SECURITY26. Oktober 2023

Cyberresilienz: Warum höhere Mauern nicht gegen Cyberangriffe helfen

Mark Molyneux, EMEA CTO von Cohesity macht Vorschläge für mehr Cyberresilienz
Cohesity

Die Zahl der Cyberangriffe erreicht immer neue Höchststände. Auch gerade in der Finanzbranche. Und damit steigt der Druck auf die IT, etwas dagegen zu unternehmen. Doch ebenso wie eine Fahrspur mehr sich nicht als wirksames Mittel gegen Staus erwiesen hat, sind höhere Abwehrmauern für den Perimeterschutz nicht die beste Strategie für mehr IT-Sicherheit. Vielmehr lohnt ein genauer Blick darauf, wie mehr Resilienz im Inneren gelingen kann – da spielt die Musik!

von Mark Molyneux, EMEA CTO von Cohesity

Seit jeher gilt die Finanzbranche als Hauptziel für Cyberattacken.

Stärkere Abwehrmaßnahmen sind daher wichtig und sinnvoll, doch angesichts immer intelligenterer Cyberangriffe auf Banken und ihre Lieferkette sind herkömmliche Methoden alleine nicht mehr ausreichend.”

So wurde zum Beispiel im Juli dieses Jahres ein Datenleck bei einem Dienstleister für den Kontowechsel bekannt. Kunden von Deutscher Bank, Postbank, ING und Comdirect waren betroffen, ihre Daten gerieten in die Hände von Hackern.

Cyberkriminelle greifen dabei häufig nicht direkt die Systeme der Finanzunternehmen an. Stattdessen nehmen sie Lieferanten und Partner oder auch die Mitarbeiter über echt aussehende Phishing-Mails ins Visier. Mit Hilfe Künstlicher Intelligenz kommen auch gefälschte Telefonate und Videos hinzu, in denen der vermeintliche Chef oder Kunde Aufträge erteilt.

Der Hacker ist bereits drin

Daher sollten IT-Teams davon ausgehen, dass sich Cyberkriminelle bereits in den Systemen befinden – sei es in den eigenen oder von Partnern. Entsprechend benötigen sie einen Strategiewechsel in Sachen IT-Sicherheit.

Laut einer aktuellen Studie von Deloitte folgen die meisten CISOs bei ihren Budgets heute einer 80/20-Aufteilung zwischen Risikovorbeugung und Schadensbegrenzung.”

Insgesamt fließen sogar nur 11 Prozent des Geldes in die Reaktion auf Vorfälle und die Wiederherstellung sowie in die Sicherheit der Infrastruktur.

Dabei schreibt die BaFin in ihren Bankaufsichtlichen Anforderungen an die IT (BAIT) ein umfassendes IT-Notfallmanagement vor. Unter anderem heißt es:

IT-Notfallpläne umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne sowie die dafür festgelegten Parameter und Verantwortlichkeiten und berücksichtigen Abhängigkeiten, um die zeitkritischen Aktivitäten und Prozesse wiederherzustellen.“

Die Parameter umfassen unter anderem:

Wiederanlaufzeit (Recovery Time Objective – RTO)
Maximal tolerierbarer Zeitraum, in dem Datenverlust hingenommen werden kann (Recovery Point Objective – RPO)
Konfiguration für den Notbetrieb

Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor ermöglicht Unternehmen zwar, ihre Vorgaben für RTO und RPO flexibel festzulegen. Allerdings sollte dabei „die Durchführung einer Bewertung der potenziellen Gesamtauswirkungen auf die Markteffizienz vorgeschrieben sein.“

Den Schaden nachhaltig begrenzen

Entsprechend sollten Finanzunternehmen ihren Fokus von der Risikovorbeugung zur Schadensbegrenzung verlagern.

Also hin zu einer besseren Widerstandsfähigkeit und schnelleren Reaktion auf Attacken.”

Dabei sollten sie aber nicht auf klassische Prozesse und Technologien für die Business Continuity und Disaster Recovery zurückgreifen. Diese wurden für Unwetter, Stromausfall oder Fehlkonfigurationen entwickelt, nicht für die Abwehr von Cyberangriffen, welche die Wiederherstellung zum Teil aktiv beeinträchtigen.

Wenn Unternehmen die ausgenutzten Schwachstellen und Angriffsflächen nicht schließen und alle Spuren der Hacker beseitigen, ist die Wahrscheinlichkeit eines erneuten Cyberangriffs groß.”

Autor Mark Molyneux, CTO Cohesity
Mark Molyneux ist EMEA CTO bei Cohesity (Website). Er besitzt mehr als 25 Jahre Erfahrung in leitenden Funktionen führender IT-Unternehmen und Fortune-500-Finanzinstitute. Bevor er zu Cohesity kam, war er als UK Business Development CTO bei Dell Technologies tätig und war zuständig für die Bereiche Hybrid- und Multi-Cloud in Großbritannien. Er kam 2019 zu Dell Technologies, nachdem er mehr als zwölf Jahre bei der Barclays Bank als Director of Group Storage, Virtualisation and Public Cloud tätig war.
Daher müssen sie zuerst analysieren, wie sich der Angriff manifestiert und welche Lücken er ausgenutzt hat. Nach der Forensik sind die Schwachstellen zu schließen und die Schutzmaßnahmen auf Basis der neuen Erkenntnisse zu verbessern. Dann müssen alle bösartigen Artefakte aus der Umgebung entfernt werden. Erst danach dürfen IT-Teams die wiederhergestellten Systeme in Betrieb nehmen.

