Cyber-Resilienz aus Sicht von Microsoft
Nach den jüngsten Ransomware-Ausbrüchen wollte ich wissen, wie sich in betroffenen Firmen die Einstellung zur Planung und Umsetzung von Maßnahmen geändert hat, die die Cyber-Resilienz verbessern. Daher bat ich das Detection and Response Team von Microsoft, mir von seinen Erfahrungen zu berichten. Dieses Team unterstützt unsere Kunden sowohl proaktiv als auch in Echtzeit dabei, auf Cyber-Angriffe zu reagieren und beeinträchtigte Geschäftsabläufe und Daten wiederherzustellen. Ich habe in diesen Post einige anonymisierte Kundenszenarien aufgenommen, von denen mir das Team erzählt hat und die darauf hindeuten, dass ein Plan für Cyber-Resilienz unerlässlich ist.
Warum Cyber-Resilienz wichtig ist
Organisationen rund um den Globus sind in hohem Maße von Technik abhängig. Zum Ende des ersten Quartals des laufenden Jahres 2017 gab es mehr als 3,7 Milliarden Internet-Nutzer weltweit, und diese Zahl wächst stetig. Mit zunehmender Verbreitung des Internets wächst auch die Angriffsfläche. Die aktuelle Bedrohungslage in puncto Cyber-Sicherheit ist eine ernsthafte Gefahr für Menschen und Vermögenswerte. Daher sollten Organisationen die Balance dabei finden, sowohl den Zugang zu Daten und Internet zu ermöglichen als auch das Risiko zu kontrollieren. Üblicherweise wählen Unternehmen für die Cyber-Sicherheit einen Ansatz, bei dem sie Tools und Technologien implementieren und Mitarbeiter für den Schutz und die Reaktion auf Vorfälle bereitstellen. Dies ist zweifelsohne wichtig. Die Umsetzung von Tools und Technologien für Cyber-Sicherheit dient aber vor allem dem Zweck, die Geschäftskontinuität zu gewährleisten. Unternehmen sollten sich auch auf strategischer Ebene zur Gesamtsituation Gedanken machen, wie sich ihre kritischen Systeme, die IT-Infrastruktur und die Rechenzentren so verstärken lassen, dass sie im Falle menschlichen Versagens und bei Cyber-Bedrohungen, die zu Ausfallzeiten führen, widerstandsfähig bleiben. An diesem Punkt kommt eine Strategie für Cyber-Resilienz ins Spiel: Organisationen müssen eine solche Strategie ausarbeiten und ein zugehöriges Programm umsetzen, das speziell auf ihre geschäftlichen Anforderungen zugeschnitten ist, um bei einem Sicherheitsvorfall die Geschäftskontinuität zu gewährleisten.
In der Studie „State of Cybersecurity and Digital Trust“ von Accenture sagen zwar 75 Prozent der Befragten, sie wären hinsichtlich ihrer Abwehrkraft sehr zuversichtlich. Allerdings geben nur 37 Prozent an, sie hätten Vertrauen in die Fähigkeit ihres Unternehmens, Verstöße aufzudecken. 36 Prozent der Befragten geben an, dass sie der Fähigkeit ihres Unternehmens vertrauen, Unterbrechungen zu minimieren. Laut Gartner belaufen sich die durchschnittlichen Kosten bei Ausfallzeiten auf 5.600 US-Dollar pro Minute – mehr als 300.000 US-Dollar pro Stunde. Menschliches Fehlverhalten führt am häufigsten zu Ausfallzeiten. Einige Studien gelangen zu der Schlussfolgerung, dass menschliches Fehlverhalten für 75 Prozent aller Ausfallzeiten ursächlich ist.
