“Cybercrime ist Big Business!”, meint Tom Schmidt von EY Switzerland. Es braucht ein Zusammenspiel von Menschen, Technolgie und Prozessen um der umfangreichen Bedrohungslage gerecht zu werden.
Persönlich treffen Sie die Cybersecurity Experten von EY Switzerland rund um Tom Schmidt und Jan Leitermann beim Confare CIOSUMMIT Zürich, mit dem Swiss CIOWARD der wichtigste Treffpunkt für IT-Manager in der Schweiz.
Wo sind Unternehmen besonders angreifbar? Worauf sollte man sein Augenmerk lenken?
Unternehmen sind besonders über ihre Mitarbeitenden und über allfällige Lieferanten und Geschäftspartner angreifbar. Die mit Abstand meisten erfolgreichen Angriffe mit Malware (inklusive Ransomware) erfolgen über die Arbeitsplatzrechner (PCs, Notebooks) der Mitarbeitenden in einem Unternehmen. Dazu gehörten Phishing E-Mails mit Malware verseuchten Attachments oder Links, welche auf Webseiten führen, über welche entsprechende Malware auf die Arbeitsplatzrechner heruntergeladen und dort ausgeführt werden. Nach erfolgreicher Infizierung des Arbeitsplatzrechners verbreitet sich die Malware dann im internen Netzwerk des Unternehmens. Über die letzten zwei Jahre haben wir auch eine grosse Zunahme erfolgreicher Cyberangriffe über Lieferanten und Geschäftspartner von Unternehmen wahrgenommen. Dabei werden beispielsweise von Cyber-Kriminellen Software-Updates von Software-Lieferanten mit Malware bestückt und diese verseuchten Softwarepakete werden dann an die Kunden des Software-Lieferanten ausgerollt. Auf diese Weise erreichen die Cyber-Angreifer mit einem einzigen erfolgreichen Angriff auf den Software-Lieferanten Tausende von Unternehmen, welche durch diesen Angriff Malware verseuchte Software in ihrem Netzwerk installiert haben und durch die Angreifer entsprechend geschädigt werden können. Das Augenmerk sollte somit auf die zeitnahe Erkennung von Malware auf Endpunkten (Arbeitsplatzrechner und Server) liegen, um möglichst umgehend handeln zu können. Eine hundertprozentige Verhinderung eines erfolgreichen Angriffs ist nicht möglich, deshalb steht das schnelle Erkennen im Fokus.
Was sind die besonderen Qualitäten/Methoden moderner Hacker und Ransomware Angriffe?
Cyber-Kriminalität ist heutzutage ein «Big Business». Mit Cyber-Angriffen lässt sich sehr viel Geld mit einem relativ kleinen Risiko von erfolgreicher Strafverfolgung beschaffen. Schätzungen für das Jahr 2020 belaufen sich auf einen Umsatz von ca. 20 Milliarden USD, welcher mit Ransomware erzielt wurde (im Vergleich zu rund 11 Milliarden USD im Jahr 2019). Dementsprechend professionell sind cyberkriminelle Gruppen heutzutage organisiert. Es gibt zahlreiche Akteure in der «Ransomware-Industrie», welche sich nur auf einen Teilaspekt / einen Teilprozess der gesamten Ransomware-Angriffskette spezialisiert haben und dadurch mit anderen spezialisierten Gruppen zusammenarbeiten. So ist beispielsweise die eine Gruppe auf den initialen Zugriff auf ein Unternehmensnetzwerk spezialisiert, eine zweite Gruppe verteilt dann die Ransomware im internen Netzwerk des Unternehmens und verschlüsselt die Unternehmensdaten, eine dritte Gruppe stielt und verkauft sensitive Unternehmensdaten im Darknet und eine vierte Gruppe ist zuständig für das Eintreiben des Lösegelds. Die hohe Spezialisierung führt zu einer zusätzlichen Professionalisierung der Angriffstechniken und verwendeten Methoden der Angreifer.
Welche Massnahmen braucht es, um Angriffe zu erkennen?
Umfassende Cybersecurity-Massnahmen sollten immer die Aspekte «People», «Process» und «Technology» berücksichtigen. Das gilt insbesondere auch bezüglich Ransomware. Technische Cybersecurity-Massnahmen sind ein sehr wichtiges Element im Kampf gegen Cyber-Kriminalität, aber mit Technologie alleine lässt sich die Problematik nicht in den Griff bekommen. Vor allem der Faktor «Mensch» trägt viel dazu bei, wie gut ein Unternehmen gegen erfolgreiche Cyber-Angriffe geschützt ist. Konstante Schulungs- und Awareness-Massnahmen für die Mitarbeitenden eines Unternehmens sind sehr wichtige Faktoren, um beispielsweise die Gefahr von Phishing und Malware E-Mails signifikant reduzieren zu können. Jeder Mitarbeitende, der ein Attachment oder ein Link in einem Phishing E-Mail öffnet oder anklickt, ist einer zu viel. Eng verknüpft mit dem Faktor «Mensch» ist auch der Faktor «Prozesse». Solche Prozesse können beispielsweise das Melden von durch Mitarbeitende erkannte Phishing E-Mails an eine zentrale Sicherheits-Stelle sein, damit diese entsprechende zusätzliche Massnahmen initiieren kann. Oder Prozesse zur automatischen Reaktion auf erkannte erfolgreiche Cyber-Angriffe, wie beispielsweise die Isolation von Arbeitsplatzrechnern, wenn eine Verseuchung festgestellt wird. Auch Prozesse bezüglich IT Desaster Recovery und Business Continuity Management sind elementar wichtig. Bei den technischen Massnahmen stehen unter anderem Systeme im Vordergrund, welche auch Anomalien im Netzwerkverkehr und/oder auf Endpunkten (Arbeitsplatzrechner und Server) und damit erfolgreiche und bisher allenfalls unbekannte Cyber-Angriffe erkennen können. Dabei handelt es sich beispielsweise um so genannte «EDR» (Endpoint Detection and Response) Systeme- mit Anomalie-Erkennungs-Funktion.