Bei ihrer Strategie für die Cyber-Resilienz sollten Unternehmen einen klaren Blick darauf haben, welche Gefahren drohen und welche taktische Umsetzung in der Abwehr und der Datenwiederherstellung am wichtigsten ist. Neueste Untersuchungen, wie beispielsweise der Sophos X-Ops Active Adversary Report, zeigen, dass die allgemeine Gefahr, von einer Ransomware betroffen zu werden, besonders hoch ist. Seit nunmehr vier Jahren steht Ransomware mit 70 Prozent der untersuchten Incident Response Fälle der Sophos X-Ops-Teams auf Platz eins der Cyberangriffe. Weitere Untersuchungen zeigen zudem, dass über die Jahre 2020 bis 2023 kompromittierte Anmeldedaten die häufigste Ursache für Angriffe, die in fast einem Drittel aller untersuchten Fälle auftraten, waren. Damit ist klar, dass Unternehmen für eine ganzheitliche Strategie zur Cyber-Resilienz neben der wirkungsvollen Abwehr auch auf eine zuverlässige Datenwiederherstellung setzen sollten.
Abwehr: First Line of Defence
Die Erkennung und Verhinderung von bösartigen Aktivitäten – sowohl von externen als auch von internen Quellen – die ein Risiko für die Vertraulichkeit, Verfügbarkeit und Integrität von Daten darstellen, ist eine elementare Komponente der Cyber-Resilienz. Denn das Risiko, beispielsweise von Ransomware betroffen zu werden ist hoch. Der aktuelle State of Ransomware Report von Sophos lässt daran keinen Zweifel. Zwar deutet die diesjährige Umfrage unter weltweit 5.000 Führungskräften im Bereich Cybersicherheit/IT auf einen leichten Rückgang der Zahl der Ransomware-Angriffe im weltweiten Vergleich hin: 59 Prozent der Unternehmen sind weltweit betroffen; im Jahr 2023 lag diese Zahl bei 66 Prozent. Allerdings ist die durchschnittliche Lösegeldzahlung im vergangenen Jahr um 500 Prozent gestiegen.
Wichtig sind daher Lösungen zur Abwehr, die einen Angriff in einem sehr frühen Stadium durch automatisierte und KI-unterstütze Security-Technologie und in Verbindung mit menschlichem Threat-Hunting erkennen und vereiteln. Mit dem Fokus auf das Risiko- und Bedrohungspotenzial, der sich auf alle Benutzer und Systeme erstreckt, werden die Datenproduktion und deren Sicherheit sowie die Art und Weise, wie mit den Daten interagiert wird, ständig überprüft. Im Falle einer Kompromittierung einer Umgebung durch einen Cyber-Angreifer können sowohl die Produktivkomponenten als auch die Datenspeicher und Backup-Systeme durch proaktive Neutralisierung von Bedrohungen vor Manipulationen und Zerstörung geschützt werden. Möglich ist dies, wenn die Schutz- und Abwehrlösungen sowohl lokal als auch remote eingesetzt werden und so einen universellen Schutz für Systeme und Benutzer bieten, bei denen die Speicherung und Erzeugung von Daten im Mittelpunkt steht.
Wiederherstellung: Second and last line of Defence
In der schnelllebigen und hoch effizienten digitalen Wirtschaft von heute sind Daten nur selten statisch. Sie werden in einem erstaunlichen Tempo erstellt, sie sind in Bewegung und werden ausgetauscht. Das hat zur Folge, dass sich die Daten entwickeln und dass es unterschiedliche Status an unterschiedlichen Speicherorten gibt. Selbst unter diesen Umständen muss bei einer Cyber-Attacke sichergestellt sein, die Daten wiederherstellen zu können, als ob nichts passiert wäre. Auch an dieser Notwendigkeit lässt der aktuelle State of Ransomware Report keinen Zweifel: 68 Prozent der von Ransomware betroffenen Befragten bestätigten, dass sie ihre Daten aus den Backups wiederhergestellt haben. In der Umkehrfolge waren ein Drittel (32 Prozent) nicht in der Lage, die Daten auf diesem Weg wiederherzustellen. Dies führt in Folge dazu, dass Unternehmen die exorbitant hohen Lösegeldsummen bezahlen – ohne die Garantie zu haben, dass sie auf diesem Weg komplett alle Daten wiederherstellen können.
Eines der entscheidenden Elemente eines Datensicherungssystems, sind dessen Protokolldateien. Die Aufzeichnung der Backup-Aktivitäten und die Audit-Ergebnisse geben einen ausgezeichneten Einblick in den Grad der Sicherheit im Falle eines Cyberangriffs.
Gute Cyber-Resilienz entsteht nicht aus Sicherheits-Inseln
Für eine wirkungsvolle Strategie zur Cyber-Resilienz sollten die Lösungen für Schutz, Abwehr und Datensicherung nicht solitär nebeneinander, vielleicht sogar von unterschiedlichen IT-Teams, betrieben werden. Vielmehr ist eine teilweise Integration hilfreich, um die Ziele der Cyber-Resilienz zu erreichen. Daher arbeitet Sophos eng mit Data-Protection-Anbietern auf lösungsintegrativer Ebene zusammen. Mit dem Backup-Anbieter Arcserve beispielsweise existiert seit einigen Jahren eine enge Technologiepartnerschaft. Sophos Intercept X ist ein integrativer Bestandteil der Unified Data Protection (UDP)-Lösung von Arcserve. Damit erreichen die Anwender zusätzlich zur klassischen Security und Data Protection eine zielgerichtete Security speziell für die Backups. Für Unternehmen bedeutet das eine zusätzliche Security-Schicht, um im Fall einer Cyberattacke auf die Widerherstellung der Daten aus den Backups bauen zu können. Ein weiteres Beispiel ist die Kooperation mit Veeam seit Februar 2024, bei der die Sophos-Lösungen und -Security-Services MDR und XDR in die Backup & Replication Lösung von Veeam integriert sind. Mit Sophos und Veeam können Unternehmen die Integrität und Verfügbarkeit von Backups sicherstellen und das Risiko von Datenverlusten aufgrund von Malware, versehentlichem Löschen, internen Sicherheitsbedrohungen und anderen Datenverlustszenarien maßgeblich reduzieren.