Cybercrime-Professionalisierung: Beispiele, Beweise, Ergebnisse
Geheimdienste beherrschen dieses Spiel in Perfektion, meint Inskeep: "Obwohl es beispielsweise bereits im Juni Anzeichen für den DNC Hack gegeben haben muss, erfuhren wir erst viel später davon - nämlich dann, als wir nichts mehr gegen den Angriff unternehmen konnten." Dass der Vorfall erst jetzt bekannt wurde, liege darin begründet, dass die US-Präsidentschaftswahlen nun in die heiße Phase gingen und das Bekanntwerden des Vorfalls einen spürbaren Einfluss ausüben könne.
Je abhängiger Staaten und die Welt insgesamt vom Internet und seinen vernetzten Strukturen werden, desto "normaler" würden diese Arten von Angriffen, meint Inskeep. Regierungen und Wirtschaftsunternehmen sollten grundsätzlich davon ausgehen, dass sich Geheimdienste und andere Hacker bereits in ihren Netzen und Systemen aufhielten - versteckt und unauffällig. Besser als die vollständige Abwehr der Angriffe ist es, wenn Unternehmen die Risiken managen. "Das stellt einen Widerspruch zum alten IT-Security-Mindset dar, dass sich auf die Auslieferung eines Standard-Sets von Defensiv-Techniken verließ und davon ausging, dass es Ihnen solange gut geht, bis das sprichwörtliche Feuer ausbricht", so Terbium-CEO Rogers.
Alles, was Sie planen und umsetzen wollen, sollten Sie in dem Wissen tun, dass sich Ihre Daten immer in einer latenten Gefahr befinden - sei es, dass sie gestohlen oder sabotiert werden. "Neben den guten Security-Standards sollten Sie immer einen Plan B in der Tasche haben für den Fall, dass die erste Schutzlinie versagt. Dieser Notfallplan könnte die aktive Überwachung der Systeme außerhalb des eigenen Netzes umfassen, aber auch eine gute Datenrettung nach einem Security Breach, eine Incident-Response-Strategie und eine Versicherung gegen Datendiebstahl", erläutert Rogers.
Es gibt Security-Anbieter am Markt, die im Darknet Ausschau nach Ihren gestohlenen Daten halten, damit Sie jederzeit sofort informiert sind, wenn die persönlichen Informationen Ihrer Mitarbeiter und Kunden, die Ihnen unfreiwillig abhandengekommen sind, in den dunklen Nebengassen des Internets gehandelt werden. Zu diesen Anbietern gehören beispielsweise Massive, MarkMonitor und Terbium Labs.
Gehackte Unternehmen: Regeln einhalten, Regierung einschalten
Wenn Sie Opfer eines Datenklaus geworden sind, gelten einige Regeln, die unbedingt eingehalten werden sollten: Reagieren Sie sofort, ergreifen Sie forensische Maßnahmen, finden Sie sowohl alle Spuren der Angreifer als auch alle Schwachstellen in Ihren Systemen, patchen Sie diese, stellen Sie notfalls verlorene Daten wieder her und befolgen Sie Ihren (hoffentlich vorhandenen) Response-Plan, den Sie bitte vorher ausgetestet haben, damit er auch im Notfall funktioniert.
Auch wenn es für Behörden und Unternehmen, die viel zu verlieren haben, mit Sicherheit schwierig ist, eine solche zu etablieren, sei es unabdingbar, eine maßgeschneiderte Cybersecurity-Policy zu haben, rät Inskeep. Dazu müssen Unternehmen zunächst die Frage beantworten, zu welchem Zeitpunkt eines Vorfalls welche Behörden eingeschaltet werden sollten, welche Hilfe bei welchen Angriffsarten erwartet wird, wie viel Geld für das Risiko-Management ausgegeben werden kann - besonders dann, wenn es um staatliche Angriffe geht. Inskeep: "Sie müssen Ihre Grenzen festlegen und dann Beziehungen, Prozesse und Know-how aufbauen, um diese Grenzen zu schützen."
Ohne staatliche Hilfe solle kein Unternehmen versuchen, sich gegen staatliche Angriffe aus dem Ausland zu verteidigen, meint Inskeep. Die Ausgaben, die für IT-Security aus Eigenmitteln bereitgestellt werden könnten, seien selbst bei den größten Konzernen durch Verträge mit den Anteilseignern begrenzt. Es bedarf einer breiten Front aus Unternehmen, Branchenverbänden, Security-Anbietern, Regierungen und Strafverfolgungsbehörden, die untereinander Informationen tauschen und im Kampf gegen Hacker und Cyberspione zusammenstehen, betont Inskeep: "Nur so kann die Verteidung gelingen."
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.