Was Banken und Versicherer im Fall eines Cyberangriffs beachten sollten

Die Gefahren lauern im anonymen Netz, doch die Schäden sind greif- und messbar: Cyberattacken gehören zu den größten Risiken im Finanzsektor. Erst vor wenigen Wochen wurden durch eine Schwachstelle im SWIFT-Zahlungssystem 81 Millionen Dollar erbeutet. Auch andere Branchen sind betroffen, doch Banken sind eines der beliebtesten Ziele der Cyberkriminellen. Im zweiten Halbjahr 2015 stiegen die Advanced Persistent Threat (APT)-Angriffe auf Finanzdienstleister in der EMEA-Region im Vergleich zum ersten Halbjahr um 300 Prozent an – so die Zahlen des Regional Advanced Threat Report for Europe, Middle East and Africa von FireEye.

von Frank Kölmel

Das Verheerende: Viele Organisationen bemerken Angriffe erst nach mehreren Monaten. Bis dahin greifen Hacker unbemerkt auf Kundeninformationen aus dem Netzwerk zu oder erbeuten im Fall von Banken Geld durch gefälschte Transaktionen. Dahinter stehen professionell organisierte und finanzierte Gruppierungen. Ihre Attacken sind genau auf die Opfer zugeschnitten und ihre Taktiken immer besser an die Abwehrmaßnahmen der Unternehmen angepasst. Das kostet Organisationen nicht nur viel Geld, sondern vor allem auch Ansehen, wie eine neue Studie von Vanson Bourne und dem IT-Sicherheitsanbieter FireEye belegt. Geraten persönliche Kundendaten in die Hände von Cyberkriminellen, würde die Mehrheit der Deutschen ihr Vertrauen in das Unternehmen verlieren und es als Kunde verlassen. 61 Prozent würden rechtliche Schritte gegen das Unternehmen einleiten. Auch hier ist die Finanzindustrie besonders betroffen: Unter allen Branchen würden sich drei Viertel der befragten Deutschen am meisten Sorgen machen, wenn ihre Bank von einem Cyberangriff betroffen wäre.

Doch kein Unternehmen kann sich vollständig vor einem Cyberangriff schützen. Dazu kommt, dass viele die Gefahr unterschätzen, im Ernstfall eines Angriffs zunächst strategisch überfordert sind und sich oft nur mit einem Teilaspekt der Situation beschäftigen. Generell muss ein Cyberangriff von zwei Seiten betrachtet werden: Zum einen sind da die faktischen und technologischen Auswirkungen eines Angriffs. Bevor die IT-Abteilung erste Maßnahmen ergreift, ist zu klären: Welche Systeme sind betroffen? Welchen Daten wurden geklaut und in welchem Ausmaß? Jeder Cyberangriff muss zunächst bestätigt und genau analysiert werden. Zum anderen steht hinter einem Angriff nicht nur die Technologie, sondern auch der Faktor Mensch. Und Menschen reagieren emotional. Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Ein Beispiel: Das sofortige Schließen einer Sicherheitslücke, durch die ein Angreifer eingedrungen ist, ist nicht zwingend der richtige Weg. Bemerkt der Hacker, dass er entdeckt wurde, wird er andere Wege nutzen, um an sein Ziel zu gelangen. Oft ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann alle Verbindungen zu kappen. Wer nur Malware – das bloße Werkzeug der Angreifer – beseitigt, sieht nur die Hälfte des Problems.

Als Vorbereitung für den Ernstfall bieten Cybersecurity-Anbieter Schulungen an, die das richtige Vorgehen vermitteln. Folgende Richtlinien bieten einen Überblick über die ersten Schritte, die bei einem erfolgten Cyberangriff zu tun sind.

Schnell handeln, um so viel wie möglich zu retten

Ist ein Hacker einmal erfolgreich in das System eingedrungen, wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Indem er die gesamte Infrastruktur mappt, versucht er die wichtigsten Assets zu definieren und einen Stützpunkt auf allen Zielservern zu etablieren. Die Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops und verbreitet sich tiefer in die Netzwerk-Freigaben hinein. Organisationen müssen so schnell wie möglich mit allen zur Verfügung stehenden Ressourcen arbeiten, um den Schaden so gering wie möglich zu halten.

