Da Angriffe alltäglich werden, haben CISOs oft die schwierige Aufgabe, Unternehmen aus den Schlagzeilen herauszuhalten. Keine Lösung bietet 100% Schutz. Daher müssen sie sich auf den Aufbau von Cyberresilienz und -Recovery konzentrieren, um Unternehmen zu helfen, nach einem Angriff wieder auf die Beine zu kommen. Eine schnellere Recovery minimiert Unterbrechungen, verringert finanzielle Verluste und gewährleistet die Betriebskontinuität. Wie können Unternehmen sich wieder schneller erholen? Finden Sie es heraus.
Unternehmen arbeiten heute in Hochrisikoszenarien. Zahlreiche Faktoren können ein Unternehmen beeinträchtigen – von einem geopolitischen Konflikt bis hin zu einem Sicherheitsvorfall. Die Zahl der Initiativen zur digitalen Transformation ist in die Höhe geschossen. Mehr als 90 % der Unternehmen hosten Daten in der Cloud.1 Die Kehrseite der beschleunigten Digitalisierung sind die zunehmende Häufigkeit und das Ausmaß der Angriffe. Jeden Tag gibt es etwa 4.000 Angriffe und alle 14 Sekunden2 ist ein Unternehmen von einem Ransomware-Angriff betroffen. Unternehmen müssen ihre Cybersicherheitsmaßnahmen verstärken, um Cyberbedrohungen abzuwehren.
Unternehmen sollten jederzeit auf das Schlimmste vorbereitet sein. Der ehemalige FBI-Direktor Robert Mueller sagte einmal: „Es gibt nur zwei Arten von Unternehmen: solche, die schon gehackt wurden und solche, die es noch werden.“3 Leider trifft diese Aussage auch heute noch zu. Da sich die Bedrohung wie ein Lauffeuer ausbreitet, ist die Möglichkeit, dass eine Datenschutzverletzung oder ein Hackerangriff erfolgt, fast unvermeidlich geworden.
Laut einem Bericht von Gartner zufolge werden bis 2025 etwa 75 % der Unternehmen mit einem oder mehreren Angriffen konfrontiert gewesen sein, die mit Betriebsunterbrechungen und Ausfallzeiten einher gingen.4 Präventive Sicherheitsmaßnahmen sind wichtig. Aber keine Lösung garantiert einen 100%igen Schutz vor Angriffen – vor allem, wenn die Angriffsmethoden immer ausgefeilter werden. Unternehmen müssen Cyberbedrohungen schnell entdecken und sich schneller von Angriffen erholen. Es ist nicht realistisch, fortgeschrittene und bisher unbekannte Bedrohungen mit begrenzten Mitteln zu bekämpfen. Sie müssen Cyberresilienz aufbauen, um Störungen zu begrenzen und die Geschäftskontinuität zu gewährleisten. Der Aufbau von Cyberresilienz erfordert einen strategischen Ansatz. Dieser Blog thematisiert, wie Unternehmen damit beginnen können.
Ein Schlüsselelement beim Aufbau von Cyberresilienz ist die Cyberwiederherstellung – ein reaktiver Ansatz nach einem Vorfall. Die Pläne zur Cyber Recovery sind wie Disaster-Recovery-Pläne, die darauf abzielen, IT-Infrastrukturen und Daten nach Unterbrechungen aufgrund unerwarteter Ereignisse (politische Ereignisse, Naturkatastrophen, Kriege usw.) wiederherzustellen. Lösungen zur Cyberwiederherstellung befassen sich ausschließlich mit Cybervorfällen.
Die Wiederherstellung von Systemen, Daten und Abläufen nach einem Cyberangriff oder einer Datenschutzverletzung ist für jedes Unternehmen absolut kritisch. Effiziente Recovery-Maßnahmen können die Auswirkungen des Angriffs erheblich verringern und Kostensparen. Die durchschnittlichen Wiederherstellungskosten, die Unternehmen im Jahr 2023 zu tragen hatten, lagen bei 1,85 Millionen USD.5
Finanziellen Verluste aufgrund von Angriffen nehmen täglich zu. Allein im Jahr 2023 überstieg die Summe der Ransomware-Zahlungen 1 Milliarde US-Dollar.6 Von allen Sicherheitsvorfällen waren 24 % mit Ransomware verbunden. Die Zahlung des Lösegelds ist jedoch keine Garantie dafür, dass man alle Daten zurückbekommt. Einem Bericht von Gartner zufolge werden im Durchschnitt nur 65 % der Daten nach der Zahlung zurückgegeben.7 Außerdem verlangen Ransomware-Angreifer die Zahlung in Bitcoins und die Transaktionen werden im Bitcoin-Netzwerk gespeichert, das öffentlich ist. Folglich steigt die Wahrscheinlichkeit weiterer solcher Angriffe, da Kriminelle wissen, dass das betroffene Unternehmen bereit ist, Lösegeld zu zahlen.
