Die Verschiebung der Verantwortung
Cyber-Resilienz im SaaS- und Cloudzeitalter
Angesichts der wachsenden Zahl und Komplexität von Cyberangriffen, insbesondere Ransomware, stehen Unternehmen vor einer großen Herausforderung. Die zunehmende Nutzung von Software-as-a-Service (SaaS) und Cloud-Diensten hat die Unternehmens-IT grundlegend verändert. Während Unternehmen von den Vorteilen der Skalierbarkeit und Kostenersparnis profitieren, verschiebt sich gleichzeitig die Verantwortung für die zugrundeliegende Infrastruktur. Die Gewährleistung der IT-Sicherheit der den SaaS- und Cloud-Plattformen zugrunde liegenden Infrastruktur obliegt den Anbietern. Unternehmen verlieren den Einfluss auf klassische Sicherheitsmaßnahmen wie Patch-Management oder Observability.
Das bedeutet jedoch keineswegs, dass eine Organisation den wachsenden Cyberrisiken hilflos ausgeliefert ist. Vielmehr verlagert sich der Fokus von der Infrastruktursicherheit hin zur Resilienz der eigenen Daten und Prozesse. Denn, obwohl der Schutz der Cloud-Infrastruktur beim Anbieter liegt, trägt das Unternehmen nach wie vor die Verantwortung für die Sicherheit der eigenen, in dieser Infrastruktur gespeicherten und verarbeiteten Daten.
Best Practices zur Stärkung der Cyber-Resilienz im SaaS- und Cloudzeitalter
Cyber-Resilienz ist mehr als nur eine technische Lösung. Unternehmen müssen eine proaktive Haltung einnehmen und eine Kultur der Sicherheit schaffen, um sich nachhaltig gegen die sich ständig wandelnden Bedrohungen zu wappnen.
Wir sprachen im Rahmen der IT Press Tour im Januar 2025 bei einem Besuch im Silicon Valley mit Cohesity über dieses Thema. Das Unternhmen ist selbst Anbieter von SaaS- und Clouddiensten und weiß, worauf es ankommt.
Laut James Blake, VP of Cyber Resiliency Strategy bei Cohesity, liegt die wahre Stärke von Cyber-Resilienz nicht in einer Standardlösung, sondern im Zusammenspiel von Menschen, Prozessen und Technologie: „Wahre Resilienz geht über die bloße Einführung einer Standard-Technologielösung hinaus; es geht darum, wie diese Lösungen eingesetzt werden, welche Unternehmenskultur vorhanden ist und ob die notwendigen Fähigkeiten und Prozesse bestehen, um sie aufrechtzuerhalten. Organisationen sollten sich kontinuierlich an einem Cyber-Resilienz-Reifegradmodell orientieren und regelmäßig Übungen dazu durchführen, um Menschen, Prozesse und Technologien zu optimieren und eine Art Muskelgedächtnis aufzubauen. Indem sie sich vom Burggraben-Denken lösen, erhalten Organisationen den Ansatz und die Werkzeuge, die notwendig sind, um sich gegen die scheinbar endlosen Veränderungen beim Vorgehen von Angreifern zu schützen.“
Nutzen Sie seine Best Practices als Leitplanken für die Stärkung Ihrer Cyber-Resilienz.
1. Vorbereitet sein
Ein effektives Krisenmanagement beginnt lange vor dem eigentlichen Angriff. Ein abteilungsübergreifendes Sicherheitsteam ist unerlässlich, da ein Ransomware-Angriff das gesamte Unternehmen betrifft. Alle Beteiligten – von IT und Führungsebene bis hin zu Personal- und Rechtsabteilung – müssen ihre Rolle und Verantwortlichkeiten kennen. Regelmäßige, realistische Übungen und die kontinuierliche Aktualisierung von Strategien für Backups und betriebliche Resilienz sind heute Pflicht.
2. Achtsam bleiben
Die Schulung der Mitarbeiter ist essenziell. Denn der menschliche Faktor bleibt das größte Einfallstor für Angriffe, sei es durch Phishing-E-Mails oder Social Engineering. Die Kenntnis über die Taktiken von Ransomware-Banden ermöglicht es Unternehmen, ihre Mitarbeiter gezielt zu sensibilisieren und eine proaktive Sicherheitskultur zu schaffen, unabhängig davon, ob die Infrastruktur vor Ort oder in der Cloud liegt.
3. Proaktiv handeln
Angreifer sind kreativ und entwickeln ihre Methoden ständig weiter. Unternehmen sollten sich daher intensiv mit den Taktiken, Techniken und Verfahren (TTPs) bekannter Ransomware-Banden auseinandersetzen. Eine konsequente Schulung aller Mitarbeitenden zur Erkennung und Meldung von verdächtigen Aktivitäten ist dabei ebenso wichtig wie die Sicherstellung, dass das Sicherheitsteam auch bei einem vollständigen Netzwerkausfall über externe Kanäle kommunizieren kann. Im Ernstfall sollten zudem sofort spezialisierte externe Expertenteams hinzugezogen werden.