Alle Aktionen auf ein Ziel ausrichten

Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, braucht es einen Incident Response Plan, der für jede Organisation individuell auszuarbeiten ist und nach den jeweiligen Bedürfnissen priorisiert. Für bestimmte Branchen mag die möglichst schnelle Rückkehr zum Tagesgeschäft vordringlich sein, für andere steht das Identifizieren des Angreifers an oberster Stelle. Auch ein genaues Protokoll über das Ausmaß des Datenverlusts ist notwendig, insbesondere wenn Kundendaten im Spiel sind.

Direkte Kontaktaufnahme zum Angreifer abwägen

Nicht alle Angreifer erwarten eine Reaktion. Manche Angreifer ziehen weiter, wenn ihre Forderungen unbeachtet bleiben, beispielsweise wenn Hacker mit dem Ausnutzen einer bestimmten Schwachstelle hunderte von Unternehmen im Visier hatten. Doch es gibt auch jene, die ungeduldig werden, sollten sie keine Reaktion bekommen. Egal wie, jede Interaktion mit den Cyberkriminellen sollte auf ein Minimum beschränkt und wohldurchdacht sein und juristisch begleitet werden.

Eine Kommunikationsstrategie entwickeln

Das Aufarbeiten eines Cyberangriffs hat viel mit richtiger Kommunikation zu tun: Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen angewiesen. Nach außen ist die Offenlegung des Angriffes an Partner und Kunden Teil der Schadensminderung. Oft fürchten Organisationen nach einem Sicherheitsvorfall Imageschäden. Tatsächlich ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren. Auch dies bestätigt die aktuelle Umfrage von Vanson Bourne. 85 Prozent der Befragten in Deutschland erwarten, von Unternehmen – sofern bei dem Cyberangriff persönliche Daten von Kunden entwendet wurden – binnen 24 Stunden informiert zu werden.

Sicherheitsvorkehrungen erhöhen

Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Cyberkriminelle versuchen werden, in das Netzwerk einzudringen. Die IT-Abteilung muss die Sicherheitsvorkehrungen deshalb so schnell wie möglich erhöhen. Dazu gehört auch die Aufklärung aller beteiligten Ebenen im Unternehmen – fachspezifisch aufbereitet für technische Mitarbeiter, die Rechtsabteilung und das Management. Generell gilt natürlich: Vorsorge ist besser als Nachsorge. Zum Aufrüsten der Technologie gehören deshalb auch Penetrationstests, die dabei helfen, eigene Sicherheitskontrollen zu bewerten, Schwachstellen zu identifizieren und sofort zu beheben.

Nach dem Angriff ist vor dem Angriff

Was Organisationen wissen müssen: Hinter fast jedem Angriff steht ein bestimmtes Ziel. Um Cyberkriminalität erfolgreich an der Wurzel zu bekämpfen, braucht es daher mehr als einen Incident Response-Plan – auch wenn dieser ein wichtiger, erster Schritt zum besseren Schutz des Unternehmens ist. Mithilfe von Threat Intelligence und einem genauen Täter-Profiling können Unternehmen identifizieren, welches Ziel die Hacker verfolgen und an welchen Daten sie interessiert sind. So lässt sich der Kreis potenzieller Angreifer eingrenzen und eventuelle weitere Attacken verhindern. Das Wissen hierfür kommt in der Regel von externen Security-Spezialisten für Threat Intelligence, die Hackergruppierungen weltweit beobachten und damit über die Informationen und das Wissen verfügen, um Attacken zu kontextualisieren. Sie kennen Werkzeuge, Methoden und Ziele der Angreifer genauso wie ihren „Slang“, den kulturellen Hintergrund und Beziehungsgeflechte der verschiedenen Gruppierungen. Um all diese Informationen über eine Vielzahl bekannter Threat-Gruppen zusammenzuführen, braucht es einen intensiven Austausch unter den Security-Analysten. Das gesammelte Know-how fließt letztendlich in Abwehrmaßnahmen ein und ermöglicht die frühe Erkennung beziehungsweise Verhinderung von gezielten Attacken.

Technologie ist für die Bekämpfung von Angriffen und die Schadensminderung eine wichtige Basis, allein jedoch nicht ausreichend. Menschliche Intelligenz hilft dabei, vergangene, gegenwärtige und zukünftige Taktiken, Techniken und Verfahren von vielen Gegnern zu verstehen. So können Unternehmen nicht nur reaktiv agieren, sondern proaktive Sicherheitsmaßnahmen ergreifen.pp