Als proaktive Strategie müssen Unternehmen daher eine Lösung zur Cyber Recovery nutzen, die ihnen einen Vorteil verschafft. Unternehmen, die auf Datensicherungspraktiken zurückgriffen, gaben rund 375.000 US-Dollar für die Wiederherstellung nach einem Angriff aus. Unternehmen, die keine Datensicherung hatten, zahlten ein Lösegeld von 750.000 US-Dollar.
Allein durch Datensicherung lassen sich etwa 50 % der Lösegeldzahlungen einsparen – das ist eine beachtliche Zahl.8 Berichten zufolge ermöglicht ein Reaktionsplan eine schnellere Wiederherstellung und spart bis zu 1 Million US-Dollar.9 Unternehmen mit Backup- und Wiederherstellungsplänen erleiden bei einem Ransomware-Angriff etwa 96 % weniger finanzielle Auswirkungen.10 Im Folgenden sehen wir uns an, wie Datensicherungen als Teil des Wiederherstellungsansatzes erstellt werden.
Datensicherungen bieten Unternehmen im Falle eines Angriffs ein Sicherheitsnetz, weil sie nach der Wiederherstellung der Daten in den Zustand vor dem Angriff zurückkehren können. Daher ist die Erstellung von Backups unerlässlich – aber dies erfordert eine Strategie. Heute wissen die Angreifer , dass Unternehmen Backups als Notfallplan erstellen und nehmen daher zuerst die diesbezügliche Infrastruktur ins Visier. Zum Beispiel verschlüsseln moderne Ransomware-Angriffe nicht nur Systeme, sondern können auch Backup-Speicher ins Visier nehmen. Fast 97 % der Ransomware-Angriffe zielen auf Backup-Systeme ab.11 Die Zeit, die benötigt wird, um einen Angriff zu starten und Lösegeld zu fordern, hat sich von Monaten auf Tage verkürzt, so dass ein dringender Bedarf an einer sicheren Infrastruktur für die Datensicherung besteht.
Unternehmen müssen ihre traditionellen Backup-Methoden überdenken, um einen sicheren Plan zur Cyberwiederherstellung zu entwickeln. So gehen Sie richtig vor:
Die erstellten Backups müssen optimiert werden, damit sie im Falle eines Sicherheitsvorfalls besser genutzt werden können. Dafür sorgen regelmäßige Sicherungspläne, die Priorisierung kritischer Daten und die Reduzierung der Speicheranforderungen für die Sicherung durch Deduplizierung und Komprimierung. Cybersicherheits- und Infrastrukturteams sollten außerdem eine isolierte Wiederherstellungsumgebung (Isolated Recovery Environment, IRE) einrichten. Dabei handelt es sich um eine sichere und separate Umgebung, die speziell für die Wiederherstellung kritischer Systeme, Anwendungen und Daten verwendet wird. Die Erstellung einer IRE-Architektur kann jedoch ein zeit- und kostenintensives Projekt sein.
Vor der Wiederherstellung solltenSicherheitsteams die Ausbreitung des Angriffs, die Art der Bedrohung und die angegriffenen Systeme kennen. Nach dieser Bewertungist die nächste Aufgabe, den Angriff einzudämmen. Im Falle von Ransomware ist das Verhindern einer weiteren Verschlüsselung entscheidend. Die Isolierung betroffener Ressourcen oder Netzwerke ist hierbei wesentlich. Hier hilft die Segmentierung dabei, die betroffenen Netze vom Rest zu isolieren und die weitere Ausbreitung des Angriffs einzudämmen. Sobald die Wiederherstellungsstelle, die vom Angriff nicht betroffen war, ermittelt ist, sollten die Daten verschoben und in die Produktionsumgebung integriert werden, um den Betrieb wiederherzustellen. Unternehmen müssen evaluieren, ob die Sicherheitstools mit den integrierten Daten reibungslos funktionieren, um weitere Ausfälle vor der endgültigen Synchronisierung zu vermeiden.
