Cybersecurity: Warum Unternehmen eine „Defense in Depth”-Mentalität brauchen

Margaret Arakawa, CMO des Edge-Cloud-Anbieters Fastly, erklärt, wie Unternehmen auf neue Security-Herausforderungen reagieren können und sollten.

story_cybersecruity_dmexco

Egal ob staatlich unterstützte Gruppen, Cyber-Kriminelle mit finanziellen Zielen, Hacktivisten oder Insider, die ein destruktives Statement abgeben wollen: Wer Cyberangriffe durchführt, will irgendeine Form von Schaden anrichten, sei es in finanzieller Hinsicht oder einfach nur, um Chaos zu verursachen und den normalen Betrieb zu stören. Ob im Einzelhandel, in der Unterhaltungsbranche, im Gaming, im Gesundheitswesen oder im Finanzwesen – Unternehmen, die digital arbeiten, sind besonders betroffen. Jedes Unternehmen nutzt Webanwendungen und APIs, um seinen Kunden die Abwicklung von Geschäften oder den Datenaustausch mit Partnern zu ermöglichen. Und wenn Daten das Lebenselixier eines Unternehmens sind, dann sind diese Anwendungen und APIs alles, was zwischen einem Bedrohungsakteur und den wertvollen Daten steht. Daher ist es nicht verwunderlich, dass bei mehr als 70 Prozent aller Sicherheitsverletzungen eine Webanwendung oder eine API ausgenutzt wird[1], was sie zu den häufigsten Angriffszielen in Unternehmen macht. Zu den Web-Angriffsmethoden gehören dabei der Missbrauch gestohlener Anmeldeinformationen, SQL-Injection, Remote-Befehlsausführung und andere Taktiken, die Schwachstellen und Fehlkonfigurationen von Webanwendungen und den zugrunde liegenden Servern ausnutzen.

Experten gehen davon aus, dass der durch Cyberangriffe verursachte Schaden bis 2025 auf 10,5 Billionen Dollar steigen könnte. Während einige Unternehmen im Bereich Cybersecurity bereits gut aufgestellt sind, nehmen andere die Bedrohungslage noch immer auf die leichte Schulter.

Cybersecurity: Eine Bestandsaufnahme

Bedrohungen durch Angreifer, egal welche Motivation sie antreibt, wird es immer geben. Cybersecurity-Verantwortliche müssen ihre Sicherheitsstrategien daher in drei verschiedenen Schlüsselbereichen optimieren: Menschen, Prozesse und Technologien. Proaktive Unternehmen haben bereits in alle drei Säulen investiert, gehen aber noch einen Schritt weiter – sie überprüfen regelmäßig ihren Sicherheitsstatus. Dabei werden folgende Aspekte genauer unter die Lupe genommen:

  • Verfügen die Verantwortlichen über die notwendigen Fähigkeiten, um den Schutz des Unternehmens zu verwalten und auf veränderte Situationen zu reagieren?
  • Verfügen die Mitarbeiter über die benötigten Kenntnisse und Schulungen, um das Beste aus den Investitionen in Sicherheitstools und -richtlinien herauszuholen? Können sie Recovery-Pläne im Falle einer Sicherheitsverletzung schnell umsetzen?
  • Ist die Sicherheitstechnologie modern genug, um Bedrohungen zu erkennen und darauf zu reagieren? Gewährt sie gleichzeitig ausreichend Transparenz und Usability für Mitarbeiter, damit diese Risiken vermeiden und Bedrohungen abwehren können, bevor diese zum Problem für das Unternehmen und dessen wertvolle Daten werden?

Auf diese Fragen klare Antworten zu haben, ist für Unternehmen besonders wichtig, da die Bedrohungslandschaft sich ständig ändert. Angreifer entwickeln ihre Taktiken und Techniken ununterbrochen weiter. Bestimmte Bedrohungen bleiben aber auch konstant, wie beispielsweise Phishing-Attacken. Denn hier können Angreifer sich die Ahnungslosigkeit von Mitarbeitern zu Nutze machen und Malware einschleusen oder Zugangsdaten stehlen, indem sie beispielsweise Landing Pages verwenden, die sich als Anmeldeformulare für SaaS-Apps ausgeben. Sie suchen im Grunde nach allem, was sie kompromittieren können, um sich Zugang zu den Systemen zu verschaffen.

