Von Sebastian Lacour, Senior Manager Channels Germany, Veeam Software
Oft heißt es, der Wandel sei die einzige Konstante in der Cybersicherheit. Für diese These sind zwei Indikatoren der beste Beweis: Die stetige Veränderung in der Gesetzgebung und das fortwährende Katz-und-Maus-Spiel zwischen Cyberkriminellen und Ermittlungsbehörden. Noch im letzten Jahr gelangen internationalen Ermittlerteams diverse Erfolge, als große Hackergruppen wie LockBit, Black Cat und Black Basta entweder geschlossen wurden, verschwanden oder einfach ihre Tätigkeit einstellten. Die Behörden haben damit mehrere große Bedrohungsgruppen erfolgreich zerschlagen.
Im selben Zeitraum entstanden überall auf der Welt neue Vorschriften im Bereich IT-Sicherheit. Hier in der EU waren es jüngst die NIS2-Verordnung, der EU AI Act und DORA. Am 21. November passierte das NIS2-Umsetzungsgesetz den Bundesrat und ist seit dem 6. Dezember offiziell in Kraft. Doch neue Regulationen und Ermittlungserfolge können in die Irre führen. Sie schaffen ein Gefühl der Sicherheit, das trügen und in Fahrlässigkeit enden kann. Treibt ein Einbrecher in der eigenen Wohnsiedlung sein Unwesen, mag man sich sicherer fühlen, wenn man von dessen Verhaftung liest. Doch Cyber-Bedrohungen verschwinden auch nach diversen Verhaftungen nicht, sie passen sich an: An Regulationen, Sicherheitsmaßnahmen und sogar an die Strafverfolgung. Unternehmen müssen es ihnen gleichtun.
Ermittlunsgerfolge gegen Hacker sind großartig - aber keine Entwarnung
Warum es trügerisch ist, die Arbeit der Justiz als Zeichen einer sich bessernden Sicherheitslage zu bewerten, erklärt sich leicht über die Täterlogik. Oftmals trifft es bei der Zerschlagung von cyberkriminellen Banden nur die Köpfe der Organisation, sprich die Administratoren und Strippenzieher. Die Mittäter verlassen dann das sinkende Schiff, halten sich eine Zeit lang bedeckt und schließen sich dann bestehenden Gruppen an. Dort steckt man dann die Köpfe zusammen, entwickelt neue Taktiken und führt Operationen mit neuer Manpower durch.
Trotz und der Drang nach Vergeltung für die Festnahme alter Weggefährten treiben die Täter zu neuen Missetaten an. Kombiniert man diese kriminelle Energie mit dem immer potenteren Faktor Künstlicher Intelligenz, die auch Laien dazu befähigt, glaubwürdige Phishing-Mails und bösartige Malware zu schreiben, dann erhält man einen sich reproduzierenden, unberechenbaren kriminellen Untergrund. Dieser wirbt Kollaborateure teilweise sogar in Unternehmen selbst an und bezahlt sie für die Preisgabe von Firmengeheimnissen oder Logindaten: ein Inside-Job mit oftmals attraktiver Vergütung. Unternehmen müssen also mit allem rechnen und können sich bei der Verteidigung ihrer Daten nicht nur auf die Politik verlassen.
Gesetzliche Regulationen sind zwangsläufig reaktiv
Glücklicherweise ist der Gesetzgeber angesichts dieser Situation nicht untätig geblieben. Allein in der EU gab es mit den oben genannten, jüngsten Verordnungen (NIS2, DORA, EU AI Act) drei Vorstöße, die auf die Stärkung der Widerstandsfähigkeit von Daten und die Absicherung KI-basierter Technologien sowie Kritischer Infrastrukturen abzielen. Mit DORA sollen insbesondere Unternehmen aus dem Finanzsektor Anschub in Sachen IT-Sicherheit bekommen. Im Vereinigten Königreich wurden sogar Schritte hin zu entschiedeneren Maßnahmen unternommen. Dort wurde eine Konsultation über ein mögliches Verbot von Ransomware-Zahlungen für kritische nationale Infrastrukturen und Organisationen des öffentlichen Sektors durchgeführt.
