Das Risiko für Hackerangriffe steigt. Allein im letzten Jahr sind rund 58 Prozent der Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden. Alles auf Cybersecurity – sollte man meinen.
Die Wahrheit sieht anders aus: Zugänge zu Online-Meetings des Bundeskanzlers liegen offen im Netz, solche zur Parteizentrale der CDU sind lediglich passwortgeschützt und der Teamviewer ist keinesfalls aufs Team beschränkt.
Das Bild der innovativen IT-Branche stimmt in Puncto Gefahrenabwehr nur zum Teil. Denn Bestellungen werden weiterhin per Fax gemacht, gearbeitet wird mit veralteter Software und Zwei-Faktor-Authentifizierung scheitert gern mal am Aufwand – eine Einladung für jeden Hacker. Die guten Neuigkeiten: Unternehmen können dem Ernstfall vorbeugen, wenn sie regelmäßig Health Checks durchführen. Wer diese Checks braucht und wie sie funktionieren, erklärt Patrick Lemler, Prokurist beim IT-Händler JACOB.
Vorsicht ist besser als Nachsicht
Wer nicht proaktiv Hackerangriffen vorbeugt, der stößt auch in Sachen Schadensbegrenzung auf große Hürden. Cybersecurity ist ein Gesamtkonzept aus der richtigen Technik, geschulten Mitarbeitenden und guter Organisation. Wer ist zuständig, wenn es einen Angriff gibt, welche Mechanismen kommen zum Einsatz und auf wie viele Schultern wird die Verantwortung verteilt? Alles greift ineinander. Technische Vorkehrungen können mit klassischen Sicherheitssoftwares getroffen werden. Auch Updates sollten regelmäßig durchgeführt und dokumentiert werden. Denn oft schließen Software-Updates bestehende Sicherheitslücken. Awareness-Schulungen der Belegschaft sind unverzichtbar, um proaktiv gegen Hackerangriffe vorzugehen. Onlinebasierte Multiple-Choice-Kurse oder selbst versandte Test-Phishing-Mails können das Wissen um gefährliche Links testen. Schließlich ist eines der größten Einfallstore für Hacker immer wieder der Mensch. Sind alle IT-Sicherheitsmaßnahmen in die Wege geleitet, gilt es, sie zur Probe zu stellen. Hier kommen die so genannten Health Checks und Vulnerability Scans zum Einsatz.
Was sind Health Checks und Vulnerability Scans?
Beide sind wichtig für die IT-Sicherheit aller Unternehmen. Denn jede Organisation, jedes Unternehmen, das eine Form der IT nutzt, ist angreifbar. Mit Health Checks sind allgemeine Tests gemeint, bei denen über externe Anbieter die IT-Infrastruktur abgeklopft und der Sicherheitsstatus der IT geprüft werden kann.
Vulnerability Scans, auch Schwachstellenanalysen genannt, haben das Ziel – wie der Name schon sagt: Potenzielle Sicherheitslücken (Schwachstellen) zu identifizieren. Vulnerability Scans fragen: “Wo würde ich als Hacker am ehesten Zugriff erhalten?”. So kann der aktuelle Sicherheitsstatus der internen IT festgestellt werden. Je nach Ergebnis können Unternehmen daraufhin Verbesserungen vornehmen.
Die Schwachstellenanalyse umfasst verschiedene Bereiche. Grundsätzlich wird jedoch nach externen sowie internen Gefahrenquellen gesucht. So gehören auch Fake-Phishing-Mails, die den Wissensstand der Mitarbeitenden prüfen sollen, zu den Health Checks. Zu den geprüften Bereichen gehören auch Netzwerke, drahtlose Verbindungen oder Computer und deren Betriebssysteme, ebenso wie Datenbanken und Programme der täglichen Arbeit. Es gibt viele potenzielle Einladungen für Hacker. Wichtig: Aktuell nehmen Attacken auf solche Institutionen zu, bei denen sensible Daten lagern. Gerade hier sollte die Cybersicherheit priorisiert werden. Bei Health Checks wird jede mögliche Schwachstelle auf Herz und Nieren geprüft.
Welche Schwachstellen werden geprüft?
Vulnerability Scans hören allerdings nicht nach der Suche nach Schwachstellen auf. Die Analysen ordnen die potenziellen Gefahrenstellen ein und ordnen diese nach Priorität. Vulnerability Scans sind umfassender als andere Tests, weil für jeden Test neue und individuelle Richtlinien festgelegt werden. So können spezifische Fehler klarer identifiziert werden.
Beispiele dafür, was getestet wird, sind:
- Netzwerk- und Wireless-Assessments: Ist das WLAN sicher?
- Host und Datenbank-Evaluierungen: Sind die Hosts und Datenbanken, mit denen wir arbeiten, sicher?
- Analyse von Anwendungen: Sind die Anwendungen, die wir nutzen, sicher?
Außerdem beinhalten die Health Checks auch Offensive Security Services, auch OffSecs genannt. Hierbei handelt es sich um einen gutwilligen Probeangriff, mit dem über viele Wege ein möglicher Zugriff gesucht wird. OffSecs sind sehr effektiv, um unter Realbedingungen Schwachstellen in der Infrastruktur zu finden.
Wer braucht die Schwachstellenanalyse?
Jede Organisation kann Opfer eines Cyberangriffs werden. Größe, Branche oder Bekanntheit sind dafür nicht ausschlaggebend. Gerade bei Cybersicherheit gilt: Better safe than sorry. Die Schwachstellenanalyse ist für jede Organisation relevant. Die Scans sollten regelmäßig durchgeführt werden. Hier sind die empfohlenen Prüfungsintervalle jedoch stark branchenabhängig. Außerdem gibt es Branchen, die mit vielen persönlichen Daten ihrer Kund*innen arbeiten und einfach interessanter für Hacker-Angriffe sind. Eine allgemeine Empfehlung von JACOB ist, mindestens zweimal jährlich eine Schwachstellenanalyse durchzuführen. Zusätzlich sollten diese Scans nach wesentlichen Änderungen oder Erweiterungen der IT-Infrastruktur oder Anwendungen erfolgen. Die Anforderungen verschiedener Branchen unterscheiden sich jedoch stark. Gerade mittelständische Unternehmen ohne eigenen Cybersecurity-Bereich sollten immer einen eigenen Dienstleister für IT-Sicherheit beauftragen, der im Zweifelsfall mit Rat und Tat zur Seite steht.
Regelmäßig geprüft heißt nicht rundum geschützt
Regelmäßige Schwachstellenanalysen sind zwar unerlässlich, können aber eine kontinuierliche Überwachung und abgestimmte Arbeitsweisen nur ergänzen. Die Analysen überprüfen, ob einer Cyberattacke genügend vorgesorgt wurde – sie ersetzen also nicht das Ergreifen von präventiven Maßnahmen, sondern testen deren Wirksamkeit. Eine umfassende Sicherheitsstrategie sollte daher sowohl regelmäßige Analysen als auch fortlaufende Überwachungsmaßnahmen umfassen, um eine optimale Sicherheit der IT-Umgebungen zu gewährleisten. Sicherheitslücken sind unglaublich individuell – wir bei JACOB investieren regelmäßig und viel in die Weiterbildung unserer Consultants, um jederzeit auf dem neuesten Stand zu sein. Ebenso ist es für Unternehmen wichtig, proaktive Maßnahmen zu ergreifen. Ehe es zu spät ist.
Patrick Lemler, Prokurist beim IT-Händler JACOB