Marcus Beyer ist Security Awareness Officer bei der Swisscom und wohl einer der führenden Köpfe im DACH-Raum, wenn es um die menschlichen Aspekte von Cybersecurity geht.
Bei Österreichs größtem IT-Management-Treffpunkt, dem Confare #CIOSUMMIT,
dürfen wir ihn als Speaker begrüßen!
Bei der Recherche für das kommende Confare #Factsheet zum Thema Cyberresilienz, das wir in Zusammenarbeit mit den Cybersecurity-Profis von Vectra AI gestalten, lag es nahe, auch Marcus Beyer nach seinen Einschätzungen zu fragen.
Marcus Beyer, auf welche Typen von Angriffen muss man sich in der IT einstellen?
Die Angriffe werden heute immer spezieller, gezielter und schwerer zu erkennen. Gerade der Einsatz von AI/KI auf Seiten der Angreifer macht es den Unternehmen immer schwerer, die Angriffe zu erkennen und sich in ausreichendem Maße zu rüsten. Bereits heute schon brauchen Unternehmen oft mehr als 260 Tage, um Angriffe auf die IT-Infrastruktur zu erkennen. Dazu gibt es eine Vielzahl an Analysen und Studien, die das bestätigen. Ransomware-Angriffe bzw. digitale Einbrüche und das Stehlen sensibler Daten sind wohl derzeit die Nummer 1 der Angriffs-Szenarien. Aber auch Sabotage rückt – gerade auch bei kritischen Infrastrukturen – immer mehr in den Fokus. Und nichts kann die Wirtschaft und die Gesellschaft härter treffen als ein flächendeckender Stromausfall oder der Ausfall der Betriebssteuerungen. OT ist hier ein sehr sensibles Angriffsziel, IOT und “smarte Geräte” sind auch ein oft vernachlässigtes Risiko.
Wo sind Unternehmen besonders angreifbar? Worauf sollte man sein Augenmerk lenken?
Der Angriffsvektor Nummer 1 ist und bleibt der Mitarbeitende. Ob Phishing-Mails oder Social Engineering Angriffe – oft obliegt dem Mitarbeitenden der Schritt ins Ungemach. Es muss fast immer eine Aktion oder Handlung vorausgehen, bevor ein Angriff starten kann. Der unbedachte Klick auf einen Link, der Download von infizierten Daten und Dokumenten, die Herausgabe von Anmeldeinformationen wie Benutzername und Passwort – hier braucht es viel mehr Aufklärungsarbeit und gezielte Trainings.
Was sind die besonderen Qualitäten und Methoden von modernen Hackern und Ransomware-Angriffen?
Eben – KI/AI werden eine stärkere Rolle spielen. Mitdenkende Angriffssysteme werden es uns zukünftig viel schwerer machen, Angriffe rechtzeitig und frühzeitig zu erkennen. Und auch Social Engineering Angriffe werden hier weiter zunehmen und an Bedeutung gewinnen – mit KI/AI werden Deep-Fakes – also zum Beispiel der Anruf des CEO mit seiner Stimme – nur noch schwer identifizierbar werden. Aber auch das Thema Desinformationen wird weiter als Angriffsvektor seinen Weg finden.
Was ist der Unterschied zwischen “Cybersecurity” und “Cyberresilienz”?
Cybersecurity ist der Schutz vor Angreifern, Cyberresilienz ist die Belastbarkeit einer Organisation, mit Angriffen, Schäden und den Folgen gut und mit Augenmaß umgehen zu können – und auch in ausreichendem Maße darauf vorbereitet zu sein. Denn dann sind die Schäden nicht mehr so verheerend.
Worauf muss man besonderes Augenmerk richten, um Angriffe frühzeitig zu erkennen?
Zum einen braucht es gut ausgebildete und sensibilisierte Mitarbeitende – das ist das A und O. Zum anderen eine Fehlerkultur in den Organisationen, in der Mitarbeitende den Mut haben, Missstände aufzudecken, Vorfälle schnellstmöglich zu melden und eigenes Fehlverhalten in ausreichendem Maße zu reflektieren. Und ja, auch eine Sanktionierung von Vorfällen in der Organisation gehört dazu. Dafür brauchts aber die Leitplanken in Form von verstehbaren und gelebten Policies und Weisungen – und da hapert es ja schon in vielen Organisationen. Zum anderen braucht es natürlich auch die technischen Schutzmaßnahmen und ein vernünftiges Frühwarnsystem in Form von Monitoring in Security Operation Centern und gut ausgebildete Spezialisten in CSIRT-Teams.
Welche organisatorischen Maßnahmen braucht es, um Angriffe zu erkennen?
Testen, testen, testen – das ist ein Mantra, um auf Angriffe vorbereitet zu sein. Red Teaming Aktivitäten helfen der Organisation, eben eine Cybersecurity-Resilienz zu entwickeln und auszubauen, permanente und geplante Penetrationstests erkennen frühzeitig – hoffentlich – Sicherheitslücken, damit sich Organisationen besser schützen können und schneller sind als die Angreifer. Gerade in agilen Settings ist es immer ein hilfreicher Schritt, Securityrollen wie die eines Security Champion in einem agilen Team als Ansprechpartner und waches Auge zu etablieren. Zudem nutzen mittlerweile viele Unternehmen – auch wir – das Engagement und Knowhow der Security Community ausserhalb der Unternehmung und bauen Bug Bounty Programme zur Meldung von Schwachstellen oder Fehleranfälligkeiten von Systemen auf. Eine sehr effektive Massnahme. Und auch Krisenstabsübungen für Cybervorfälle helfen, in besonderen Lagen handlungsfähig zu bleiben und die richtigen Schritte einzuleiten.
Welche Prozesse und Werkzeuge sind entscheidend, um mit wenig Personal die Angriffe abzuwehren?
Ich glaube, die Frage ist falsch gestellt. Hier geht es nicht darum, Ressourcen einzusparen, sondern sie richtig und gezielt einzusetzen. Das A und O sind da wohl die richtigen Spezialisten an Bord zu haben und/oder intensiv in Ausbildung und technische Vorsorge zu investieren. Und evtl. brauchts für den Notfall externe Spezialisten – da sollte man sich vorgängig einen Plan machen. Möglicherweise können auch Versicherer hier bei Ausfällen durch Cyberkriminalität das Ausfallrisiko absichern. Ein Risikomanagement mit Augenmaß und die Verantwortung des Top-Managements sind hier unerlässlich.