Sie sind hier: HomeDatacenter

Security: Angriff ist die beste Verteidigung

Ein neuer Trend in der IT-Sicherheit: so genannte "Red Teams" sollen echten Cyber-Kriminellen zuvorkommen und Sicherheitslücken im Unternehmen aufspüren, bevor der Gau passiert. Ein Expertenkommentar.

Bildquelle: © Cocus

Lucas Will, Head of Competence-Center Information-Security bei Cocus

Bevor ein Unternehmen eine erfolgte Cyberattacke entdeckt, vergehen durchschnittlich acht Monate. Die Folgekosten gehen bei größeren Unternehmen schnell in die Millionen. Um den Angreifern einen Schritt voraus zu sein und so mitunter ruinöse Schäden zu verhindern, setzen immer mehr Konzerne auf "Red Teams", die wie echte Hacker aktiv nach Schwachstellen suchen. Doch auch für kleinere Unternehmen kann sich diese Methode schnell auszahlen.

Die Idee ist nicht neu: Beim Militär ist es üblich, dass zu Trainingszwecken Red-Teams gebildet werden, die die Rolle des Feindes übernehmen. Neu ist dagegen, dass Unternehmen wie Microsoft oder auch Daimler auf ähnliche Weise ihre Systeme beschützen. So beschäftigt Microsoft mittlerweile festangestelltes Personal, dessen Aufgabe es ist, wie echte Ganoven den eigenen Cloud-Service zu attackieren.

Ziel ist es, mögliche Schwachstellen zu finden, bevor echte Bösewichte zuschlagen. Denn ansonsten werden die Kosten selbst für einen Giganten wie Microsoft schmerzhaft teuer. Laut Microsoft-Sicherheitschef Paul Nicholas liegen die durchschnittlichen Kosten für die Reaktion auf einen Angriff bei 3,5 Millionen US-Dollar. In einigen Fällen lägen die Schäden gar bei einer Viertelmilliarde. Angesichts derartiger Summen wird klar, wieso Microsoft es sich leistet, Spezialeinheiten in-house zu beschäftigen. Deren kombiniertes Gehalt dürfte selbst bei guter Bezahlung deutlich unter 250 Millionen Dollar liegen. Ein Imageschaden, wie er bei Apple auftrat, als im vergangenen Jahr die Nachricht von gehakten Accounts die Runde machte, steht ebenfalls keinem Konzern gut zu Gesicht.

Auch andere Großunternehmen wie Daimler setzen statt auf herkömmliche Penetrationstests vermehrt auf Red-Teams. Firmen dieser Größenordnung haben die finanziellen Ressourcen, um kurzerhand komplett neue Abteilungen einzurichten, die sich als Hacker auf die vorhandenen Systeme stürzen. Kleinere Unternehmen können sich dagegen oftmals keine eigenen Red-Teams leisten. Da sie dennoch ebenfalls der sehr realistischen Gefahr ausgesetzt sind, Ziel von Hackern zu werden, investieren viele von ihnen in veraltete Lösungen – in der Hoffnung, dass mit ein wenig Glück schon nichts passiert. Allein schon das Gefühl, etwas getan zu haben, hilft dabei, wieder besser schlafen zu können.