„Die Cyber-Kriminalität hat sich zu einer regelrechten Industrie entwickelt.“

Diese Weisheit geht auf Sun Tzu zurück, der sagte: „Wenn du dich und den Feind kennst, brauchst du den Ausgang von 100 Schlachten nicht zu fürchten.“ Im Kontext der CyberSicherheit bedeutet das: Unternehmen müssen verstehen, wie potenzielle Angreifer vorgehen und handeln. Darüber hinaus müssen sie sich über ihre eigenen Schwachstellen und kritischen Assets im Klaren sein, damit sie sich verteidigen können. Die Ausgangslage ist jedoch bei jedem Unternehmen unterschiedlich. Dieses individuelle Verständnis ist entscheidend, weil es Unternehmen ermöglicht, proaktive Maßnahmen zu ergreifen und Ressourcen effektiv und zielgerichtet auf die individuelle Situation des Unternehmens einzusetzen. Sobald wir die Motivation und Vorgehensweise der Angreifer kennen, können wir gezielter Schutzmaßnahmen implementieren. Gleichzeitig hilft uns das Wissen über unsere eigenen Schwachstellen, diese zu adressieren, bevor sie ausgenutzt werden können.

Wir unterscheiden hauptsächlich zwischen finanziell motivierten Angreifern und solchen mit einer Mission. Finanziell motivierte Akteure reichen von einfachen Dieben bis hin zu komplexen Erpressern, die Ransomware einsetzen. Auf der anderen Seite haben wir missionsorientierte Angreifer wie sogenannte Hacktivisten mit politischen oder ideologischen Zielen oder sogar staatlich geförderte Akteure. Es ist wichtig zu verstehen, dass es einen florierenden Schwarzmarkt für Cyber-Kriminalität gibt, wo Angriffswerkzeuge und -dienstleistungen gehandelt werden.

Die Cyber-Kriminalität hat sich tatsächlich zu einer regelrechten Industrie entwickelt. Heute können Kriminelle ohne tiefgreifende technische Kenntnisse Ransomware as a Service für nur 66 Dollar im Voraus oder gegen 30 Prozent Gewinnbeteiligung erwerben. Spear- Phishing-Dienste kosten zwischen 100 und 1.000 Dollar pro erfolgreich kompromittiertem Konto. Neue Software-Schwachstellen sind sehr lukrativ. Für solche sogenannten Zero-Day- Exploits werden auf dem Schwarzmarkt 5.000 bis 350.000 Dollar geboten. Diese Entwicklung hat die Einstiegshürde für Cyber-Kriminelle drastisch gesenkt und die Bedrohungslandschaft erheblich erweitert.

Selbsterkenntnis beginnt damit, die eigenen kritischen Geschäftsprozesse zu kennen. Darauf kann die Vorbereitung zur Abarbeitung eines Notfalls oder einer Krise aufgebaut werden. In der Cyber-Sicherheit bedeutet dies weiterhin, die eigenen digitalen Assets und Schwachstellen genau zu kennen. Unternehmen sollten fortlaufend Sicherheitsaudits durchführen, ihre IT-Infrastruktur kartieren und potenzielle Angriffsvektoren identifizieren. Ebenso wichtig ist es, die eigene Belegschaft zu schulen und eine Sicherheitskultur zu etablieren. Nur wer seine Stärken und Schwächen kennt, kann effektive Schutzmaßnahmen implementieren.

Das Cyber-Resilienz-Framework basiert auf drei Säulen: Informationssicherheitsmanagement, Business Continuity Management und Krisenmanagement. Es geht darum, nicht nur präventive Maßnahmen zu ergreifen, sondern auch auf Vorfälle vorbereitet zu sein und schnell reagieren zu können. Das beinhaltet den täglichen Betrieb der Security-Landschaft, die Entwicklung von Sicherheitskonzepten, Notfallvorsorgekonzepten, Notfallhandbüchern und die Vorbereitung eines Krisenstabs. Ziel ist es, die Widerstandsfähigkeit des Unternehmens gegenüber Cyber-Angriffen ganzheitlich zu stärken.