Was ist Cyber Security?

Cybersecurity (zu deutsch auch Cybersicherheit) umfasst alle Technologien, Strategien, Prozesse und Maßnahmen, die darauf abzielen, IT-Systeme, Netzwerke, Geräte, Daten und Benutzer vor digitalen Bedrohungen zu schützen. In einer Welt, in der die digitale Transformation voranschreitet, ist Cybersicherheit von entscheidender Bedeutung, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen zu gewährleisten und den fortlaufenden Geschäftsbetrieb sicherzustellen.

Angesichts der zunehmend dezentralen und mobilen Arbeitsumgebungen (New Work) sowie der Verlagerung von kritischen Infrastrukturen und Daten in die Cloud haben sich die Angriffsvektoren der Cyberkriminellen weiterentwickelt. Moderne Bedrohungen richten sich zunehmend auf den menschlichen Faktor, wobei Phishing-Angriffe und gezielte Attacken auf Führungskräfte mit weitreichenden Zugriffsrechten eine besondere Gefahr darstellen.

Cybersecurity ist heute nicht mehr nur eine technische Herausforderung, sondern eine unternehmensweite Aufgabe, die alle Bereiche eines Unternehmens betrifft. Ein effektiver, ganzheitlicher Sicherheitsansatz integriert sowohl technologische Lösungen als auch Schulungen für Mitarbeiter, um sowohl externe als auch interne Bedrohungen abzuwehren.

1. Welche Arten von Cyberbedrohungen gibt es?

Zu Malware zählen schädliche Software wie Viren, Würmer, Trojaner, Ransomware und Spyware, die darauf spezialisiert sind, IT-Systeme zu stören, zu beschädigen oder Daten zu entwenden. Oft reicht ein unbedachter Klick auf einen Anhang in einer E-Mail und die Malware ist im System.

Unter Phishing versteht man Täuschungsversuche, oft per E-Mail, um sensible Informationen zu stehlen. Der Angreifer gibt sich dabei als vertrauenswürdige Instanz aus. Durch geschickte Social-Engineering-Techniken – E-Mail vom Chef oder vom Bankinstitut – setzen die Angreifer die Zielperson unter Druck und versuchen, die Herausgabe von Login Credentials wie PINs, Passwörter oder ähnliches zu erzwingen. Phishing-Mails werden oft in großer Anzahl verschickt und auch wenn nur ein geringer Prozentsatz der Zielpersonen auf den Täuschungsversuch hereinfällt, ist der Schaden enorm.

Man-in-the-Middle-Attacken sind Lauschangriffe, die sich zwischen zwei Systeme beziehungsweise Kommunikationspartner schalten, um die Kommunikation mitzuhören oder mitzulesen. Dabei werden möglicherweise wertvolle Informationen erbeutet, die helfen, einen Angriff auf die beteiligten IT-Systeme vorzubereiten und durchzuführen.

Denial-of-Service- (DoS) und Distributed Denial-of-Service-Angriffe (DDoS) zielen darauf ab, durch eine Unmenge an Anfragen ein System oder Netzwerk zu überlasten, so dass es nicht mehr funktionstüchtig ist und zusammenbricht. Oft werden Millionen von Zugriffen und Anfragen automatisiert unmittelbar hintereinander durchgeführt. Das Ziel besteht darin, Systeme an ihre Kapazitätsgrenze zu bringen und sie lahm zu legen.

Zero-Day-Exploits sind Sicherheitslücken in Software-Systemen, die den Anbietern und Betreibern der Software noch unbekannt beziehungsweise noch nicht aufgefallen sind. Zero-Day-Exploits sind hochbegehrt und werden in einschlägigen Darknet-Foren gehandelt und weiterverkauft.

Ransomware-Attacken – die Cyberangreifer verschaffen sich Zugang zur Unternehmens-IT und verschlüsseln mithilfe kryptografischer Algorithmen einen Großteil oder sämtliche Unternehmensdaten und Systeme. Die gesamte IT fällt aus und die Geschäftstätigkeit kommt zum Erliegen; finanzielle Verluste und Reputationsschäden sind die Folge. Gegen Zahlung einer Lösegeldsumme versprechen die Angreifer, die Verschlüsselung aufzuheben. Oft werden auch sensible Unternehmensinformationen gestohlen und mit deren Veröffentlichung gedroht, was die angegriffenen Unternehmen zusätzlich unter Druck setzt.

SQL Injection ist eine Angriffstechnik, die manipulierte Befehle in der Abfragesprache SQL verwendet, um sich unerlaubten Zugang zu einem IT-System zu verschaffen. Der erste Schritt besteht in der Regel darin, Fehlfunktionen zu provozieren und dadurch Schutzmechanismen auszuhebeln.

Botnets sind gekaperte Computer oder PCs, über die Cyberkriminelle die Kontrolle erlangt haben, ohne dass die Benutzer und Eigentümer der Devices den Kontrollverlust bislang bemerkt haben. Botnets können tausende oder sogar zehntausende Rechner umfassen. Die geballte Rechenpower der Botnets wird von Cyberkriminellen genutzt, um Angriffe auf Unternehmen wie DoS- oder DDoS-Attacken durchzuführen.

2. Warum ist Cybersicherheit wichtig geworden?

Mit der fortschreitenden Vernetzung von PCs, Rechnern, Servern und Devices wie Smartphones hat sich die Zahl der möglichen Einfallstore, die Cyberkriminelle für ihre Angriffe nutzen können, beträchtlich erhöht. Die digitale Welt ist verwundbarer geworden und muss dementsprechend geschützt werden. Angreifer nutzen Schwachstellen aus, um finanzielle, politische und ideologische Vorteile zu erzielen.

3. Was sind die Schlüsselkomponenten einer umfassenden Cyber-Sicherheitsstrategie?

Am Anfang einer umfassenden Cyber-Sicherheitsstrategie steht eine Status-quo-Analyse und eine Risikobewertung. Das Risikoprofil sieht für jedes Unternehmen je nach Branche, Markt und Geschäftstätigkeit ein wenig anders aus. In der Risikobewertung geht es darum, potenzielle Schwachstellen, die Cyberkriminelle für Angriffe nutzen könnten, zu identifizieren und nach Bedrohungspotenzial zu bewerten.

Eine Zugriffskontrolle stellt sicher, dass nur berechtige Personen – je nach Tätigkeit, Rolle und Funktion im Unternehmen – Zugriff auf bestimmte Daten, Informationen und Systeme erhalten. Der Zugriff wird durch Sicherheitsmechanismen wie Passwörter, Double Opt-Ins und weitere Zugriffskontrollen vor Unbefugten geschützt.

Ein Vorfall- oder Notfall-Reaktionsplan legt fest, welche Richtlinien gelten und wie im Falle eines Angriffs vorzugehen ist. So kann im Angriffsfall schnell und effizient reagiert werden, denn jeder weiß, was zu tun ist.

Regelmäßige Überprüfungen und Tests fühlen der IT auf den Zahn und überprüfen, dass alle Sicherheitssysteme noch ihre Funktion erfüllen und dass in der Zwischenzeit nicht neue Schwachstellen und Risiken aufgetaucht sind, vor denen die implementierten Sicherheitsmaßnahmen nicht mehr zuverlässig schützen.

Sicherheitsschulungen sensibilisieren die eigenen Mitarbeitenden für Bedrohungen, die zum Beispiel von Phishing-Mails ausgehen. Ein bewusster und verantwortlicher Umgang ist wichtig. Ungeschulte Mitarbeitende gehören für Unternehmen zu den größten Sicherheitsrisiken.

Regelmäßige Updates und Patches sollten eigentlich eine Selbstverständlichkeit sein, fallen in der Praxis aber gerne unter den Tisch. Mithilfe von Updates und Patches schließen Software-Anbieter aufgetretene Sicherheitslücken, das Aufspielen ist daher obligatorisch.

Backups und Recovery – regelmäßig durchgeführte Backups/Sicherheitskopien helfen Unternehmen, nach einem technischen Ausfall, einer Sicherheitsverletzung oder einem Ransomware-Angriff die unbrauchbar gewordenen Daten wiederherzustellen. Eine längere Unterbrechung der Geschäftstätigkeit inklusive Folgekosten wird dadurch weitestgehend vermieden. Backups sollten in regelmäßigen Zeitabständen durchgeführt und an einem sicheren, vom Firmennetzwerk getrennten Ort aufbewahrt werden.

Darknet-Monitoring – im Darknet, dem nicht ohne Weiteres zugänglichen Teil des World Wide Web, bieten Cyberkriminelle gestohlene Sicherheits- und Zugangscodes, PINs und Passwörter an und verkaufen sie an den Meistbietenden. Der Käufer führt dann den eigentlichen Angriff durch. Darknet-Monitoring kann deshalb wichtige Hinweise auf bevorstehende Attacken liefern. Das anvisierte Opfer hat genug Zeit, um Gegenmaßnahmen zu ergreifen und Sicherheitslücken zu schließen.

Eigene Verschlüsselung – um zu verhindern, dass sensible Informationen gestohlen und missbräuchlich verwendet werden, können Unternehmen ihrerseits die Dateien verschlüsseln und nur einem selektierten Personenkreis den Zugriff erlauben. Angreifer können die verschlüsselten Daten zwar stehlen, aber nicht lesen und weiterverwenden. Sie sind für die Cyberkriminellen ohne Wert.

Das Thema IT-Sicherheit stellt Unternehmen und öffentliche Verwaltungen vor immer größere Herausforderungen und Gefahren. valantic berät Unternehmen seit vielen Jahren kompetent und umfassend.

4. Was sind aktuelle Beispiele für Cyber-Sicherheitsbedrohungen?

Cyberangriffe auf ein Krankenhaus in Israel und das Finanzministerium Kuwaits, ein DDoS-Angriff auf die Webseite der Stadtverwaltung Berlins und ein Cyberangriff auf einen Elektronikkonzern in Japan sind Beispiele aus der jüngsten Vergangenheit. In den letzten zehn Jahren hat unter anderem der Computerwurm Stuxnet hohe Wellen geschlagen. Stuxnet konnte sich über USB-Laufwerke einige Jahre lang unbemerkt verbreiten und hat hunderttausende Computer weltweit infiziert.

Die Ransomware Wannacry löste eine epidemische Erpressungswelle aus und legte innerhalb von vier Tagen mehr als 200.000 Computer in 150 Ländern lahm. Zu den Opfern zählten Fabriken, Unternehmen und kritische Infrastrukturen wie Krankenhäuser, in denen medizinische Geräte verschlüsselt und damit blockiert wurden.

Der Banking-Trojaner Emotet wurde 2014 entdeckt. Emotet war zunächst auf das Abfangen von Online-Banking-Zugangsdaten spezialisiert, konnte aber schnell viele weitere Schadfunktionen ausführen. Ziel der Attacken waren vor allem Banken und Unternehmen.

Aktuell nehmen Täuschungsversuche mithilfe von Künstlicher Intelligenz (KI), sogenannte Deep Fakes, zu. KI erstellt gefälschte Videos oder Audios, die täuschend echt erscheinen. Cyberkriminelle versuchen dadurch, ihre Opfer zu manipulieren und zu unbedachten Handlungen zu verleiten. Auch Angriffe auf das Supply-Chain-Management und auf das Lieferantennetzwerk können Unternehmen empfindlich treffen und hohe Schäden verursachen.

5. Was sind neu aufkommende Cyber-Sicherheitsbedrohungen in der digitalen Welt?

Edge Computing und das Internet der Dinge (IoT) sind aktuelle Trends in der Informationstechnik und im Business. Dabei wird Intelligenz dezentralisiert und an die “Außenstellen” verlagert, weil dort die Wege kurz und die Entscheidungskompetenz höher ist als in einer zentralisierten Instanz. Da dadurch immer Geräte mit dem Internet und mit Unternehmensnetzwerken verbunden sind, entstehen auch immer mehr potenzielle Eintrittspunkte für Cyberkriminelle.

Rasend schnelle Quantencomputer haben das Potenzial und die Rechenpower, herkömmliche Zugangscodes für Banken, kritische Infrastrukturen und auch Waffensysteme wesentlich schneller zu knacken, als es zum Beispiel den heutigen, schon sehr performanten Supercomputern möglich ist. Forscher und Konzerne bereiten sich darauf vor und arbeiten an quantenkryptischen Schutzmechanismen.

KI-gesteuerte Cyberangriffe nehmen, auch durch die jüngsten Fortschritte, immer mehr zu (siehe auch Deep Fakes). KI wird verwendet, um die Effizienz und Raffinesse der Angriffe zu verbessern.

