Timing ist alles: Durch schnelle Reaktionszeiten Cyber-Attacken abwehren

Autor: Tuncay Eren, Director of Sales beim Cybersicherheitsunternehmen CrowdStrike.

Tuncay Eren rät zu Geschwindigkeit – das geht einher mit einer zunehmenden Automatisierung bei IT-Sicherheitsvorfällen (Bildquelle: CrowdStrike)

Handeln, bevor es zu spät ist: Schnelle Reaktionszeiten spielen für die Einhaltung hoher Sicherheitslevels eine wachsende Rolle – insbesondere, da Hacker immer ausgefeilter vorgehen. Fast schon ein “Dauerbrenner”: Angriffe mit Ransomware, also von Erpressungssoftware, die Dateien verschlüsselt und von ihren Opfern Lösegeld fordert. So warnte das BSI beispielsweise im ersten Halbjahr 2019 vor einer massenhaften Angriffswelle mit dieser Malware auf Unternehmen. BSI-Präsident Arne Schönbohm empfahl in diesem Zusammenhang, dass Unternehmen auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen sollten, insbesondere da es sich dabei auch um vorbereitende Angriffe handeln könne.Ein weiteres Beispiel für trickreiche Cyber-Attacken: “Living-off-the-Land-Angriffe”, also Angriffe, bei denen bestehende, nicht-schädliche Programme von Hackern für Cyber-Attacken genutzt werden. Dadurch können sie schnell und unbemerkt großen Schaden anrichten.

Doch was bedeutet eigentlich ”Schnelligkeit” in puncto IT-Security? Welche Reaktionszeiten muss ich als Unternehmen gewährleisten, um bestmöglich auf solche Cyber-Attacken reagieren zu können?

Die 1-10-60-Regel: Schneller sein als die Hacker

Um Firmen Antworten auf diese Fragen zu geben, haben die Security-Experten des Cybersicherheitsunternehmens CrowdStrike eine Faustformel für notwendige Reaktionszeiten entwickelt. Diese basiert auf Untersuchungen zur Geschwindigkeit von Angreifern. Daten dazu erhebt CrowdStrike jährlich im Rahmen ihres Global Threat Reports. So brauchten russische Hacker beispielsweise 2019 nur noch etwa 18 Minuten, um in Systeme eines Netzwerks vorzudringen, nachdem sie den ersten Endpunkt “befallen” hatten (= Breakout-Zeit). Dies demonstriert, wie wichtig es ist, Angriffe schnell zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
Die 1-10-60-Regel besagt: Wenn Sicherheitslösungen Angriffe innerhalb einer Minute erkennen, innerhalb von zehn Minuten analysieren und innerhalb von 60 Minuten beheben können, ist es möglich, den Schaden von Angriffsversuchen gering zu halten beziehungsweise diese sogar gänzlich zu vereiteln . Unternehmen, die diese 1-10-60-Regel befolgen, gelingt es besonders häufig, Angreifer zu eliminieren, bevor es diesen gelingt, sich von ihrem Einstiegspunkt aus in das Ziel-Netzwerk auszubreiten. Dadurch können negative Auswirkungen, wie beispielsweise der Diebstahl von Daten oder Manipulationen von Produktionsanlagen, minimiert oder vollständig verhindert werden.

Die Art der Angriffe untersuchte der Global Threat Report (Quelle: Crowdstrike)

1-10-60-Regel: Orientierung und Maßstab nicht nur für Führungskräfte

Die Formel gibt Führungskräften und IT-Mitarbeitern gleichermaßen eine Orientierung und sollte ein Maßstab sein, mit dem sie das allgemeine Niveau der Sicherheitssysteme evaluieren können. Wird durch Sicherheitstests festgestellt, dass die Reaktionszeiten im Unternehmen deutlich darüber liegen und Maßnahmen zur Bekämpfung der Eindringlinge zu langsam greifen, empfiehlt es sich dringend, korrigierend zu handeln. Diese Faustregel macht es auch Führungskräften, denen tiefgreifendes Fachwissen in Sachen IT-Sicherheit fehlt, leichter, die Leistungen der Fachkräfte der innerhalb ihrer Organisation einordnen zu können.

Wichtig ist auch, das Verständnis für die hohe Relevanz des Themas in allen Unternehmensbereichen zu schärfen. So sind die Cyber-Attacken heutzutage derart ausgeklügelt, dass sich weniger die Frage stellt, ob das eigene Unternehmen irgendwann Opfer einer Attacke wird als vielmehr, wann und mit welcher Technologie die Attacke ausgeführt wird – und ob sich der Eindringling Zugang zu wichtigen Ressourcen, wie sensiblen Unternehmensdaten verschaffen kann.

Tritt ein Cyber-Angriff auf, muss es das Ziel der IT-Fachkräfte sein, den Angreifer zu stoppen, bevor er weitere Netze kompromittieren kann. Breitet sich eine Schadsoftware erst einmal in der IT-Infrastruktur eines Unternehmens aus, weitet sich ein vormals kleiner Security-Vorfall schnell zu einem unternehmenskritischen Problem aus. Und das dauert nicht lange: Im globalen Schnitt benötigen Angreifer nur knapp zwei Stunden.

Speed matters! Wie lässt sich die 1-10-60-Regel umsetzen?

Das größte IT-Sicherheitsrisiko ist und bleibt der Mensch. Deshalb reicht es nicht aus, in puncto Sicherheit nur auf Hard- und Software zu setzen. Mindestens genauso wichtig ist es, die eigenen Mitarbeiter mitzunehmen und entsprechende Schulungen anzubieten.
Im Hinblick auf die technische Security-Infrastruktur ist es vor allem für Führungskräfte wichtig, zu verstehen, dass es aufgrund der schnellen Entwicklungen in diesem Bereich erforderlich ist, kontinuierlich in entsprechende Maßnahmen zu investieren – um den Angreifern stets einen Schritt voraus zu sein.

Transparenz als Schlüssel zu mehr Sicherheit

Um Angreifer möglichst schnell zu erkennen, ist es wichtig, über alle Systeme eines Netzwerks Transparenz herzustellen. Hier helfen zeitgemäße Security-Lösungen, die einen vielschichtigen Sicherheitsansatz verfolgen und eine Kombination aus maschinellem Lernen, Endpoint Detection und Response (EDR) und Antivirenprogrammen anbieten. So können auch besonders geschickt agierende Angreifer schnell erkannt und bekämpft werden.

Interessant sind die Veränderungen in Bezug auf die angegriffenen Branchen. Quelle: CrowdStrike

Fazit: Einsatz der 1-10-60-Regel als Benchmark für Unternehmen

Oftmals reicht schon ein unbedachter Klick auf einen mit Malware behafteten E-Mail-Anhang, damit sich Angreifer in einem Netzwerk ausbreiten und Unternehmensdaten in falsche Hände geraten können. Auf diesem Grund sollten Unternehmen ihre Abwehrbereitschaft kontinuierlich prüfen, anhand der 1-10-60-Regel beurteilen und die Regel als Benchmark nutzen. Selbst wenn Unternehmen aktuell diese Reaktionszeiten noch nicht einhalten können, zeigt sich dadurch, ob die Tendenz in die richtige Richtung geht.

Weitere Informationen unter:
www.crowdstrike.com