Eine effektive „Defense in Depth”-Strategie muss Sicherheit auf der Edge einschließen

Um damit Schritt zu halten, müssen sicherheitsbewusste Unternehmen also ihre eigene Infrastruktur und ihre eigenen Anwendungen regelmäßig auf Schwachstellen prüfen und die notwendigen Schritte einleiten, um Lücken zu schließen. Eine typische Reaktion von Entscheidungsträgern auf die zunehmende Komplexität ihrer Technologieumgebungen ist der Einsatz neuer und (zu) vieler verschiedener Sicherheitslösungen.

story_cybersecruity-Arakawa_Margaret_dmexco

Doch kein Tool kann eine 100-prozentige Wirksamkeit gegen neue Arten von Bedrohungen bieten. Unternehmen benötigen daher das, was wir eine „Defense in Depth“-Mentalität nennen: Sie bauen so viele Schichten und Hindernisse auf, dass Angreifer nicht ohne weiteres in die Systeme vordringen oder ihre Anwendungen kompromittieren können.

Eine „Defense in Depth”-Strategie bedeutet, in Tools zu investieren, die in der Lage sind, Zugriffsanfragen, Authentifizierungsanforderungen sowie externe und interne Bedrohungen automatisch zu erkennen und darauf zu reagieren. Diese Tools können ein Eindringen an mehreren Stellen verhindern, an denen die Infrastruktur eines Unternehmens gefährdet werden kann. Dazu gehören der Schutz von Endpunkten, der Schutz von Cloud-Workloads, das Schwachstellenmanagement, Netzwerk-Firewalls sowie der Schutz von Web-Applikationen und APIs. Letzteres bietet Fastly mit seiner Next-Gen WAF (Web Application Firewall), die in der Cloud, am Rande des Netzwerkes, in Rechenzentren oder in einer Mischung aus diesen eingesetzt werden kann.

Der dringendste Schritt, den Unternehmen in puncto Cybersicherheit gehen sollten, ist eine Risikobewertung – entweder durch Sicherheitsexperten inhouse oder mit Hilfe einer externen Sicherheitsberatungsfirma. Diese Risikobewertung dient drei Zwecken:

  1. Feststellen, ob das Unternehmen bereits kompromittiert wurde. Erfahrene Beratungsfirmen entwickeln daraufhin eine Strategie, um gegen bereits vorhandene Angreifer vorzugehen und einen weiteren Datendiebstahl zu verhindern.
  2. Eine Analyse durchführen, die Angreifer daran hindert, finanzielle Vermögenswerte, Kundendaten oder geistiges Eigentum zu stehlen.
  3. Proaktiv ineffiziente Sicherheitspraktiken identifizieren, die das Unternehmen einem größeren Risiko aussetzen.

Wie schon in den vergangenen fünf Jahren nennt das Sicherheitsteam von Verizon in ihrem jährlichen Bericht über Datenschutzverletzungen den Missbrauch von Webanwendungen und APIs als den wichtigste Bedrohungsvektor, den Angreifer nutzen, um in Unternehmen einzudringen. Und Angiffe auf Webanwendung werden oft in Verbindung mit einer hohen Anzahl von DDoS-Attacken eingesetzt. Es ist daher zwingend erforderlich, dass Unternehmen einen genauen Blick darauf werfen, wie sie ihre Anwendungen in der Produktion als Teil einer umfassenden „Defense in Depth”-Sicherheitsstrategie schützen: Wenn sie derzeit keine Lösung für den Schutz von Webanwendungen oder APIs einsetzen, müssen sie dies in ihren Sicherheitsplan einbeziehen und die notwendigen Investitionen in die Zukunft tätigen.

Unglücklicherweise hat der schreckliche und unrechtmäßige Einmarsch Russlands in die Ukraine die allgemeine Bedrohungslage zusätzlich erhöht und einmal mehr gezeigt, dass Konflikte heutzutage nicht mehr nur mit Waffen ausgetragen werden. Wir konnten bereits miterleben, wie Russland Angriffe auf ukrainische Banken und Regierungsinstitutionen verübt, um sie vom Netz zu nehmen. Es ist also umso wichtiger, dass Unternehmen ihre Cyber-Resilienz verbessern, um den nächsten Angriff zu verhindern oder zu erkennen und zu stoppen.