Angesichts der Tatsache, dass Unternehmen mehr denn je von IT abhängig sind, ist Business Continuity and Disaster Response (BCDR) eine wichtige Komponente des gesamten Unternehmens – und kein Problem, das nur IT-Teams betrifft. Jedes Unternehmen muss für den Umgang mit Ausfällen vorbereitet sein, die durch unvorhergesehene Ereignisse verursacht werden. Ein Ausfall kritischer Anwendungen und Dienstleistungen könnte zu einem Produktions- und Betriebsstopp, Einnahmeausfällen und einem Vertrauensverlust der Kunden in das Unternehmen führen. Ein durchdachter, effektiv umgesetzter Cyber-Resilienzplan kann dazu beitragen, dass die Computersysteme, die IT-Infrastruktur und die Rechenzentren von Unternehmen den Auswirkungen von Cyber-Angriffen und von menschlichem Fehlverhalten widerstehen können.
Cyber-Resilienz-Szenarien
Immer wieder hört man von Unternehmen, die Cyber-Angriffe und/oder Datenverluste erlitten haben. Wer eine Strategie entwickelt und Maßnahmen zum Ausbau der Cyber-Resilienz ergreift, ist eher in der Lage, Schäden durch derartige Vorfälle gering zu halten und Kosten zu reduzieren, die für die Wiederherstellung anfallen.
Beispiel 1 – Ransomware infiziert zahlreiche Unternehmen weltweit:
Jüngste Ransomware-Attacken in der ersten Hälfte des Jahres 2017 haben gezeigt, wie wichtig es ist, auf kritische IP, Systeme und Infrastruktur selbst dann zugreifen zu können, wenn sie durch Ransomware gesperrt werden. Die WannaCry-Ransomware hatte Auswirkungen auf zahlreiche Branchen und Unternehmen in aller Welt, sogar auf Werke der Automobilindustrie, die für eine gewisse Zeit die Produktion ruhen lassen mussten. Die Motivation für die Angriffe mag ganz unterschiedlich gewesen sein – unbestritten ist, dass sie zu Ausfallzeiten für die betroffenen Unternehmen geführt haben, und die Wiederherstellung war kostspielig.
Ransomware kann also jede Art von Unternehmen treffen. Um das Ausmaß der Schäden bei einem solchen Vorfall zumindest zu begrenzen, empfiehlt es sich, Computersysteme kontinuierlich zu patchen und auf dem neuesten Stand zu halten, Daten regelmäßig zu sichern, umfassend getestete Notfallpläne anzulegen und sowohl die eigenen Mitarbeiter als auch die Auftragnehmer zum Thema Cyber-Angriffe (wie Phishing und Ransomware) zu schulen.
Beispiel 2 – Datenverluste beeinträchtigen nach wie vor die US-amerikanische Gesundheitsbranche:
Cyber-Angriffe beeinträchtigen weiterhin messbar die Gesundheitsbranche, da Cyber-Kriminelle medizinische Daten, zu denen sie sich Zugang verschafft haben, nutzen könnten, um daraus durch Betrug oder Identitätsdiebstahl Gewinn zu schlagen. Auch enthalten personenbezogene Daten häufig Informationen zur Krankengeschichte des Patienten, die für gezielte „Spear Phishing“-Angriffe genutzt werden könnten. Mit Stand vom 9. August 2017 wurde auf der – häufig als „Wall of Shame“ (Schandmauer) bezeichneten – Website des HIPAA Breach Reporting Tools des US-Gesundheitsministeriums die Zahl der Datenschutzverletzungen seit dem Jahr 2009 mit 2.018 beziffert. Die Zahl der von Datenschutzverletzungen im Gesundheitswesen Betroffenen ist in den letzten Jahren explosionsartig gestiegen: von 31,5 Millionen am 30. Mai 2014 auf rund 175 Millionen am 9. August 2017.
