Expertenkommentar aus dem RadarServices Security Operations Centre – Asif Safdary, Security Analyst, im Interview

Am 12. Mai 2018 ist genau ein Jahr seit den WannaCry-Angriffen auf Unternehmen vergangen. Was hat sich getan? Welche Maßnahmen haben Unternehmen – auch die, die nicht betroffen waren –  gesetzt, um künftig Angriffe zu vermeiden?

Die finanziellen Auswirkungen des Angriffs sind immer noch nicht abschätzbar, Experten vermuten aber finanzielle Schäden von 450 Mio. USD aufwärts. Getan hat sich aber wenig. Auch wenn viel Geld und Aufwand in IT-Maßnahmen gesteckt wird.

Waren früher vor allem Banken bevorzugt Opfer von Cyberangriffen, so nehmen wir seit WannaCry verstärkt große Angriffe auf Unternehmen in den Bereichen Infrastruktur, Gesundheitswesen, Produktion, Öl, Gas und Transport wahr.

Es reicht, wenn eine Person auf ein Phishingmail hereinfällt, wenn nur ein PC nicht gepatcht worden ist.

Cybersecurity muss ganz oben auf der Agenda von Vorständen und Geschäftsführern. Nicht nur Mitarbeiter sollten geschult und sensibilisiert werden, um ihr Unternehmen zu schützen. Auch sämtliche Technologien sowie IT-Infrastrukturen, die im Einsatz sind, sollten gesichert werden. Dafür müssen entsprechende Tools eingesetzt werden, um Datenströme zu analysieren, Log-Daten zu sammeln und sämtliche Informationen entsprechend zusammenzuführen, auszuwerten und Gefahren mit einem modernen Sicherheitssystem aufzuspüren.

Die Sammlung und Analyse von Logs aus verschiedenen Quellen in einem Netzwerk (Server, Clients, Netzwerkgeräte, Firewalls, Anwendungen, etc.) stellt Informationen über sicherheitsrelevante Ereignisse dar. So stellt RadarServices aus Millionen von Ereignissen effektiv und effizient diejenigen heraus, welche auf einen Missbrauch der IT und Applikationen, auf interne oder externe Angriffe oder auf andere Sicherheitsbedrohungen hinweisen.

Unternehmen müssen in ihre IT-Sicherheit investieren, denn auch Cyberangreifer investieren sowohl Zeit als auch Geld in ihre Vorbereitung und Umsetzung von Attacken. Hinter hochkomplexen Angriffen wie zum Beispiel WannaCry stehen hohe Investitionen. Auf der anderen Seite bieten angegriffene Organisationen aber auch zu viel Angriffsfläche: Solange alte Betriebssysteme in modernen Unternehmen eingesetzt werden und nicht laufend gepatcht werden, sind sie „leichte Beute“ und der Startpunkt für hohen potentiellen Schaden.

Denn Cyberattacken haben sich mittlerweile zu einem eigenen Geschäftsfeld entwickelt, die schon lange nicht mehr rein auf PCs und Laptop limitiert sind. Durch IoT und Industrial Technology sind die Angriffsflächen nochmals größer geworden.

Vorsicht ist besser als Nachsicht

Das gilt nicht nur für den privaten Alltag, sondern auch für die Daten- und Technologiesicherheit von Unternehmen. Blickt man ein paar Jahre zurück, waren Unternehmensdaten für Angreifer interessant, die verkauft werden konnten oder direkten Zugang zu Konten und Geld gewährten. Die Strategien änderten sich mit den Möglichkeiten, die zur Verfügung stehen. Ransomware ist einer der international am schnellsten wachsenden Angriffsarten.

Besser Angriffe auf Unternehmensdaten im Vorhinein erst gar nicht zulassen

Umfassende Vernetzung von IT-Systemen führt zu ständig neuen Einfallstoren für Angriffe von innen und außen. Ein kontinuierliches und zentrales IT Security Monitoring der IT Infrastruktur und ihrer Komponenten ist unabdingbar.

RadarServices überwacht laufend die gesamte IT- und OT-Landschaft und Applikationen und bewertet alle Ereignisdaten, sucht gezielt nach Schwachstellen in Systemen und deren Konfiguration, analysiert intelligent den Netzwerkverkehr und prüft Server auf Veränderungen und unerlaubte Software. So ist es auch zu erklären, dass kein Kunde von RadarServices durch WannCry Schäden erlitt: Bereits im März 2017 gab es einen Patch, um die Sicherheitslücke zu schließen. Das Team im Security Operations Centre informierte alle Kunden und überprüfte danach, ob überall tatsächlich gepatcht wurde. Als WannaCry am 12. Mai 2017, einem Freitag, dann ausgebroch, scannten die Security Analysten zusätzlich adhoc und lieferten damit einen Extra-Service für alle Kunden. Das Resultat: Alle Kunden von RadarServices blieben verschont.

So ist ein neu zu etablierendes Security Operation Center, als Solutions oder als Managed Service von RadarServices, dank jahrelanger Erfahrung in kürzester Zeit operativ. Dort wird nach bewährten Prinzipien und basierend auf modernster, in Europa entwickelter Technologie gearbeitet.

Dank dem Einsatz hochmoderner Sicherheitstechnologien basierend auf Machine Learning und der Advanced Correlation Engine werden Bedrohungen schnell erkannt und Abläufe für die Risikobehebung in Unternehmen strukturiert.