Ludwig Eggersdorfer ist Head of Digital Workplace & Datacenter Services bei KGAL GmbH & Co. KG Bei der Recherche für das kommende Confare #Factsheet zum Thema Cyberresilienz, das wir in Zusammenarbeit mit den Cybersecurity-Profis von Vectra AI gestalten, wollen wir von ihm wissen, was entscheidend ist, um in Zeiten wachsender Bedrohung handlungsfähig zu bleiben.
Mit dem Confare Factsheet-Abo stellen Sie sicher, dass Sie unsere aktuellen Publikationen nicht verpassen . Ob Cybersecurity, Enterprise Architecture, Data Driven Business oder Legacy Systeme – hier kommen die IT-Entscheider aus Top-Unternehmen zu Wort und liefern Meinungen, Erfahrungen und Praxistipps.
Auf welche Typen von Angriffen muss man sich in der IT einstellen?
Die größte Bedrohung geht sicher von Ransomware, Phishing und Malware aus. Zum Beispiel Ransomware as a Service ist ein Verkaufsschlager im Darknet. Aber auch Angriffe auf Cloud-Infrastrukturen auf der Suche nach Fehlkonfigurationen nehmen zu.
Wo sind Unternehmen besonders angreifbar? Worauf sollte man sein Augenmerk lenken?
Die größte Angriffsfläche bieten sicherlich Mitarbeiter/innen (Social Hacking, Phishing etc.) und Legacy Systeme. Aus diesem Grund finde ich es wichtig, regelmäßig und aktiv die Awareness der Mitarbeiter/innen zu stärken. Zudem ist natürlich eine zügige Abkehr von Legacy Systemen wichtig. Da dies meistens Zeit kostet, sollte in der Zwischenzeit der Fokus auf ein konsequentes Patching und Vulnerability Scanning sowie konsequente Awarenessmaßnahmen gelegt werden. Diese Aktionen gepaart mit Pen-Tests und Phishing-Tests ergeben ein konsequent zuverlässiges Bild über die Landschaft.
Was sind die besonderen Qualitäten/Methoden moderner Hacker und Ransomware-Angriffe?
Moderne Hacker haben andere Rahmenbedingungen als deren Opfer. Sie haben keine Prozesse, Abstimmungsgremien und eher selten konkurrierende Budgets. Sie können fokussiert auf das eine Ziel hinarbeiten, während die Unternehmens-IT viele Ziele im Blick behalten muss.
Zudem sind sie mit ihren Tools der Security-Industrie immer einen Schritt voraus. Darum können sie agil und zielgerichtet agieren. Auch die Qualität ihrer Arbeit und ihre Expertise zeichnet sie als Spitzenkräfte „am Markt“ aus. Mitarbeiter/innen in einer Unternehmens-IT sind je nach Unternehmen oft Allrounder oder strikt spezialisiert und müssen Fortbildungen mit ihrem Alltag organisieren.
Was ist der Unterschied zwischen “Cybersecurity” und “Cyberresilience” oder IT-Resilienz?
Bei der Cybersecurity versuchen wir Prozesse und Techniken einzusetzen, um unsere Systeme abzusichern und Daten zu schützen. Sie ist eine Disziplin in der Cyberresilience und wird eher als IT-nah betrachtet. Aber die Cyberresilience hilft uns, entsprechend im Vorfeld neben reiner Absicherung auch den Umgang mit einer Attacke, sowie die Auswirkung auf die Business Prozesse zu klären. Cyberresilience ist eine ganz andere Herangehensweise und bezieht das ganze Unternehmen mit ein.
Worauf muss man besonderes Augenmerk richten, um Angriffe frühzeitig zu erkennen?
Auf Anomalien im Netzwerk oder bei der Verwendung von normalen und privilegierten Konten. Ein entsprechendes Monitoring für das Netzwerk und die Aktivitäten, sowie IAM/PAM hilft frühzeitig den richtigen Blick auf das aktuelle Geschehen zu haben.
Welche organisatorischen Maßnahmen braucht es, um Angriffe zu erkennen?
Ein angemessenes und anwendbares Information Security Management System (ISMS) bildet die Basis für maßgeschneiderte Policies. Auf dieser Basis kann die richtige Balance zwischen Security-Governance und Security Operations Prozessen hergestellt werden. Denn nur wenn diese Vorkehrungen gelebt und nicht bloß dokumentiert werden, ist eine Organisation resilient.
Welche Prozesse und Werkzeuge sind entscheidend, um mit wenig Personal die Angriffe abzuwehren?
Es ist wichtig, im Vorfeld seine kritischen Punkte zu kennen und wie man damit umgeht. Eine richtig implementierte Cyberresilience, spart Personal. Denn im Fall eines Notfalls ist klar was zu tun ist und wer zur Problemlösung benötigt wird. Häufig braucht man viel Personal, weil nicht klar ist, was betroffen ist oder wie mit einem Angriff umzugehen ist. Durch die verschiedenen Cyberresilience Prozesse wird Handlungsfähigkeit, auch mit wenig Personal, sichergestellt. Darüber hinaus ist ein durchdachtes Monitoring mit Alarmierung und die Automatisierung im Bereich von „detection & response“ ein entscheidendes Element.