4. Angriffsfläche reduzieren
Jede Schwachstelle ist ein potenzielles Einfallstor. Unternehmen können auch bei der Nutzung von Cloud- und SaaS-Diensten ihre Angriffsfläche reduzieren, indem sie die Sicherheit der Endpunkte und Identitäten konsequent verwalten. Durch das Ermitteln und Schließen von kritischen Sicherheitslücken, die besonders häufig von Cyberkriminellen ausgenutzt werden, kann die Angriffsfläche massiv reduziert werden.
4. Daten schützen
Der Schutz der Daten, nicht nur der Infrastruktur, steht im Vordergrund. Besonders sensible Daten erfordern einen zusätzlichen Schutz. Multifaktor-Authentifizierung (MFA) für alle Zugriffe auf sensible Daten ist unverzichtbar. Das Prinzip der geringsten Berechtigung und eine konsequente Netzwerksegmentierung sind essenzielle Maßnahmen, um die Ausbreitung von Malware – zu der auch Ransomware gehört – einzudämmen.
6. Backups schützen
Die Wiederherstellung nach einem Angriff steht und fällt mit der Integrität der Backups. Sichern Sie Ihre Daten in Backup-Systemen, die von der primären Produktionsumgebung getrennt und isoliert sind. Unveränderliche (immutable) Daten sind hierbei der Schlüssel, da sie nicht von Angreifern manipuliert oder gelöscht werden können. Zusätzlich bieten die Multifaktor-Authentifizierung (MFA) und eine rollenbasierte Zugriffskontrolle (RBAC) für Administratoren einen wichtigen Schutzschild. Die regelmäßige Erstellung eines Golden Masters von kritischen Systemen beschleunigt die Wiederherstellung erheblich.
7. Ransomware-Schutz verstärken
Durch eine kontinuierliche Analyse der von Angreifern genutzten ATT&CK-Techniken können Sicherheitslücken frühzeitig identifiziert werden. Ergänzende Maßnahmen, wie die Anomalie-Erkennung im Dateisystem von Endgeräten (z. B. ungewöhnliche Verschlüsselungs- oder Löschvorgänge), sowie E-Mail-Filter, die bösartige Links und Anhänge blockieren, sind unverzichtbar. Ein weiterer wichtiger Schritt ist, die Ausführung von nicht autorisierter Software zu verhindern.
8. Ransomware erkennen
Frühzeitige Erkennung kann den Schaden minimieren. Die Erkennung von Anomalien und die Fähigkeit, schnell auf einen Angriff zu reagieren, sind entscheidend, unabhängig vom Standort der IT-Infrastruktur. Maßnahmen wie die Überwachung von ungewöhnlicher Netzwerkkommunikation oder die Isolierung infizierter Hosts gelten ebenso für eine hybride IT-Umgebung. Ungewöhnliche Verhaltensmuster wie eine plötzliche Steigerung der CPU- oder Festplattennutzung oder ungewöhnliche Netzwerkprotokolle wie I2P oder TOR, die oft von Ransomware-Banden genutzt werden, können alarmierende Anzeichen eines Angriffs sein.
9. Schnell reagieren
Im Ernstfall zählt jede Minute. Infizierte Hosts müssen sofort vom gesamten Netzwerk getrennt werden, um eine weitere Ausbreitung zu verhindern. Bei größeren Vorfällen hilft ein Clean Room, den Betrieb zügig wieder aufzunehmen. Er ermöglicht die sichere Wiederherstellung des letzten intakten Backups. Analysen der Produktionsumgebung und des Angriffs sind wichtig für das Verständnis, wie der Angreifer eingedrungen ist und ob noch Reste des Angriffs bestehen.
10. Offen kommunizieren
In einer Krisensituation ist transparente Kommunikation entscheidend, um Vertrauen zu wahren und Gerüchten entgegenzuwirken. Betroffene Personen, Aufsichtsbehörden, Versicherungsgesellschaften und Strafverfolgungsbehörden müssen in Übereinstimmung mit regulatorischen und gesetzlichen Verpflichtungen benachrichtigt werden. Die zeitnahe, transparente Information für interne Beteiligte und die Öffentlichkeit kann bei der Schadensbegrenzung helfen und Vertrauensverlusten vorbeugen.
Fazit
Cyber-Resilienz ist ein Marathon, kein Sprint. Sie lässt sich nicht durch den Kauf einer einzigen Standardlösung erreichen, sondern erfordert das stetige Zusammenspiel von Menschen, Prozessen und Technologie. Indem Unternehmen diese acht Leitplanken verinnerlichen und sich von einem Cyber-Resilienz-Reifegradmodell leiten lassen, können sie ein Muskelgedächtnis für den Ernstfall aufbauen. Das Aufbrechen des Burggraben-Denkens und die kontinuierliche Anpassung an neue Bedrohungen sind die einzigen Wege, um die eigene Organisation im SaaS- und Cloudzeitalter langfristig zu schützen.