Unternehmen sollten die grundlegenden Dienste bewerten, die die Lebensadern ihres Unternehmens sind, und diese zuerst wiederherstellen. Die verbleibenden Dienste und Anwendungen können je nach Wichtigkeit für das Unternehmen priorisiert werden. Um Daten schnell wiederherzustellen und Server neu aufzubauen, sollten Automatisierungsvorlagen verwendet werden. Ziel ist es, die Wiederherstellungszeit zu minimieren, da bei einem Sicherheitsvorfall jede Stunde zählt. Diese Tools können Wiederherstellungsaufgaben rationalisieren und sind somit ein wichtiger Faktor für eine schnellere Recovery.
Unternehmen können bis zu 400.000 US-Dollar pro Stunde durch Anwendungsausfälle verlieren. Diese Zahl kann auf bis zu 1 Million US-Dollar pro Stunde steigen.12 Manche Ausfälle können zu existenziellen Krisen in kleinen und mittleren Unternehmen führen, die nur begrenzte Ressourcen haben, um sich von einem Cyberangriff zu erholen. So musste beispielsweise das Lincoln College, eine US-amerikanische Hochschule, seinen Betrieb einstellen, nachdem es während der ohnehin schwierigen COVID-19-Pandemie zusätzlich von einem Ransomware-Angriff betroffen war.13 Die Hochschule war drei Monate lang außer Betrieb. Nach der Zahlung des Lösegelds in Höhe von 100.000 US-Dollar konnte die Organisation die verlorene Zeit nicht mehr aufholen und musste den Lehrbetrieb aufgrund von Verlusten einstellen.
Unternehmen müssen nach Möglichkeiten suchen, den Betrieb so schnell wie möglich wieder aufzunehmen, um Verluste zu minimieren – aber die Wiederherstellung kann nur erfolgreich sein, wenn die Systeme von der Sicherheitsbedrohung nicht betroffen sind. Sicherheitsexperten müssen die wiederhergestellten Daten und Dienste in isolierten Umgebungen untersuchen, um die Beseitigung der Ransomware-Bedrohungen zu bestätigen. Diese Überprüfung kann mithilfe signaturbasierter Erkennung und fortschrittlichen KI/ML-Toolsdurchgeführt werden, um anomale Aktivitäten zu erkennen und den Erfolg der Recovery umfassend zu überprüfen. Es besteht jedoch die Gefahr, dass Malware die wiederhergestellten Systeme erneut angreift. Sie sollten daher den Einsatz von Software für Abhilfemaßnahmen in Erwägung ziehen, um Bedrohungen vollständig von den Systemen zu entfernen. Es ist auch möglich, dass veraltete Sicherheitssysteme zu dem Cyberangriff geführt haben. In diesem Fall müssen die Sicherheitsteams zunächst die Systeme patchen und aktualisieren, bevor sie diese wiederherstellen können.
Nach der Sanierung und dem Patching besteht der nächste Schritt darin, die wiederhergestellten Systeme in die Produktionsumgebung zu integrieren. Nach der Integration stellt der Validierungsprozess sicher, dass die Anwendungen und Daten vorhanden sind und die Dienste wie gewünscht arbeiten. Sobald alles funktioniert, sollten sich die Teams wieder mit den Sicherheitsproblemen befassen und an deren Behebung arbeiten. Die kompromittierten Server und Daten müssen weiter analysiert werden, um die Ursache und die Angriffsmethode zu verstehen. Die Infrastruktur sollte regelmäßig bewertet werden, wobei veraltete Systeme als potenzielle Schwachstellen einzustufen sind. Unternehmen sollten wissen, welche Anwendungen nicht mehr vom Hersteller unterstützt werden.
Bei der Cyberwiederherstellung ist die Erstellung eines Plans zur Reaktion auf Vorfälle ebenso wichtig wie die Schaffung einer Infrastruktur. Im Folgenden werden die einzelnen Phasen des Reaktionsplans bei Vorfällen beschrieben:
Erkennung: In der Erkennungsphase geht es darum, die Anzeichen für einen Sicherheitsvorfall oder eine Sicherheitsverletzung in den Systemen oder Netzwerken des Unternehmens zu identifizieren. Dazu können Warnungen von Sicherheitstools, ungewöhnliches Systemverhalten oder Berichte von Mitarbeitenden gehören. Ziel ist es, das Vorliegen eines Vorfalls sofort zu erkennen und einen Reaktionsprozess einzuleiten. Ransomware-Angriffe können auch durch Signaturabgleich erkannt werden. Auf maschinellem Lernen basierende Algorithmen sind ebenfalls eine gute Möglichkeit, um abnormes Verhalten zu erkennen. Sicherheitsteams können sich auf Tools wie E-Mail-Suchfilter, Weblogs, Endpunkte, Antivirenprodukte und Netzwerk-Gateways verlassen, um kompromittierte Systeme, Datenexfiltration, Verstöße gegen Active Directory usw. zu erkennen.
