Herr Keller, Sie kommen gerade von einem sogenannten Incident-Response-Einsatz bei einem Kunden zurück. Was genau ist damit gemeint?

Niklas Keller: Im Grunde ist es ein strukturiertes Vorgehen, um auf unterschiedliche Arten von Sicherheitsverletzungen oder -bedrohungen zu reagieren. Je nach konkretem Anlassfall ist die Intensität, in der wir reagieren, unterschiedlich. Wenn ein Unternehmen einem Cyberangriff ausgesetzt ist, unterstützen wir zunächst bei der Abwehr des Angriffs und der Wiederherstellung des Geschäftsbetriebs. In solchen Fällen sind wir auch mit einem Team vor Ort. Unser Ziel ist dann, die Angreifer schnellstmöglich im Netzwerk zu identifizieren und dieses zu bereinigen. Aber wir beraten auch in Fragen des Krisenmanagements. Mein Team und ich sind auf solche Einsätze geschult, aber für unsere Kunden und deren Mitarbeitende ist das eine Ausnahmesituation. Da sind neben technischem Know-how auch soziale Kompetenzen gefragt. Etwa bei Angriffen mit Ransomware, wenn die IT eines ganzen Unternehmens plötzlich verschlüsselt ist. Die Angreifer gehen dabei immer professioneller vor und haben eigene Geschäftsmodelle mit Cybercrime-as-a-Service-Angeboten im Darknet etabliert. Mittlerweile gibt es sogar eigene Benchmarks-Tests, die zeigen wie schnell eine Verschlüsselung funktioniert. Sprich: Da vergleichen sich die verschiedenen kriminellen Anbieter, wer besser verschlüsseln kann.

Wie verläuft so ein Cyberangriff?

Das ist von Fall zu Fall unterschiedlich. Bei einer Verschlüsselung kann das bedeuten, dass Mitarbeitende vor verschlossenen Firmengebäuden stehen, weil ihre Zutrittskarten nicht funktionieren, ein Hochregallager nicht bedient oder kritische Gebäudetechnik, wie Kühlanlagen, nicht gesteuert werden können. Und anstelle der gewohnten Aufforderung zur Passworteingabe erscheint eine Lösegeldforderung auf den PC-Bildschirmen. Wenn das der Fall ist, ist es natürlich von entscheidender Bedeutung, diese Services schnell wieder herzustellen und verfügbar zu machen. Allerdings muss bei der Wiederherstellung darauf geachtet werden, keine Spuren zu vernichten. Solche Angriffe werden in der Regel akribisch vorbereitet. Nicht selten werden Unternehmen über Monate hinweg ausgekundschaftet. Aber auch abseits einer Verschlüsselung unterstützen wir Unternehmen – von Penetration Tests über die Überprüfung von unternehmenskritischen Informationen, die im Darknet und im Internet kursieren, bis hin zu forensischen Analysen.

Niklas Keller verantwortet als Head of Cyber Defense Center (CDC) die konzernweite Koordination und Zusammenarbeit dedizierter Bechtle Spezialist:innen im gesamten DACH-Raum. Als Teamleiter des neuen CDC-Teams im Bechtle IT-Systemhaus Österreich betreut er federführend die Bereiche Forensics und Cyber Defense – dazu zählt neben dem Einsatz für Kunden auch der Bereich der unternehmensinternen Aus- und Weiterbildung von Cybersecurity-Fachkräften.

Wir benötigen Ihre Zustimmung, um den Youtube-Service laden zu können!

Wir verwenden den Anbieter Youtube, um Videoinhalte einzubetten. Dieser Service kann Daten zu Ihren Aktivitäten sammeln. Detaillierte Informationen hierzu finden Sie in den Einstellungen.

Einstellungen Zustimmen
Wie sollten Unternehmen im Falle eines Cyberangriffs reagieren?

Auch wenn angesichts einer akuten Krisensituation die Anspannung enorm ist, sollte rational entschieden werden. Dazu gehören auch erprobte und bekannte Notfallpläne und Vorkehrungen. So kann etwa ein gut gesichertes Backup durch Angreifer nicht kompromittiert werden und unterstützt die schnelle Wiederherstellung. Ebenso hilfreich sind regelmäßige Trainings, damit auch Mitarbeitende außerhalb der IT-Abteilung wissen, was im Ernstfall zu tun ist. In der Praxis merken wir, dass hier noch Verbesserungspotenzial besteht.

Wie gehen Sie und Ihr Cyber-Defense-Team konkret vor?

