Page 39 - 2021_01_DIEMACHER_web
P. 39

Wir machen regelmäßig
                                                         die Erfahrung, dass
                                                         Angriffe mehrere Monate
                                                         gar nicht auffallen.
                                                         Ullrich Fleck
                                                         Geschäftsführer, SEC Consult







            artige Dateien erst gar nicht den Weg zum Emp-
            fänger finden. Hier wird dann oftmals veraltete
            Software ausgenutzt, um sich Zugang zu verschaf-
            fen. Aber natürlich spielt dabei auch wieder der
            Faktor Mensch eine große Rolle, der die Datei
            letztendlich öffnet.

            Ist der Mensch die größere Schwachstelle
            als die technische Komponente?

            PRINZ_Es ist die Kombination. Menschen wer-
            den immer Fehler machen – egal wie gut sie
            informiert sind. Im Idealfall wird daher der An-
            griffsversuch bereits durch technische Gegen-
            maßnahmen  abgewehrt, wie  Antivirensoftware,
            Endpoint-Protections und Anomalie-Erkennun-  PRINZ_Man muss also immer das Dreigespann
            gen im System. Wenn man wirklich ganz gezielt   „People, Process und Technology“ im Blick haben.
            in das  Visier von hochprofessionellen Hackern   Ein Unternehmen muss die technischen Vorkeh-
            gerät, werden aber wahrscheinlich auch die bes-  rungen getroffen haben, um nachvollziehen zu
            ten Schutzmechanismen nicht greifen. Man darf   können, was genau passiert ist: Ist nur ein Rech-
            nicht vergessen: Als  Verteidiger muss man alle   ner  betroffen  oder  das  gesamte Unternehmen?
            möglichen Sicherheitslücken im Blick haben und   Wurden Daten gestohlen? Wurde etwas manipu-
            kontrollieren können, während die Angreifer nur   liert? Und neben diesen technischen Aspekten ist
            einen einzigen Weg hinein finden müssen. Dieses   es dann ganz wichtig, einen Krisenmanagement-
            Ungleichgewicht macht es für die Angreifer na-  plan zu haben. Bei größeren Unternehmen kann
            türlich wesentlich einfacher. Aber vielschichtige   so ein Schaden in die Millionenhöhe gehen. Die
            Vorkehrungsmaßnahmen sorgen dafür, dass zu-  Organisation muss wissen: Wen rufe ich jetzt an?
            mindest eine überwältigende Mehrzahl der An-  Wie  soll  ich  mich  verhalten,  um  den  Schaden
            griffe abgewehrt werden kann.               zu begrenzen? Und was darf ich auf keinen Fall
                                                        mehr machen? Da braucht man dann unbedingt
            Was sind die wichtigsten Schritte, die      eine Expertentruppe parat, die möglichst schnell
            sofort eingeleitet werden müssen, wenn      den Normalzustand wiederherstellen kann. Wenn
            man Opfer eines Cyberangriffs wurde?        man sich erst Gedanken über die Lösung macht,
            Wie sehen die konkreten Erstmaßnahmen       nachdem man bereits gehackt wurde, verliert man
            aus?                                        wertvolle Zeit.

            FLECK_Zuerst muss man den Angriff überhaupt   Ein gutes Drittel der österreichischen
            einmal bemerken. Neben den offensichtlichen   Unternehmen kann den finanziellen
            Methoden wie der Ransomware, mit der Hacker   Schaden nach einem Cyberangriff nicht
            die  Systeme  verschlüsseln und darauf abzielen,   beziffern. Wie erklären Sie sich das?
            dass der Gehackte den Angriff mitbekommt,
            um  Lösegeld  zu  verlangen,  gibt es auch  die     PRINZ_Weil es enorm schwierig ist, den Finger
            Kategorie der Advanced-Persistant-Threats. Die   auf eine konkrete Zahl zu legen. So ein Angriff
            APTs wollen ganz bewusst nicht auffallen. Sie   zieht  einen  enormen Rattenschwanz nach  sich.
            finden extrem langsam und über einen längeren   Eine Zeit lang muss man interne und wahrschein-
            Zeitraum statt, um sukzessive Daten abzugreifen.   lich auch externe Mitarbeiter auf den Vorfall ab-
            Dabei versuchen die Hacker auch, ihre Spuren   stellen und kann dadurch dem Tagesgeschäft nur
            aktiv zu verwischen. In der Praxis machen wir   eingeschränkt nachgehen.  Wenn man beispiels-
            regelmäßig die Erfahrung, dass solche Angriffe   weise als Aktiengesellschaft seine Zahlen nicht
            mehrere Monate gar nicht auffallen. Es gibt Stu-  rechtzeitig ausschicken kann, weil die Daten ver-
            dien, die sogar von bis zu 226 Tagen im Schnitt   schlüsselt sind, hat das einen großen Einfluss auf
            sprechen. Und dann wird die Ursachenforschung   den Unternehmenswert. Das lässt sich nicht so
            selbst für den IT-Forensiker schwierig.     einfach beziffern.


                                                                                            39
   34   35   36   37   38   39   40   41   42   43   44