Analyse: In dieser Phase untersucht das Incident-Response-Team Art, Umfang und Auswirkungen des Sicherheitsvorfalls, um die Schwachstellen, die Angriffsmethoden, die verschlüsselten Dateien und die exfiltrierten Daten zu ermitteln. Dazu gehört das Sammeln von Beweisen, die Durchführung forensischer Analysen und die Bewertung des Schweregrades der Verletzung. Ziel ist es, einen umfassenden Überblick über den Vorfall zu gewinnen und die Eindämmungs- und Wiederherstellungsmaßnahmen zu beschleunigen.
Containment: In dieser Phase geht es darum, die Ausbreitung und die Auswirkungen des Sicherheitsvorfalls zu begrenzen. Dazu kann gehören, die betroffenen Systeme oder Netze zu isolieren, Zugangskontrollen einzuführen und vorübergehende Sicherheitsmaßnahmen zu ergreifen, um weitere Schäden zu verhindern. Hier ist das Hauptziel, die Ausweitung des Vorfalls zu verhindern, während die Wiederherstellungsmaßnahmen laufen. Das Containment umfasst die Quarantäne aller kompromittierten Systeme, das Sperren infizierter Benutzerkonten, das Blockieren des Netzwerkverkehrs, die Durchsetzung von Passwortänderungen und die kontinuierliche Kommunikation mit den Beteiligten – einschließlich den Mitarbeitern.
Ausschaltung: In dieser Phase arbeitet das Incident-Response-Team daran, die Ursache des Sicherheitsvorfalls in den Systemen und Netzwerken des Unternehmens zu beseitigen. Dazu gehören die Entfernung von Malware, die Behebung von Sicherheitslücken und die Implementierung von Sicherheitskontrollen, um ähnliche Vorfälle in Zukunft zu verhindern. Das Ziel ist es, alle verbleibenden Bedrohungen zu beseitigen und die betroffenen Systeme wieder in einen sicheren Zustand zu bringen.
Wiederherstellung: In dieser Phase geht es darum, die betroffenen Systeme und Daten wieder in den Normalbetrieb zurückzuführen. Dies kann die Wiederherstellung von Backups, die Neuinstallation von Software und die Neukonfiguration von Systemen beinhalten, um deren Sicherheit zu gewährleisten. Das Ziel ist, die Ausfallzeit zu minimieren, den Geschäftsbetrieb wiederherzustellen und so schnell wie möglich zur Normalität zurückzukehren. Einige Metriken, die Unternehmen im Auge behalten sollten, sind das Recovery Point Objective (RPO) und das Recovery Time Objective (RTO). Das RPO ist die Menge an Daten, die ein Unternehmen maximal verlieren darf. Das RTO ist die maximale Zeit, die ein Unternehmen benötigt, um den normalen Betrieb nach einem Vorfall wiederherzustellen.
Unternehmen, die über die richtigen Sicherheitstools, Reaktionspläne und Wiederherstellungsstrategien verfügen, geraten bei Sicherheitsvorfällen nicht in Panik. Einige der Sicherheitslösungen, die Unternehmen in Erwägung ziehen sollten, um besser auf Cyberbedrohungen vorbereitet zu sein, sie zu erkennen und zu bekämpfen, sind:
Für ein Unternehmen ist es oft schwierig, einen 360-Grad-Überblick über die Sicherheitstools, die Sicherheitslage, die Schwachstellen in den Systemen und die externe Bedrohungslage zu behalten. T-Systems unterstützt Unternehmen dabei, ihre Sicherheitslage zu bewerten und die Lücken zu schließen. Wir stehen Unternehmen zur Seite, wenn sie durch robuste Sicherheitsmaßnahmen und effiziente Wiederherstellungsstrategien widerstandsfähige Systeme aufbauen. Setzen Sie sich mit uns in Verbindung, um gemeinsam mit unseren Experten eine Sicherheitsstrategie für Ihr Unternehmen zu entwickeln.
1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies