Kürzlich kamen bei mir zwei Situationen zusammen, bei denen ich Parallelen entdeckte, die mir lange nicht aufgefallen waren. Auf meinem Hof suchte der Hund den Hühnerstall auf, attackierte die Tiere und hatte es auf die Eier abgesehen. Am gleichen Tag versuchte ein Hacker mit einer gefälschten E-Mail an meine Daten zu kommen. Zwei Einbrüche also an einem Tag. Beide Vorfälle haben einige Gemeinsamkeiten.
Häufig beschäftigen wir uns zum Beispiel damit, wie man sich so schützt, dass kein Angreifer in das System eindringen kann. Doch wie reagiert man, wenn jemand bereits eingedrungen ist? Wie schützt man die wertvollen Unternehmenswerte – also das, was man neudeutsch als „Assets“ bezeichnet – und wie bekommt man den Eindringling wieder aus seinem Netzwerk oder System? Und welche Konsequenzen zieht man aus dem Ereignis? Diese Fragen gingen mir nach den Angriffen durch den Kopf.
Das haben Hund und Hacker gemeinsam
Den beiden Vorfällen ist gemein, dass die Angreifer, also Hund und Hacker, die Schwachstellen im System ausgespäht und dann zugeschlagen haben bzw. Schaden verursachen wollten. Die Angreifer folgen einer sogenannten Killchain, einer bestimmten Abfolge beim Angriff. Zunächst werden Daten und Informationen über das Ziel gesammelt, das Ziel wird genau beobachtet. Dann werden die für den Angriff passenden Methoden gewählt, um am Ende eine gezielte Attacke fahren zu können.
Entscheidend ist es, die sogenannte Resilienz zu stärken, also widerstandsfähiger gegen solche Angriffe zu werden. Dazu gehört mehr, als die Schutzschilde zu verbessern – beim Hühnerstall die Zäune, hinsichtlich der Systeme deren Cyberschutz. Ebenso wichtig ist es, bei einem Angriff den Schaden so gering wie möglich zu halten.
Assets, Angriffswege und Gegenmaßnahmen kennen
Erstens: Es ist essenziell, die zu schützenden Assets überhaupt zu kennen bzw. im Vorfeld definiert zu haben, auf die es Hacker abgesehen haben könnten, zum Beispiel wichtige Kundendaten. Vielfach ist dieses Wissen in Unternehmen nicht ausreichend vorhanden.
Zweitens: Attacken lassen sich kaum verhindern. Daher gilt es, Wege des Angriffs zu antizipieren, um es dem Angreifer schwerer zu machen. Bezogen auf meinen Hühnerstall bedeutet das für mich: Ich werde den Zaun extra sichern und darauf achten, den Hund anzuleinen. Außerdem gehe ich nun zweimal am Tag in den Stall, um die Eier zu holen.
Drittens sollten die zuständigen Abteilungen die Methoden kennen, mit denen man im Fall einer Attacke die definierten Unternehmenswerte bzw. Ressourcen effektiv schützen, den Angreifer isolieren und ihn aus dem System entfernen kann.
Es gilt beispielsweise, Server und Systeme so zu schützen, dass wichtige Prozesse durch Hackerattacken nicht gefährdet werden. Ein Beispiel sind die SAP-Server, über die in vielen Firmen die Buchhaltung läuft. Wenn deren Prozesse nicht mehr funktionieren, steht ein Unternehmen vor großen Problemen. Die Infrastruktur für Prozesse, die den Tagesablauf sicherstellen, ist schwer gestört.
Effektives Monitoring ist zwingend
Zur Verteidigung der Assets gehört aber auch ein wirksamer Alarm für den Fall, dass es einen Eindringling gibt. Im Hühnerstall ist die Sache einfach: Die Hühner fangen dann wild an zu gackern. In den Unternehmenssystemen sind geeignete Alarme schwieriger zu realisieren. Ein effektives Monitoring ist ein wesentlicher Schritt. Wer die Sicherheitsstandards regelmäßig überprüft, ist den Hackern einen Schritt voraus.
Viele Angreifer haben es beispielsweise auf SQL-Datenbanken abgesehen und versuchen diese über bestimmte Befehle in Web-Formularen eines Unternehmens zu knacken. Je nach Firmengröße sollten daher die Logfiles regelmäßig auf Verdächtiges geprüft und ausgewertet werden. Regelmäßig kann bedeuten: einmal in der Woche, aber auch einmal am Tag oder sogar minütlich. Das hängt von der Größe des Unternehmens ab.
Vertrauen schaffen durch offene Kommunikation
Ein vierter Punkt ist schließlich auch noch wichtig, wenn es zu einem Angriff gekommen sein sollte: Transparenz. Es stellt Vertrauen her, wenn Kunden und Geschäftspartner schnell und so offen wie möglich über eine Cyber-Attacke aufgeklärt werden. Für eine gute Kommunikation sollte ein betroffenes Unternehmen sagen, wie es zu dem Angriff gekommen ist und welche Konsequenzen man daraus zieht.
Zum Schluss zurück zu meinem Hühnerstall. Die Tiere sind mit einem Schrecken davon gekommen. Der Hund hat eine strenge Verwarnung bekommen. Es herrscht wieder Frieden. Nicht jeder Angriff endet in einem Fiasko. Auch eine Lehre.