Ausblick: Stand der Cybersecurity in 10 Jahren

Langfristig sehen wir, dass die Cyber-Grenzen für Unternehmen immer unklarer werden, da sie sich zunehmend von lokalen Rechenzentren hin zu Cloud- oder Hybrid-Umgebungen verlagern. Wie Gartner kürzlich mitteilte, werden bereits 2025 85 Prozent der auf Infrastruktur ausgerichteten Strategien sich Richtung Integration On-Premise, in der Cloud oder auf der Edge bewegen, im Gegensatz zu 20 Prozent im Jahre 2020. Während die meisten internen, privaten Clouds zwar mandantenfähig sind, dienen sie in der Regel bestimmten internen Anwendungsfällen bzw. Geschäftsbereichen und sind somit schwer skalierbar. Aufgrund unterschiedlicher Deployment-Methoden können die Betreiber von Edge-Cloud Plattformen Unternehmen dabei unterstützen sämtliche Apps, egal wo diese betrieben werden, zu schützen. Eine flexible Softwarelösung, basierend auf Agent und Module, kann Webserver-seitig, auf Applikationsebene oder eben in der Edge-Cloud installiert werden.

Daten befinden sich nicht mehr physisch im Unternehmen, und dieser Trend wird sich beschleunigen, wenn mehr Unternehmen ihre digitale Transformation abschließen. Die Cloud und der Wandel hin zu agiler Softwareentwicklung ermöglichen zwar, dass Unternehmen neue Funktionen schneller bereitstellen können, um der Kundennachfrage gerecht zu werden. Das bedeutet aber auch, dass dieselben Anwendungen und Daten missbraucht oder falsch konfiguriert werden können, was zu unberechtigtem Zugriff führt. Unternehmen, die sich aus Gründen der Skalierung auf die Cloud verlassen, sollten hier eine Lösung wählen, die sowohl Anwendungs- als auch Sicherheitsfunktionen abdecken kann. Im Übrigen können so auch Kosteneinsparungen erzielt werden, wenn statt mehrerer Anbieter nur ein einziger eingesetzt wird. Anbieter von Edge-Cloud-Plattformen sind hier ideal geeignet. Eine Plattform mit eingebetteten Sicherheitsfunktionen im Edge-Bereich ebnet den Weg für DevOps-Praktiken und schnelle Release-Zyklen, ohne dass Kompromisse in der Sicherheit eingegangen werden müssen. Das bedeutet zum Einen, dass bösartiger Traffic in größerer Entfernung von der jeweiligen Anwendung erkannt und blockiert wird, zum Anderen können Entwickler oder Sicherheitsteams Regeln außerdem leichter selbst einführen und anpassen, da Erkennungs- und Abwehrtechnologien besser zu aktivieren sind.

Auch die bereits erwähnte regelmäßige Bestandsaufnahme der Schwachstellen in der Infrastruktur, der Cybersicherheitsschulung der Mitarbeiter und des Umgangs mit Daten bleibt entscheidend. Unternehmen müssen die notwendigen Schritte einleiten, um ihren eigenen Status quo und potenzielle Bedrohungen zu verstehen. Das erlaubt es ihnen, Angriffe zu stoppen, bevor sie überhaupt zur Bedrohung werden.

Ein weiterer wichtiger Aspekt der nächsten Jahre sind die sich weiterentwickelnden staatlichen Richtlinien, die Unternehmen einhalten müssen. Firmen müssen diese im Auge behalten, um sowohl ihre Kunden als auch unternehmenskritische digitale Ressourcen zu schützen. Die effektive, automatisierte Durchsetzung von Sicherheitsrichtlinien über die gesamte Infrastruktur und die immer größer werdenden Anwendungsbereiche hinweg, wird ein ständiger Schwerpunkt sein.

Mit dem technologischen Fortschritt und den Mitteln, die Unternehmen zur Entwicklung und Bereitstellung hochperformanter Anwendungen und zur Verarbeitung und Übertragung noch größerer Datenmengen zur Verfügung stehen, werden neue Angriffstaktiken und Schwachstellen auftauchen. Wissen, Erfahrung und ein strategischer Ansatz zur Sicherung des Unternehmens, der Mitarbeiter und der Daten sind der Schlüssel zur Bewältigung der Herausforderungen, die sich aus den sich weiterentwickelnden Methoden der Cyberangriffe ergeben.

[1] 2022 Verizon Data Breach Incident Response Report, S. 14