malware-Typen in mannigfaltigen Variationen
Da es unterschiedlichste Arten von Malware gibt, die stehts weiterentwickelt werden, ist das Aufspüren entsprechender Cyberangriffe keine einfache Aufgabe. Hauptsächlich stellen acht verschiedene Arten von Malware eine Bedrohung für Unternehmen dar:
- Fileless-Malware: Anders als herkömmliche Malware hat Fileless-Malware keinen Effekt auf Dateien oder das System, sondern wirkt sich auf Programme wie Microsoft-Office-Makros, Powershell, WMI und andere Systemtools aus.
- Adware: Dieser Malware-Typ zeigt unerwünschte Werbefenster an. Adware ist recht harmlos, ist aber überaus lästig und blendet ständig „Spam“ ein. Diese ungewollte Werbung kann auch die Leistung von Rechnern einschränken.
- Trojaner: Diese Art von Malware gibt vor, ein legitimes Programm zu sein. Trojaner können sich nicht von selbst verbreiten, sondern müssen von Usern ausgeführt werden. Die Schadsoftware dringt üblicherweise per E-Mail in Systeme ein oder wird als Link auf einer Website angezeigt.
- Spyware: Diese wird verwendet, um Aktivitäten von Nutzern auszuspionieren. Durch die Protokollierung der Tastenanschläge, die ein Nutzer im Laufe des Tages eingibt, ermöglicht Spyware Zugang zu User-Namen sowie zu Login- und personenbezogenen Daten.
- Bots: Ein solches Programm führt eine Aufgabe automatisch aus, ohne dass eine Interaktion vorliegen muss. Ein Gerät mit einer entsprechenden Infektion kann diesen übertragen und so ein Netz aus infizierten Computern schaffen. Dieses wird von Hackern für Attacken genutzt.
- Viren: Dieser Typ von Malware infiziert Programme und kann sich auf andere Systeme ausbreiten. Der Virus ist einer Datei angehängt und wird ausgeführt, sobald diese geöffnet wird.
- Würmer: Wie ein Virus kann sich auch ein Wurm auf Geräten oder Systemen ausbreiten. Allerdings nutzen Würmer lediglich bekannte Sicherheitslücken aus.
- Ransomware: Ransomware-Angriffe verschlüsseln die Daten eines Geräts oder eines Systems. Cyberkriminelle können dann Lösegeld fordern, indem sie damit drohen, Daten zu löschen oder diese publik zu machen.
All diese Angriffsarten stellen enorme Risiken für Unternehmen dar. So können die entstandenen erheblichen Schäden, mögliche Geldforderungen und Zusatzkosten wie auch Rufschädigungen die Existenz von Organisationen jeder Größenordnung bedrohen.
Was geschieht im Security-Operations-Center?
Um Cyberangriffen vorzubeugen und Auswirkungen und Schäden von Angriffen zu minimieren, werden im SOC verschiedenste Services ausgeführt, dazu zählen:
- Identifikation von Schwachstellen: Um zu verhindern, dass Angreifer Schwachstellen ausnützen, müssen Systeme fortlaufend auf Sicherheitslücken, Systemfehlkonfigurationen und die Übernahme von Konten auf Endgeräten, in Netzwerken und Cloud-Umgebungen geprüft werden. Denn Risikobeseitigung und Validierungsprozesse sind für den Schutz von Unternehmensnetzwerken wesentliche Schutzmechanismen.
- Umfassender Schutz der Systeme: Unternehmen müssen einen proaktiven Cybersicherheits-Ansatz verfolgen. Ein inhärentes Element bilden Security-Awareness-Kampagnen, um Mitarbeitenden den Wert von IT-Hygiene und der Einhaltung von Richtlinien zu vermitteln.
- Reaktion auf Angriffe: Ist der Ernstfall eingetreten, sind wirksame Sicherheitsmaßnahmen von entscheidender Bedeutung, um zeitnah reagieren und Schäden begrenzen zu können. Um betroffene Geräte schnellstmöglich zu isolieren und die Ausbreitung der Bedrohung zu verhindern, benötigen Unternehmen gut ausgebildete Sicherheitsexperten und Tools.
- Wiederherstellung von beschädigten, gelöschten, verschobenen oder verschlüsselten Daten und Dateien: Zeit ist für die Cyber-Resilienz enorm wichtig, genauso wie Bedrohungen frühzeitig aufzudecken und angemessen darauf zu reagieren. So können Unternehmen entstandene Schäden begrenzen und die Business Continuity aufrechterhalten. Backup-Maßnahmen helfen bei der Wiederherstellung von korrumpierten Daten und Dateien. Der Abschluss von Cyber-Versicherungen, die nicht nur bei Wiederherstellungsmaßnahmen, sondern auch in Bezug auf Rechtskosten und behördliche Gebühren finanzielle Unterstützung bieten, ist zudem ein adäquates Mittel im Kampf gegen die Folgen von Cyberangriffen.
Unternehmen, die keine Ressourcen bereitstellen können, um ein eigenes SOC einzurichten, können die Services von Security-Operations-Anbietern, wie etwa Arctic Wolf, in Anspruch nehmen. Diese Security-Operations-Partner überwachen die IT-Security-Infrastruktur von Unternehmen, bieten ein Monitoring rund um die Uhr sowie umfassende Analysen zur Aufdeckung von Schwachstellen und Bedrohungen. Risiken werden durch sie analysiert, priorisiert und zeitnah eliminiert und die unternehmenseigenen Sicherheitsexperten zu jeder Zeit von dedizierten Ansprechpartnern auf dem Laufenden gehalten.
Security-Operations-Services sind entscheidend für die Sicherheit von Unternehmenssystemen
Da durch die fortschreitende Digitalisierung die Bedrohungen durch Cybercrime weiter zunehmen wird, sind Security-Operations-Services für die Sicherheit von Unternehmen und deren Systeme unerlässlich. Zudem bieten sie zahlreiche Vorteile: Cyberangriffe können zeitnah erkannt und abgewehrt werden. Negative Folgen werden nahezu gänzlich abgewendet. Trainings und Weiterbildungen stellen sicher, dass Security-Aktivitäten bezüglich aktueller Bedrohungen stets auf dem neuesten Stand sind und sich dadurch Bedrohungsszenarien oftmals verhindern lassen. So erhalten Cyberkriminelle kaum eine Chance in Unternehmensnetzwerke einzudringen und Schäden anzurichten.
Von Dr. Sebastian Schmerl, Director Security Services EMEA, Arctic Wolf
Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er bringt mehr als 15 Jahre Erfahrung im Bereich Cybersecurity mit sowie in der Bereitstellung von Cyber Defense Services und dem Aufbau von Enterprise Security Operations Center (SOC) für Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer. Schmerl ist ständiges Mitglied in der „EU/ENISA – Working Group on Security Operation Centres“ zur Angleichung der Cyber-Protection für die EU-Region sowie stellvertretender Vorstandssprecher der Fachgruppe SIDAR der Deutschen Gesellschaft für Informatik.
