BSI-Lagebericht: Gefahr erkannt, doch nicht gebannt
Der gerade erschienene BSI-Lagebericht zeichnet ein düsteres Bild: Stetig neue Sicherheitslücken in Software, Datendiebstähle, KI-unterstützte Desinformationskampagnen und vor allem Ransomware sorgen für Schäden in Milliardenhöhe. Vor diesem Hintergrund empfiehlt der IT-Sicherheitshersteller ESET, dass Organisation schleunigst mit einem klaren Sicherheitsplan ihre IT-Security gezielt verbessern sollten. Denn Zahlen aus ESETs Cloud-Sandboxing-Lösung LiveGuard bestätigen die wachsende Bedrohung: Eines von 192 Samples, das in der Cloud-Sandbox eingeht, ist der Kategorie Zero-Day-Malware zuzuordnen.
Selbst wenn die IT-Budgets bereits ausgeschöpft sind, sollten Behörden und Unternehmen die eigenen Angriffsflächen ermittelt und dann gezielt in Lösungen investieren, die den erforderlichen Stand der IT-Security-Technik entsprechen. Ansonsten droht ein Flickenteppich der eigenen IT-Sicherheitsarchitektur.
IT-Sicherheit ist ständig im Wandel
Es reicht nicht mehr aus, den Status quo lediglich durch kleinere Anpassungen verbessern zu wollen. IT-Sicherheit muss endlich als Prozess verstanden werden, den es regelmäßig zu hinterfragen und anzupassen gilt. Das von ESET entwickelte Zero Trust Reifegradmodell gibt hier Verantwortlichen eine sehr gute Orientierung und zeigt, welche Technologien eingesetzt werden sollten.
„IT-Security-Budgets sind in den letzten Jahren zum Glück gestiegen, werden aber immer noch für nicht mehr zeitgemäße Lösungen ausgegeben. Viele Unternehmen denken, das die Kombination aus Virenschutz, Firewall und Backup-Lösungen ausreicht und dem Stand der Technik entspricht. Ein Trugschluss, der vielen Organisation bereits teuer zu stehen gekommen ist“, erklärt Thorsten Urbanski, ESET Sicherheitsexperte.
Wichtig ist, dass Organisationen Sicherheitstechnologien vertrauen, die auf dem aktuellen Stand der Technik sind. Nur dann lassen sicher Cyberangriffe jeglicher Form abwehren. Auch der Blick nach vorne zeigt den „langen Arm“ der Stand der Technik in der IT-Sicherheit. Denn die Europäische Union hat mit der NIS-2-Richtlinie (Network and Information Security 2) das Security-Level von KRITIS-Unternehmen deutlich angehoben. Spätestens am 17. Oktober 2024 müssen Organisationen das aus NIS-2 abgeleitete nationale Recht umgesetzt haben.
Was ist der Stand der Technik?
Gesetze, die die Sicherheit von Unternehmen regeln, berufen sich häufig auf den Stand der Technik. Dabei handelt es sich um einen sogenannten unbestimmten Rechtsbegriff. Hiermit hat der Gesetzgeber einen Platzhalter geschaffen, der auch zukünftige Technologien in Regelungen miteinbezieht. Das bedeutet: IT-Verantwortliche müssen sich regelmäßig zum aktuellen Stand informieren und ihn in ihren Unternehmen durchsetzen, um ein hohes Schutzniveau zu erreichen.
Althergebrachtes hat ausgedient
Vormals aktuelle und richtige Methoden und Praktiken können heute bereits nicht mehr zielführend oder – im schlimmsten Fall – wirkungslos sein. In puncto Ransomware beispielsweise galten regelmäßige Backups lange als beste Gegenmaßnahme. Neue Erpressersoftware hingegen macht Backups nutzlos, da sie sich erst nach ein paar Monaten aktiviert.
Um vor solchen Angriffen sicher zu sein, bedarf es vielmehr Sicherheitslösungen, die aktiv werden, bevor es zu einer Ransomware-Infektion kommt: Eine Cloud-Sandbox, wie z. B. ESET LiveGuard, führt unbekannte Software (aus z. B. E-Mail-Anhängen) in einer gesicherten Umgebung aus. Malware wird von ihren Zielsystemen separiert, bevor sie Schaden anrichten kann.
Eine EDR-Lösung hilft, Ransomware-Infektionen zu erkennen, bevor sie sich verbreiten.
Stand der Technik und Cyberversicherungen
Jedes Unternehmen mit einer ganzheitlichen Risikostrategie sollte eine Cyberversicherung verfügen, die im Ernstfall greift und den Schaden abmildert. Dazu gehören Störungen des Geschäftsbetriebs, Datenverschlüsselungen und Zahlungsmittelschäden nach erfolgreichen Attacken. Wie der BSI-Report darlegt, schnellen die Kosten bei erfolgreichen Cyberattacken in die Höhe. Die Folge: Versicherungspolicen werden teurer.
„Es stellt sich die Frage, wie lange Versicherer noch für Schäden von Ransomware-Angriffen aufkommen werden, schaut man ich die Zahlen des BSI-Reports an“, gibt Urbanski zu bedenken. „Die einzige Chance für Unternehmen, die eine Cyberversicherung abschließen möchten: Sich an den aktuellen Stand der Technik anpassen und adäquate Sicherheitslösungen und -praktiken einführen.“
Versicherer vergewissern sich, dass der Versicherte über angemessene Maßnahmen zur Erhöhung der eigenen IT-Sicherheit getroffen hat. Hat er dies nicht getan, erhält ihm im Schadensfall unter Umständen weniger oder gar keine Leistungen.