Aus diesen Trends und Statistiken lassen sich drei wesentliche Erkenntnisse ableiten: Zunächst einmal müssen Mitarbeiter und Patienten im Gesundheitswesen auf verdächtige Kommunikation (wie betrügerische oder Phishing-E-Mails) achten und ihre IT-Organisation darüber in Kenntnis setzen. Sie sollten Identitätsdiebstahl nach Möglichkeit erkennen können. Auch sollten personenbezogene Gesundheits- und Identifikationsdaten nur dann offenbart werden, wenn eine ausdrückliche Notwendigkeit dafür gegeben ist (beispielsweise wenn Patienten für eine medizinische Untersuchung oder einen Eingriff einen Identitätsnachweis erbringen müssen). Und schließlich lassen sich die Auswirkungen einer Exposition besser in Schach halten, wenn Datenklassifizierungs- und -schutzlösungen eingesetzt werden, die sensible Informationen während ihres gesamten Lebenszyklus absichern.
Beispiel 3 – Menschliches Versagen führte zur Offenlegung von Kundendaten bei einem Finanzdienstleister:
Zwar ergreift die Branche für Finanzdienstleistungen und das Bankwesen im Vergleich zu anderen Branchen deutlich strengere Überwachungs- und Kontrollmaßnahmen, was ihre Infrastruktur und ihre Daten angeht, aber trotzdem ist auch diese Branche immer wieder von Datenverlust betroffen. Anfang 2017 machte ein Finanzdienstleistungsunternehmen versehentlich eine Datenbank mit sensiblen Informationen Tausender seiner Kunden öffentlich zugänglich. Das Unternehmen gab an, der Vorfall sei auf menschliches Versagen eines externen Anbieters zurückzuführen gewesen.
Das zeigt deutlich, dass Unternehmen unbedingt allen Auftragnehmern, die Zugang zu ihrem Netzwerk und zu ihren Daten haben, streng Rechenschaftspflicht auferlegen müssen. Diese Problematik trat beispielsweise beim Ausbruch der Petya-Ransomware zutage, denn eine der Ursachen der Krise war, dass sich externe Auftragnehmer nicht an die Cyber-Sicherheitsrichtlinien des Unternehmens gehalten hatten.
Überlegungen zu einem Cyber-Resilienz-Programm
Damit Computersysteme, IT-Infrastruktur und Rechenzentren Beschädigungen aufgrund von menschlichem Versagen, Cyber-Bedrohungen und Cyber-Angriffen besser widerstehen können, empfehlen wir Unternehmen, ein Cyber-Resilienz-Programm zu erarbeiten, das sich auf eine Kombination aus Menschen, Prozessen und Cloud-Diensten stützt.
Menschen:
Jede Person, die Zugang zum Unternehmensnetzwerk hat, vom Vollzeitmitarbeiter bis zum Berater und Auftragnehmer, sollte regelmäßig geschult werden, um eine cyber-resiliente Einstellung zu entwickeln. Hierzu gehört nicht nur die Einhaltung der IT-Sicherheitsrichtlinien im Zusammenhang mit einer identitätsbasierten Zugangskontrolle. Die Betreffenden müssen auch die IT bei verdächtigen Ereignissen und Infektionen schnellstmöglich warnen, um die Zeit bis zur Wiederherstellung nach Kräften zu minimieren.
Prozesse:
Unternehmen sollten die Umsetzung mehrerer Prozesse erwägen, um sich cyber-resilient aufzustellen. Einige davon können als IT-Sicherheitsrichtlinien implementiert werden. In der nachstehenden Tabelle werden derartige Prozesse vorgeschlagen.
Cloud-Dienste:
Um die Cyber-Resilienz aufrechtzuerhalten, müssen die vorgeschlagenen Prozesse regelmäßig durchgeführt werden. Dabei sollte einerseits die Risikobereitschaft des Unternehmens berücksichtigt werden, andererseits seine Fähigkeit, die Prozesse durch eine Kombination aus menschlichen Anstrengungen und technologischen Produkten und Dienstleistungen umzusetzen.
Glücklicherweise können cloud-basierte Architekturen verwendet werden, um eine lokale Infrastruktur schnell wiederherzustellen oder ein Failover zu einer gespiegelten Infrastruktur durchzuführen. Bei der Entscheidung zugunsten von Cloud-Diensten sollte unbedingt geprüft werden, wie der Provider seine Bewertungen durchführt. Audits und Zertifizierungen Dritter können ein Zeugnis zu seiner Leistung abgeben.
Cloud-Dienste wie Microsoft Azure und Office 365 können zumindest als erster Schritt dienen, um Unternehmen in puncto Cyber-Resilienz auf Vordermann zu bringen.
Prozess |
Beschreibung |
Microsoft Services |
Frühwarnsystem |
Unternehmen sollten frühzeitig Warnungen zu verdächtigen elektronischen Informationen erhalten, die es sich lohnt, genauer unter die Lupe zu nehmen. | Azure: Azure Security Center erfasst, analysiert und integriert automatisch Protokolldaten Ihrer Azure-Ressourcen, die für eDiscovery verwendet werden können.Office 365: eDiscovery in Office 365 kann verwendet werden, um in Exchange Online-Postfächern, Office 365-Gruppen, Microsoft Teams, SharePoint Online und Websites sowie in Skype for Business-Unterhaltungen nach bestimmtem Inhalt zu suchen. |
Integrieren von Cyber-Vorfällen in die Planung für Business Continuity and Disaster Recovery | Integrieren Sie Cyber-Vorfälle in Ihre bestehende Planung für Business Continuity and Disaster Recovery (BCDR). Setzen Sie die Auftretenswahrscheinlichkeit für solche Vorfälle höher an als für durch höhere Gewalt verursachte. | Azure: Wenn Sie vorhaben, Notfallpläne für alle Ihre wichtigen IT-Systeme einzusetzen – und zwar ohne kostspielige sekundäre Infrastruktur –, bietet Microsoft eine Vielzahl von Architekturen, die Unternehmen dabei helfen, sichere, hochverfügbare und leistungsfähige Lösungen in Azure zu entwerfen und zu implementieren.Office 365: Microsoft Office 365-Angebote werden von sehr robusten Systemen bereitgestellt, die die maximale Leistung des Dienstes bieten. Vorkehrungen für die Dienstverfügbarkeit sind Teil des Office 365-Systementwurfs. Durch diese Vorkehrungen kann Office 365 nach unerwarteten Ereignissen wie Hardware- oder Anwendungsfehlern, Datenbeschädigung oder anderen Vorfällen, die Benutzer ausbremsen, schnell wiederhergestellt werden. Diese Lösungen für die Dienstverfügbarkeit gelten auch bei schwerwiegenden Ausfällen (wie Naturkatastrophen oder einem Vorfall in einem Microsoft-Rechenzentrum, der dort alles lahmlegt). |
Platform Hardening | Sichern Sie Plattformen gegen Angriffsversuche von Hackern. | Azure: Was das Platform Hardening angeht, so führt Microsoft eigene interne Bewertungen in Form von Penetrationstests und Red Teaming durch. Microsoft verwendet Red Teaming, um reale Verstöße zu simulieren, die Sicherheit ständig zu überwachen und die Reaktion auf Vorfälle zu trainieren, um die Sicherheit von Microsoft Azure und Office 365 zu überprüfen und zu verbessern. Wir tun alles, um eine robuste Cloud-Plattform bereitzustellen, sodass sich Benutzer darauf verlassen können, dass sie sicher auf ihre kritischen Anwendungen und Daten zugreifen können.Office 365: Office 365 ist ein Dienst mit verstärkten Sicherheitsfunktionen, der unter Berücksichtigung des Microsoft Security Development Lifecycle entwickelt wurde. Wir kombinieren bewährte Praktiken aus zwei Jahrzehnten der Entwicklung von Enterprise Software und der Verwaltung von Online-Diensten, um Ihnen eine integrierte Software-as-a-Service-Lösung zu bieten. |
Schutz vor Cyber-Bedrohungen in E-Mails | Implementieren Sie Sicherheitsrichtlinien, die Benutzer davon abhalten, E-Mail-basierte Weblinks und Anhänge zu öffnen, die verdächtig oder bösartig sind (z. B. Phishing). | Office 365: Office 365 Advanced Threat Protection hilft, Postfächer in Echtzeit vor unbekannten und raffinierten Angriffen zu schützen. Schädliche E-Mail-Anlagen und böswillige Links werden abgewehrt. So werden die Sicherheitsfunktionen von Exchange Online Protection ergänzt und mehr Zero-Day-Schutz erzielt. |
Zugangskontrolle | Beschränken Sie den Zugriff auf Daten und Anwendungen, um das Risiko zu mindern. | Azure: Sichern Sie mit Azure Multi-Factor Authentication den Zugriff auf Daten und Anwendungen. Der Anmeldevorgang ist dabei erfreulich unkompliziert: Es steht eine Reihe einfacher Überprüfungsoptionen für sichere Authentifizierung zu Auswahl – Telefonanruf, SMS oder Benachrichtigung in einer mobilen App – und Kunden wählen daraus die von ihnen bevorzugte.Office 365: Multi-Factor Authentication for Office 365 hilft, den Zugriff auf Office 365 zu sichern. So lässt sich die Sicherheit der Benutzeranmeldungen für Cloud-Dienste steigern – weit über ein bloßes Kennwort hinaus. Nachdem Benutzer ihr Kennwort korrekt eingegeben haben, müssen sie einen Telefonanruf, eine SMS oder eine Benachrichtigung in einer App auf ihrem Smartphone bestätigen. Erst wenn sie diese zweite Authentifizierung erfolgreich bestanden haben, kommen sie ins System. |
Erkennung und Abwehr betrügerischer Systeme | Wenden Sie bedingte zugriffsbasierte Sicherheitsmaßnahmen auf infizierte, bösartige Systeme an. | Azure: Der bedingte Zugriff ist eine Funktion von Azure Active Directory, mit der Sie die Zugriffskontrolle für Apps in Ihrer Umgebung abhängig von bestimmten Bedingungen erzwingen können. So können Sie entweder weitere Anforderungen mit dem Zugriff verknüpfen oder den Zugriff ganz blockieren. Der bedingte Zugriff wird über Richtlinien implementiert. Dieser Ansatz vereinfacht die Konfiguration, da sich die Vorgehensweise an Ihren Zugriffsanforderungen orientiert.Office 365: Mit Device Health Attestation (DHA) für Office 365 können Unternehmen das Sicherheitsniveau ihrer Organisation auf durch Hardware überwachten, attestierten Schutz ausweiten – mit minimalen oder sogar ohne jegliche Auswirkungen auf die Betriebskosten. Mit DHA können Sie die Fitness folgender Geräte bewerten:
|
Sicherheitsrisikobewertung | Erfahren Sie mehr über die drängendsten Sicherheitsrisiken, um Abwehrmaßnahmen auf diejenigen konzentrieren zu können, von denen die größte Gefahr für Ihr Unternehmen ausgeht. | Azure: Die Sicherheitsrisikobewertung in Azure Security Center ist Teil der Security Center-Empfehlungen für virtuelle Computer (VMs). Falls Security Center auf Ihrem virtuellen Computer keine installierte Lösung zur Sicherheitsrisikobewertung findet, erscheint eine Installationsempfehlung. |
Softwareupdates und Patching | Patchen Sie kontinuierlich Lieferantensoftware, wenn neue Updates zur Verfügung gestellt werden, um so die Wahrscheinlichkeit eines Angriffs zu verringern oder zumindest den verursachten Schaden zu mindern. | Azure: Anwendungen in Microsoft Azure zu hosten erleichtert Unternehmen nicht nur die Verwaltung von Systemen, sondern hilft auch bei System-Updates und hält die Dienste auf dem neuesten Stand. Sobald neue Sicherheitsrisiken identifiziert werden, stellt Microsoft (bei entsprechender Konfiguration) automatisch Updates für Microsoft Azure-Rollen bereit. Administratoren können auswählen, dass Microsoft ihre Rollen (Instanzen) auf dem neuesten Stand halten und diese Updates anwenden soll, sobald sie verfügbar sind. Dies erspart dem Unternehmen enormen Verwaltungsaufwand.Office 365: Die Microsoft Office 365 ProPlus Software kann (je nach Vorgabe des Unternehmens) Updates automatisch über das Internet oder über einen lokalen Speicherort beziehen. |
Identifikationsbasierte Zugriffssteuerung | Sorgen Sie für lückenlosen Schutz beim Zugriff auf Anwendungen und Ressourcen: im gesamten Rechenzentrum des Unternehmens bis hinein in die Cloud. | Azure: Mit den Microsoft-Lösungen für die Identitäts- und Zugriffsverwaltung können Sie Identitätsdaten im gesamten Rechenzentrum und der Cloud zentral verwalten:
|
Regelmäßige Datensicherung | Sichern Sie Daten für den Fall, dass Ihr Unternehmen von Ransomware oder anderen Cyber-Bedrohungen betroffen ist. | Azure: Azure Backup ermöglicht den Schutz für hybride Sicherung mithilfe von Präventions-, Warn- und Wiederherstellungsfunktionen.Office 365: OneDrive for Business ist ein zentraler Bestandteil von Office 365 und bietet Platz in der Cloud, an dem Sie Ihre Arbeitsdateien speichern, freigeben und synchronisieren können. Es bietet auch die Möglichkeit, Dateien inkrementell wiederherzustellen. |
Schutz von Administratoranmeldeinformationen | Schützen Sie Administratoranmeldeinformationen vor unbefugtem Zugriff und Missbrauch. |
|
Partnerschaftliche Zusammenarbeit von Microsoft mit dem Ökosystem
Cyber-Resilienz ist kein Thema, das wir alleine angehen können. Unser Anliegen ist es sicherzustellen, dass unsere Produkte zu der Technologie passen, die unsere Kunden bereits verwenden. Microsoft fördert ein lebhaftes Partner-Ökosystem, das uns hilft, die Standards der ganzen Branche hochzuschrauben. Über unser Technologiepartner-Netzwerk können wir unseren Kunden proaktive Tools zur Bekämpfung von Sicherheitsrisiken bieten sowie Lösungen mit einer Vielzahl von Features wie Anwendungsfirewall und Bedrohungserkennung. Wir arbeiten auch eng mit Kunden und Normungsgremien der Industrie zusammen, um die konkreten Cyber-Resilienz-Bedürfnisse der Kunden besser erfüllen und Branchenbestimmungen einhalten zu können. Microsoft arbeitet bereits seit geraumer Zeit mit dem Center for Internet Security (CIS) zusammen, um nachzuweisen, dass seine Betriebssysteme und in jüngster Zeit auch seine Cloud-Plattform Azure vor Cyber-Bedrohungen geschützt sind. Microsoft arbeitet aktuell darauf hin, dass Azure die Benchmark-Anforderungen des CIS erfüllt. CIS-Benchmarks sind die einzigen konsensbasierten, bewährten Leitfäden zur Sicherheitskonfiguration, die von Politik, Wirtschaft, Industrie und Wissenschaft entwickelt wurden und akzeptiert werden. Darüber hinaus arbeitet Microsoft aktiv daran, seine Angebote an den Empfehlungssatz der SANS Critical Security Controls anzupassen, der von Unternehmen verwendet wird, um sich gegen die wichtigsten realen Bedrohungen der heutigen Internetwelt zu wappnen.
Zusammenfassung
Ein Cyber-Resilienz-Programm zu entwickeln und umzusetzen ist kein leichtes Unterfangen – kein Ziel, sondern ein Prozess. Einem Unternehmen wird dabei Fokussierung und stetes Engagement abverlangt. Wenn Sie weitere, ausführlichere Orientierung zu diesem Thema wünschen, sei auf ein diesbezügliches Weißbuch verwiesen, das noch dieses Jahr veröffentlicht werden soll.