Wenn ein IT-System ausfällt, ist nicht immer klar, was genau dahinter steckt. Oft ist der Grund harmlos. Ein abgestürzter Prozess etwa, ein Hardwaredefekt, eine Fehlmanipulation: alles Ärgernisse, jedoch durchaus normal. Diverse Studien von Sicherheitsfirmen zeigen, dass nur weniger als die Hälfte aller Ausfälle auf Angriffe zurückzuführen sind. Das entspricht auch der Erfahrung von Abraxas.
Die Folgen sind jedoch gravierend, wenn man eine Bedrohung nicht erkennt und sich an die falsche Stelle im Unternehmen wendet, um das Problem zu beheben. Wenn es um Cybersicherheitsvorfälle geht, ist die Lage ernst. Der Timer bis zum Datendiebstahl oder zur Verschlüsselung läuft: Boom! In diesem Artikel setzen wir uns darum mit den Unterschieden zwischen normalen Vorfällen und Security Incidents auseinander und zeigen, warum es zwei verschiedene Ansprechstellen braucht.
Psychologischer Druck
Handelt es sich um einen Securityvorfall, ist der Druck auf Mitarbeitende und Management hoch, den Schaden festzustellen und Gefahr vom Unternehmen abzuwenden. Dabei droht das interne System zu kollabieren, weil die Notfallpläne oft entweder nicht vorhanden oder graue Theorie sind. Im Gegensatz dazu sind Defekte im Netzwerk, an einer Komponente oder an einem laufenden Prozess oder eine Fehlkonfiguration leicht zu beheben. Die Abläufe sind hier standardisiert und eingespielt. Ein Cybersecurityvorfall hingegen stellt immer eine Ausnahmesituation dar. Die Zeit ist entscheidend, der Druck hoch, schnell und exakt zu handeln.
Wegen der kriminellen Fremdeinwirkung hat ein Sicherheitsvorfall das Potenzial, das Vertrauen der Kunden zu zerstören, den Ruf des Unternehmens zu schädigen. Im schlimmsten Fall kann das Unternehmen nicht mehr weitergeführt werden. Zudem muss ein Securityvorfall bei den Behörden gemeldet werden. Ein unangenehmer Vorgang, vor allem wenn man dem Angreifer versehentlich noch selbst die Tür aufgeschlossen hat.
Menschen sind dynamischer als Maschinen
Ein regulärer Vorfall dauert so lange, bis die Ursache des Ausfalls gefunden und behoben ist. Der Fehlerzustand ist also statisch. Ein Cybersicherheitsvorfall ist weit dynamischer. Die Angreifer reagieren auf die laufenden Abwehrmassnahmen, bewegen sich im Netzwerk und können ihre Strategie anpassen, noch während das IT-Team nach der Sicherheitslücke sucht. Wer hier langsam agiert, gewährt den kriminellen Hackern Freiraum für ein Versteckspiel mit unberechenbaren Folgen.
Geschwindigkeit vor Perfektion
Bei einem Security Incident ist die Geschwindigkeit entscheidend. Die Reaktion auf den Vorfall muss unmittelbar erfolgen und für eine genaue Analyse ist keine Zeit. Das beginnt mit einem raschen Abschalten des WLANs, mit einem beherzten Griff zum Netzwerkkabel und der sofortigen Alarmierung von Vorgesetzten, Kolleg:innen und des IT-Teams – alles abhängig von der Policy der eigenen Organisation. So agiert auch das SOC-Team, um das Problem rasch in den Griff zu bekommen. Es trainiert in ruhigeren Zeiten und nutzt im Notfall erprobte Methoden und Technologien, um Angriffe abzuwehren, Gegenmassnahmen einzuleiten und den Schaden gering zu halten – eine schnelle Eingreiftruppe eben.
Es braucht eine entschiedene Reaktion, die zwangsläufig Kollateralwirkungen verursacht, die jedoch angesichts der gravierenden Schäden bei einer falschen, langsamen Reaktion zu vernachlässigen sind. Wenn Kolleg:innen kurzfristig nicht weiterarbeiten können, ist das weit weniger schlimm als der Diebstahl sensibler Daten, mit denen man danach erpresst wird.
Hardwareschaden vs. Datenschaden
Bei einem Sicherheitsvorfall zeigen sich primär Schäden auf den Daten und nicht auf der Hardware, denn längst ist den Angreifern das Stehlen sensibler Daten wichtiger als das Verschlüsseln, wogegen eine Backup-Strategie relativ gut schützt. So gibt es bereits Hackergruppen, die es ausschliesslich auf sensible Daten abgesehen haben.
Der Verstoss gegen Datenschutzgesetze, der Diebstahl geistigen Eigentums zum Weiterverkauf im Dark Web und die Erpressung von Lösegeld sind die drei wichtigsten Schadenswirkungen einer Attacke.
Fazit: es braucht ein ganzheitliches Vorgehen
Die Geschwindigkeit, die Komplexität, die Dynamik und die möglichen Folgen eines Sicherheitsvorfalls machen ihn zu einer einzigartigen Herausforderung, die eine Trennung der Zuständigkeiten erfordert.
Ein Security Operations Center (SOC), mit den nötigen Kompetenzen und Entscheidungsfreiheiten ausgestattet, verhindert oder mindert Angriffe und unterstützt so den regulären IT-Betrieb über die gesamte Organisation. Im SOC arbeiten IT-Security-Expert:innen, die sich andauernd mit Vorfällen beschäftigen, Angriffe analysieren, Best Practices festlegen und prüfen und umgehend Massnahmen ergreifen. Dabei helfen ihnen profunde Kenntnisse der Hackerszene, deren Methoden und Tools. Längst ist sie professionalisiert und automatisiert – man spricht von «Cybercrime as a Service».
Das setzt eine Reaktionsfähigkeit und Spezialisierung voraus, die kein interner oder externer Service Desk hat, der mit regulären Störungen befasst ist. Aus Erfahrung und Kenntnis der betroffenen Infrastruktur erkennt er jedoch rasch, ob eine Bedrohungslage vorliegt und involviert die Security-Analysten – im Zweifelsfall einmal zu viel als zu wenig. So profitieren beide Organisationen voneinander: von der Dynamik des einen und dem durchdachten Vorgehen des anderen. Der ganzheitliche Ansatz macht Organisationen resilienter gegen Incidents jeder Art.
3 Anzeichen für einen laufenden Angriff
Wenn ein System ausfällt, kann ein laufender Angriff oder die Vorbereitung eines Angriffs dahinterstehen. An diesen Anzeichen erkennen Sie, ob Sie neben dem Service Desk auch ein SOC involvieren müssen:
- Erhalten Sie oder Ihre Kolleg:innen häufig dubiose Mails in Ihr Postfach, die Sie zum Einloggen in einen an sich bekannten Service auffordern – dann ist das Risiko hoch.
- Ihr PC ist permanent überlastet oder gibt plötzlich unklare Fehlermeldungen aus, vielleicht sogar in Englisch statt Deutsch. Ausserdem vermissen Sie plötzlich Dateien oder finden diese an einem anderen Ort. Im Netzwerk sind unüblich grosse Datentransfers zu unüblichen Zeiten im Gang.
- Ihr Browser «spinnt» und leitet Anfragen immer wieder auf andere Seiten um.
Über John Winter
John Winter verfügt über jahrelange Erfahrung im IT-Security-Umfeld und ist verantwortlicher Produkt Manager bei Abraxas für den Bereich Managed Security Solutions.