6. Welche Sicherheitstipps gibt es für Unternehmen und Privatpersonen, um sich vor Cyberangriffen zu schützen?

Eine Mehrfaktor-Identifizierung bietet sich als Schutzmechanismus für sicherheitssensible Verbindungen und Daten an. Die einfache Eingabe einer Benutzerkennung und eines Passwortes ist dann nicht ausreichend, um Zugang zu erhalten. Zusätzlich ist die Identifikation über ein weiteres Device wie das persönliche Smartphone und/oder der Code einer eigens konfigurierten Authenticator App notwendig. Eine mehrstufige Identifizierung gewährleistet bereits einen wesentlich höheren Schutz vor Angriffen.

Firewalls und Antivirensoftware der bekannten Hersteller sollten aktualisiert und auf dem neuesten Stand gehalten werden, weil sich die Angriffsvektoren der Cyberkriminellen ändern und häufig neue Sicherheitslücken entdeckt werden.

Regelmäßige Backups, die getrennt vom Netzwerk an mehreren sicheren Orten aufbewahrt werden, bieten einen hohen Schutz. Unternehmen und Privatpersonen können bei technischen Ausfällen oder bei Ransomware-Attacken die gestohlenen oder unbrauchbar gewordenen Daten schnell wiederherstellen.

Last but not least: Sich ständig über neue Entwicklungen zu informieren und bei verdächtigen E-Mails und Anhängen von unbekannten Absendern Vorsicht walten zu lassen (Phishing-Mails) ist bereits eine einfache und wirksame Präventivmaßnahme.

7. Welche Rolle spielen künstliche Intelligenz und maschinelles Lernen in der Cyber-Sicherheit?

Mithilfe von KI und maschinellem Lernen erkennen Banken, Versicherungen, Institutionen und Unternehmen verdächtige Muster, die von den gewohnten Verhaltensweisen ihrer Kunden abweichen. Wird ein verdächtiges, abweichendes Muster erkannt, zum Beispiel häufige Kontoabbuchungen an verschiedenen Orten, kann das ein Indiz auf eine missbräuchliche Verwendung sein.

Prädiktive Analysen, mithilfe von KI durchgeführt, können zukünftige Bedrohungen etwa für Einbruchsdelikte in Städten präziser voraussagen. Polizei und Sicherheitskräfte setzen bereits KI-Modelle in der Verbrechensprognose und -bekämpfung ein.

KI und maschinelles Lernen kann auch dazu verwendet werden, um unter Einbezug biometrischer und verhaltensbasierter Methoden die Benutzer-Authentifikation zu verbessern und sicherer zu gestalten.

8. Was macht ein Cyber-Sicherheitsberater?

Cyber-Sicherheitsberater beraten Unternehmen und Organisationen darüber, wie sie ihre Daten und ihre Infrastruktur am besten Gegen Cyber-Bedrohungen schützen können. Sie identifizieren und evaluieren Schwachstellen, empfehlen geeignete Sicherheitsmaßnahmen, erstellen eine Roadmap und organisieren die Implementierung der Sicherheitslösungen. Ist bereits ein Angriff erfolgt, leisten Sicherheitsberater – sogenannte Breach Coaches – wertvolle Hilfe bei der Schadensminimierung und -bekämpfung. Das Ziel besteht darin, den Geschäftsbetrieb aufrechtzuerhalten oder so schnell wie möglich wiederherzustellen.

Zero-Trust-Architekturen: Die heutige digitale Welt ist so vernetzt wie nie. Zero-Trust-Konzepte versuchen, die Sicherheit durch geeignete Maßnahmen an jedem Punkt der Vernetzung sicherzustellen. Zero Trust nutzt Technologien wie Netzwerksegmentierung, um die Ausbreitung von Malware im IT-System zu verhindern.

Security Orchestration, Automation and Response (SOAR): Bei der Sicherheitsorchestrierung und -automatisierung handelt es sich um eine Gruppe von Cybersicherheitstechnologien, die es einem Unternehmen ermöglichen, schnell, effizient und automatisiert auf Sicherheitsvorfälle zu reagieren. 

Extended Detection and Response (XDR): XDR ist eine Sicherheitstechnologie, die Daten von verschiedenen Netzwerk-Punkten wie Servern, E-Mails, Cloud Workloads und Endgeräten überwacht, sammelt und analysiert. Bedrohungen werden kategorisiert und priorisiert, um Cybersecurity-Teams die Evaluierung der Vorfälle und die Behebung von Schwachstellen zu erleichtern.

Person tippt HTML-Code auf seinem Laptop ein Quelle: Unsplash/Shamin Haky