Das ist jedoch einfacher gesagt als getan. Viele Finanzunternehmen verfügen zwar über unterschiedliche Securitylösungen und -prozesse. Aber es hapert oft an ihrer Integration und Operationalisierung. Nur mit einem umfassenden und einheitlichen Ansatz können sie ihre Widerstandsfähigkeit erhöhen. Dies erfordert einen besseren Kontext von Daten und Dateien für die vorhandenen Sicherheitslösungen sowie das Zusammenführen traditioneller organisatorischer und technologischer IT-Silos.

Eine hohe Cyberresilienz benötigt eine Gesamtstrategie aus den richtigen Fachkräften in ausreichender Anzahl und den richtigen Systemen.”

Und dafür braucht es das richtige Bewusstsein für eine ganzheitliche Betrachtung der Cyberresilienz.

Daten im Zentrum

Das bedeutet konkret:

Unternehmen sollten eine datenzentrierte Strategie entwickeln.”

Schließlich basieren sämtliche Geschäftsprozesse auf Daten, welche die Angreifer stehlen, verschlüsseln oder löschen wollen. Nur wenn Organisationen ihre Daten aus allen relevanten Server- und Speichersystemen zusammenführen, können sie ein hohes Maß an Resilienz erreichen.

Durch eine einheitliche und übersichtiche Daten-Infrastruktur gewährleisten sie die erforderlichen Funktionen für Governance, Erkennung, Reaktion, Wiederherstellung und Forensik.”

Dies liegt neben der erhöhten Transparenz auch an der Möglichkeit, Prozesse zu automatisieren und zu rationalisieren. So können sie zum Beispiel bei kompromittierten Systemen anhand von Snapshots Zeitverläufe von Vorfällen nachstellen, um sie retrospektiv auf Indicators of Compromise (IoC) zu untersuchen.

Zusätzlich beseitigen sie Silos. Dann können alle Beteiligten auf die relevanten Daten zugreifen und abteilungs- sowie unternehmensübergreifend auf der gleichen Informationsbasis zusammenarbeiten.

Ob Cloud-basierte, virtuelle, lokale oder hybride Systeme: Unterschiedliche Workloads können mit denselben Teams und Werkzeugen bearbeitet werden.”

Dies erfordert jedoch eine intensive Abstimmung unter den Mitarbeitern und eine definierte Aufteilung der Veranwortlichkeiten zwischen den IT- und Security-Teams.

Neben der Speicheroptimierung wird auch eine umfassendere Suche und Nutzung der Daten durch KI und andere Tools ermöglicht.”

Denn gerade angesichts zunehmend KI-basierter Angriffe müssen Finanzunternehmen mit Hilfe von KI-gestützen Securitylösungen gegensteuern. Diese untersuchen zum Beispiel den Backup-Prozess auf Hinweise für Abweichungen von der Norm und damit mögliche Angriffe. In diesem Fall wird ein Alarm an übergelagerte Security Information Management Systeme weitergegeben, um den Angriff frühzeitig zu erkennen und einzudämmen.

Optimierte Cyberresilienz

Auf Basis der entwickelten Strategie sind geeignete datenzentrierte Plattformen einzuführen, die alle Umgebungen unterstützen. Sobald sie in die Security-Prozesse integriert sind, verbessert sich die Cyberresilienz durch eine höhere Effektivität von Reaktion und Wiederherstellung. Dann bieten sie einen ganzheitlichen Einblick in die Sicherheitslage und überprüfen die Integrität von Backups.

Moderne hyperkonvergente Filesysteme arbeiten dabei in einem hochausfallsicheren Cluster. Die Daten werden automatisch lokal und während des Transits verschlüsselt sowie der Zugriff auf die Daten streng reglementiert. Auf einer Zero-Trust-Architektur lassen sich verschiedene Services starten, die alle über eine Konsole gesteuert werden.

Zusätzlich lassen sich die Produktionsserver klonen. Dies erleichtert neben der Wiederherstellung auch die Simulation von Sicherheitsvorfällen und Angriffen, Penetrationstests sowie Schwachstellenscans.”

Datenklone ermöglichen außerdem robuste Security-Tests und die Entwicklung von Anwendungen mit Hilfe von möglichst praxisnahen Datensätzen. Ein datenzentrierter Ansatz optimiert damit nicht nur die Cyberresilienz, sondern auch Disaster Recovery, klassische Cybersicherheit und das Data Management. Er bringt auch die verschiedenen IT- und Security-Teams näher zusammen.

Natürlich gewährleistet er keine hundertprozentige Sicherheit, aber Finanzunternehmen können damit Angriffe in ihren Umgebungen deutlich schneller erkennen und den Schaden minimieren.”

Mark Molyneux, Cohesity

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert