Die Statistiken über den Erfolg von Advanced Persistent Threats (APT) zeichnen ein sehr düsteres Bild. Die zunehmende Geschwindigkeit, mit der neue und professioneller Angriffe auftauchen machen die Bekämpfung der Cyberkriminalität zu einer ständigen Herausforderung für die Institutionen. Leider vergeht in diesen Tagen keine Woche, in der wir nicht von einem neune erfolgreichen Angriff miteinhergehnder Datenschutzverletzung erfahren. Zu sagen, dass es schwierig ist, mit den sich entwickelnden Techniken und fortschrittlichen Bedrohungen der Angreifer Schritt zu halten, ist eine Untertreibung. Denn neben den klassischen Dynamit-Angriffen kommen immer Angriffe aus verschiedenen Richtungen und sind gezielt auf bestimmte Branchenbereiche, Technologien und natürlich auf den Benutzer abgestimmt. Gerade beim Wandel zur digitalen Infrastruktur ergeben sich manigfaltige Möglichkeiten einen erfolgreichen Angriff zu fahren.

Wieso sind so viele Angriffe erfolgreich und richten einen so großen Schaden an? Eine der Ursachen ist, die Angriffe sind nicht nur komplexer, sondern die Angreifer nutzen auch immer mehr Software-Schwachstellen aus. Bei den ausgenutzten Schwachstellen, sind manche Schwachstellen nur dem Angreifer bekannt. Viele ausgenutzte Schwachstellen sind jedoch der Allgemeinheit bekannt, wurden aber vom Softwarehersteller noch nicht behoben oder durch einfehlendes Patch- und Änderungsmanagement bzw. fehlendes Asset-Management durch die Institution nicht geschlossen. Hinzu kommt, dass neue Angriffsmethoden und Malware auf dem Schwarzmarkt angeboten werden und mit jeder Iteration wird die Variante und genutzte Kampange rafinierter. Man könnte geneigt sein zusagen, dass der ständige Verbesserungsprozess auch bei den Angreifern immer stärker gelebt wird. Was bedeutet dies? Aus der der Sicht der Verteidigung ist das bisherige Katz-und-Maus-Spiel zwischen Angreifern und Verteidigung leider nicht mehr ein ausgeglichener Wettbewerb. Denn die Angreifer haben nicht nur die Nase vorn, sondern auch einen so großen Vorsprung, dass die meisten Sicherheitsteams in den Institutionen die Vorstellung aufgegeben haben, einen Angriff verhindern zu können und stattdessen Investitionen in die schnelle Erkennung von Angriffen und die Festlegung von Reaktionsplänen für potentielle Zwischenfälle tätigen, anstatt zu versuchen, sie zu stoppen. Und warum? Weil herkömmliche Sicherheitsangebote aus einer Reihe hochgradig unzusammenhängender Technologien bestehen, die eine Erkennung von Angriffen erst dann ermöglichen, wenn sie sich bereits im Netzwerk oder auf dem Endpunkt befinden.

Institutionen können das Problem der ständigen Gefahr eines erfolgreichen Angriffes nicht dadurch lösen, dass immer mehr Mitarbeitende für die Steuerung einer veralteten Architektur abgestellt oder die inhärenten Lücken zwischen den isolierten Technologien ausgeglichen oder durch Lift and Shift die Risiken an einen Dienstleister ausgelagert werden. Stattdessen sollten Institutionen Technologien der sogenannten next Generation in Betracht ziehen. Denn diese integrieren bei sorgfältiger Umsetzung die Sicherheit nativ und ermöglichen es, bei Bedarf automatisiert Angreifer daran zu hindern einen erfolgreichen Angriff auf die wirklichen Institutions-kritischen Services durchzuführen. Was ist unbedingt bei der Inbetriebnahme von next Generation Technologien zu beachten? Angesichts des schieren Umfangs und der Komplexität von Bedrohungen ist es wichtig,

• ein aktives Assetmanagement zu etablieren,
• eine umfängliche Identity Access Governance (IAG) zu etablieren,
• die Automatisierung durch Bildung von Building-Blocks zu erleichtern,
• eine schutzbedarfsgerechte Service-orientierte Netz- und Anwendungsinfrastruktur zu etablieren und
• umfänglich Informationen zu erheben, um die Erkennung von Anomalien zu ermöglichen und zu bechleunigen.

Trotz oder gerade wegen der wachsenden Herausforderungen im Bereich der Cybersicherheit, denen sich alle Institutionen gegenüberstehen, dürfen diese nicht die Digitalisierung der Infrastruktur aufgeben. Veraltete Sicherheitsansätze, die sich nur auf die Erkennung und Beseitigung von Sicherheitslücken konzentrieren oder sich auf eine Reihe unzusammenhängender und sich häufig gegenseitig behindernder Tools stützen, stellen ein erhebliches tatsächliches Risiko dar. Jetzt könnte von den Verantwortlichen für die Informationssicherheit eingeworfen werden, alle unsere Compliance-Anforderungen sind grün oder ein bisschen gelb aber definitiv nicht rot. Warum stellt also der bisherige Sicherheitsansatz ein Risiko für die Institution da? Hierauf muss mit großen Bedauern wie folgt geantwortet werden. Institutionen, welche nach dem alten Sicherheitsansätzen handeln berücksichtigen nicht, wie Angreifer denken und Cyberangriffe von vornherein verhindert werden könnten bzw. so erschwert werden, dass ein Angreifer auf Grund der hohen Hürden seine Aktionen aus wirtschaftlichen Gründen abbricht.

Um aktuelle Cyberangriffe zu verhindern, ist grundsätzlich ein neuer Ansatz erforderlich und muss der Tatsache Rechnung tragen, dass die heutigen Angriffe nicht nur multidimensionaler Natur sind, sondern die Angriffe auch immer ausgefeiltere Techniken verwenden. In dem Maße, wie sich Angriffstechniken weiterentwickeln, steigt auch das Risiko eines erfolgreichen Einbruchs. Hand aufs Herz, wir alle wissen, die beste Verteidigung ist nur so stark wie ihr schwächstes Glied. Dies bedeutet, um die heutigen fortschrittlichen Bedrohungen stoppen zu können, müssen Institutionen die Ökonomie der aktuellen Realität auf den Kopf stellen, indem Bedrohungen an mehreren Stellen in jedem Schritt des Lebenszyklus von Cyberangriffen verhindert und sich nicht mehr auf das alte Perimeter verlassen wird. Dazu muss eine Architektur geschaffen werden, die Angriffe an jedem Punkt um ein Netzwerk herum und innerhalb einer Infrastruktur erkennt, Lücken schließt und das entstehen von Lücken verhindern kann. Zusätzlich bedingt dies, dass das bisher gelebte statische Risikomanagement in ein gelebtes dynamisches Risikomanagement überführt wird.

Welche Sicherheitsframeworks und Best-Practises können bei der Neugestaltung der Sicherheitsarchitektur helfen?

• Implementierung des Zero-Trust-Konzeptes (siehe auch hier)
• Implementierung des SASE Frameworks
• Etablierung einer DevSecOps Kultur
• Unterbindung der Installation von Malware einschließlich unbekannter und polymorpher Malware
• Blockieren der verschiedenen Techniken, die Angreifer anwenden müssen, um eine Softwareschwachstelle auszunutzen
• Genaue Überwachung und Kontrolle des Datenverkehrs innerhalb der Institution zum Schutz vor ungehinderten Bewegungen eines Angreifers, wenn legitime Identitäten gekapert werden.

Fazit

Traditionell wurde die IT-Sicherheit von den meisten Institutionen als Kostenstelle betrachtet, die kontinuierliche Ausgaben erfordert, die Rendite schmälert und keine Einnahmen bringt. Bedingt durch die bisherige Ermittlung eines Return on Invest wurde dem Thema Cybersecurity oder übergreifend Sicherheit nur die gerade so unbedingt notwendige Aufmerksamkeit gewidmet. Die eingesetzten Ressourcen beschränkten sich oft auf das absolute Minimum, um gesetzliche Anforderungen oder vorgeschriebene Zertifizierungen zu erfüllen. Das IT-Sicherheitspersonal einer Institution wurde oder wird oft von Projekten abgezogen, die das Kerngeschäft der Institution unterstützen, um in den "dunklen Ecken und Kellern" sich mit tausenden von Fehlalarmen rumzuärgern, alte Software zu aktualisieren und den Kopf für die unvermeidlichen Cyber-Vorfälle hinzuhalten. Wobei in den meisten Fällen, die Cyber-Vorfälle in der Regel durch größere organisatorische Probleme innerhalb der Institution oder bei der Dienstleistersteuerung verursacht werden. Diese traurige Geschichte ist für eine schockierende Anzahl von Institutionen noch immer die tägliche Realität und trägt so garantiert zum Misserfolg einer integrativen und Risiko-adaptiven Prävention gegen Sicherheitsvorfälle bei.

Die Annahme einer Präventionsphilosophie hilft bei der Entwicklung von Strategien für bessere Sicherheit und maximiert den Wert der Maßnahmen und Ressourcen einer Institution. Die Betrachtung der Cybersicherheit als Geschäftsfaktor hilft dabei, eine angemessene Ressourcenzuweisung vorzunehmen, indem sie der Institution auf der Grundlage neuer Chancen, die ohne das von einer Präventionsarchitektur gebotene Maß an Vertrauen nicht verfügbar gewesen wären, einen Mehrwert bietet. Diesen Pfad könnte zum Beispiel mit dem Einsatz der Return on Security Investment (ROSI) Kennzahlen als Entscheidungshilfe für mehr effektiver Cybersecurity beschritten werden.