Zunächst spüren wir die Schwachstellen auf und beheben diese. Dabei trennen wir beispielsweise kritische Systemumgebungen vom Netzwerk. Das ist ein wichtiger Schritt, denn unentdeckte Schwachstellen können eine neuerliche Einladung für Angriffe darstellen. Wir haben die Erfahrung gemacht, dass die schnelle Disaster Recovery, etwa aus bestehenden Backup-Systemen, in dieser Situation entscheidend ist. Durch die rasche Wiederherstellung können mögliche negative Folgen für betroffene Unternehmen, wie etwa kostspielige Betriebsausfälle, deutlich abgemildert werden.

Eine hundertprozentige Sicherheit gibt es nicht.

Niklas Keller
Mit Ausnahme einiger weniger Fälle erfährt die Öffentlichkeit eher selten von solchen Angriffen. Woran liegt das?

Ich denke, dass es für viele Unternehmen und Organisationen ein sehr sensibles Thema ist. Ein Beispiel für ein Unternehmen, das sich von Anfang an für eine offene Kommunikation entschlossen hatte, ist die Salzburg Milch. Von der Ransomware-Attacke im Sommer dieses Jahres waren sämtliche Unternehmensbereiche von der Kommunikation über die Logistik bis zur Produktion betroffen. Dennoch ist es den Mitarbeitenden gelungen, die verderbliche Ware rechtzeitig in die Regale zu bringen. Hier standen wir als unterstützende Incident-Response-Einheit nicht nur im Wettlauf mit den Hackern, sondern auch mit der Zeit. Bereits am Tag nach Bekanntwerden des Angriffs konnten Teile der Produktion wieder hochgefahren werden und innerhalb von acht Tagen konnte der volle Betrieb wieder aufgenommen werden.

Sind Unternehmen auf solche Gefahren und Szenarien ausreichend vorbereitet?

Eine hundertprozentige Sicherheit gibt es nicht. Dennoch können Unternehmen einiges tun, um ihre Sicherheitslage zu stärken und sich so besser vor potenziellen Angriffen zu schützen. In einem ersten Schritt ist es hilfreich, den Status quo im Unternehmen zu beleuchten und zu eruieren, welche Lösungen tatsächlich benötigt werden. In der Praxis sehen wir, dass viele verschiedene Security-Lösungen unterschiedlicher Hersteller im Einsatz sind. Leider sind diese nur sehr selten optimal aufeinander abgestimmt. Dadurch entstehen Sicherheitslücken, die von Cyberkriminellen gezielt ausgeforscht und ausgenutzt werden können. Aber auch die regelmäßige Sensibilisierung der Mitarbeitenden ist entscheidend.

Was können Unternehmen tun, um das Gefahrenbewusstsein ihren Mitarbeitenden zu erhöhen?

Ähnlich wie Brandschutzübungen sollten regelmäßige Schulungen ein Bestandteil der IT-Security-Strategie eines Unternehmens sein. Daher haben wir spezielle Security Awareness Trainings für Unternehmen entwickelt. Denn gerade Unternehmen und ihre Mitarbeitenden bieten vielfach erhebliche Angriffsflächen für Schadsoftware oder gezielte Recherchen von Cyberkriminellen, um in das Unternehmensnetzwerk einzudringen. Wertvolle Informationen finden die Angreifer nicht nur auf den Websites der Unternehmen, sondern auch in den Postings in den sozialen Medien.

Eine letzte Frage: Wie können Unternehmen Hackern einen Schritt voraus sein und ihre Daten bestmöglich schützen?

Das Thema IT-Sicherheit hat im Rahmen der Unternehmensführung stark an Bedeutung gewonnen. Cyberangriffe nehmen nicht nur in ihrer Anzahl zu, sondern werden auch immer vielseitiger. So sind bereits über 50 verschiedene Angriffsarten klassifiziert und es werden immer mehr. Dadurch wird auch die kundenseitige Steuerung zunehmend komplexer und aufwendiger. Unternehmen stehen heute vielfach vor der Entscheidung, eigene Ressourcen zu erweitern oder auf externe Dienstleister zurückzugreifen. Mit dem Bechtle Cyber Defense Center unterstützen wir unsere Kunden mit passgenauen Konzepten und modernsten Technologien beim Aufbau einer schlagkräftigen Security-Organisation. Als erfahrener Managed Service Partner übernehmen wir dabei einzelne Teilaspekte oder das ganze Security-Management im Rahmen eines qualifizierten Security-Operation-Centers (SOC).

Ansprechpartner.

Bechtle update Redaktion
update@bechtle.com

 

Zum Thema.

 

Newsletter. 

Erhalten Sie die besten Artikel aus dem Bechtle update alle sechs Wochen direkt in Ihr Postfach. Hier geht's zur Anmeldung:
 

NEWSLETTER