Mit NIS2 hat nun auch die womöglich einschneidendste Regulation deutsche KRITIS-Betreiber erreicht. Einschneidend ist sie deshalb, da sie die Ausfallsicherheit nun eindeutig in der Verantwortung der Unternehmensleitung verankert. Betriebe können die Gewährleistung der Betriebskontinuität nicht länger aufschieben: Führungskräfte müssen sich jetzt aktiv mit der hauseigenen Cybersicherheit beschäftigen und sie zu einer ebenso wichtigen Geschäftspriorität machen wie Gewinn und Strategie. Außerdem wurden neue Standards für das organisatorische Risikomanagement und die Risikominderung eingeführt, insbesondere für die Berichterstattung über Vorfälle, die angesichts zunehmender Angriffe von entscheidender Bedeutung ist. Obwohl DORA auf den Finanzdienstleistungssektor beschränkt war, wurden hier zudem einige der dringlichsten Probleme, wie das Risiko von Drittanbietern, angegangen, um einen der am stärksten betroffenen Sektoren zu stärken.
Die geforderten Maßnahmen sind für die Entwicklung einer ausgereiften Datensicherheit, die dem aktuellen Druck von Bedrohungsakteuren standhalten kann, unerlässlich sind. Dennoch ist die Einhaltung der Vorschriften leichter gesagt als getan. Im Vorfeld von NIS2 rechneten 66 % der Unternehmen damit, die Frist für die Einhaltung der Vorschriften zu verpassen, und sechs Monate nach DORA waren 96 % der Finanzdienstleistungsunternehmen in der EMEA-Region der Meinung, dass sie ihre Widerstandsfähigkeit noch verbessern müssten, um die Anforderungen zu erfüllen.
Mit der Aussicht darauf, dass man beim nächsten Audit zeitgenössische Cyberresilienz in Folge des Regulationsdrucks vorweisen kann, wäre es fast verständlich, wenn Unternehmen sich alsbald in einer Verschnaufpause wähnen. Doch die Einhaltung der Vorschriften ist nicht gleichbedeutend mit Sicherheit. Das liegt daran, dass die Politik auf Veränderungen der Sicherheitslage immer nur reagieren und neue Bedrohungen oftmals nicht voraussehen kann. Was heute noch als sicher gilt, kann durch eine Zero Day-Attacke schon morgen überholt sein.
Der Status Quo kann eine bittere Pille sein
In Zeiten wie diesen müssen Unternehmen ihre Aufmerksamkeit nach innen richten und dabei in Kauf nehmen, Mängel und Nachholbedarf festzustellen. Überforderung ist vorprogrammiert, wenn versucht wird, auf Angriffe zu reagieren, gleichzeitig Fristen für die Einhaltung von Vorschriften einzuhalten und dabei noch den täglichen Betrieb reibungslos aufrechtzuerhalten. Ein anderer Ansatz muss her.
Eine Lösung können Reifegradmodelle sein. Mit diesen „Schablonen“ können Unternehmen nicht nur ihre aktuelle Datenresilienz besser einschätzen. Sie bekommen auch den Weg dafür geebnet, sie zu verbessern. Anstatt jeden Aspekt der Datenresilienz separat zu betrachten, führen diese Modelle sie zusammen und bündeln Ressourcen. So lässt sich die umgangssprachliche Flut herbeiführen, die alle Boote hebt, anstatt mit dem typischen Patchwork-Ansatz hinterherzurennen, um resilient zu bleiben.
Die entscheidende Frage, die Sicherheitsverantwortliche sich stellen sollten, lautet: Wie lange würde mein Unternehmen brauchen, um sich von einem Angriff zu erholen? Die Antwort auf diese Frage sollte zur Folgefrage führen, ob das Unternehmen so lange warten kann, ohne dass schwerwiegende Auswirkungen auf das Geschäft nachfolgen. Wenn dem so ist, sollte der eigene Wiederherstellungsplan dringend überdacht werden, bevor die Konsequenzen irreversibel sind.
NIS2 ist ein solides Fundament – doch Resilienz erfordert stetige Weiterentwicklung
Weil Cyberattacken häufiger stattfinden als je zuvor und Angreifer unberechenbar und noch skrupelloser agieren, muss auch der Datenwiederherstellung besondere Aufmerksamkeit geschenkt werden. Während ausgereifte Datensicherheit immer Plan A sein sollte, muss ein Plan B für die Notfallwiederherstellung ebenso ausgeklügelt und praxiserprobt sein. Die Ausfallsicherheit von Daten ist ein Prozess, der nicht über Nacht abgeschlossen werden kann und deshalb oberste Priorität in der Führungsetage bekommen muss. Denn Angreifer warten nicht darauf, bis der Notfallplan fertig ist und das System auf Vordermann gebracht wurde, bevor sie zuschlagen.
Kafka Kommunikation GmbH & Co. KG
Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de