Auch wenn für die weltweite Corona-Krise mit den Impfungen eine Lösung in Sicht ist, das “New Normal” werden wir nicht so schnell los. Das wird sich auch in neuen Herausforderungen für die IT-Sicherheit vieler Unternehmen widerspiegeln. CISOs müssen diese Bedrohungen von Anfang an mitdenken.
Mehr als 60 Prozent der Unternehmen haben 2020 Home Office Policies eingeführt und auch Großkonzerne wie Twitter oder Google stellen langfristiges Arbeiten von Zuhause in Aussicht. Damit Mitarbeiter sicher aus der Ferne arbeiten können, sind Sicherheitsverantwortliche in der Pflicht, Schwachstellen beim Zugriff auf Unternehmensressourcen zu schließen. Al Lakhani, Cybersecurity-Forensiker und Gründer von IDEE, dem Münchner Spezialist für sichere digitale Authentifizierung und Autorisierung, erklärt, welche Probleme dabei auf CISOs zukommen.
1. Ransomware und Schatten-IT wird zum Alptraum für CISOs
Das mobile Arbeiten beziehungsweise “Work from Home” im großen Stil kam quasi über Nacht. Viele Unternehmen sind noch immer nicht adäquat darauf eingestellt und auch die Mitarbeiter stehen vor zahlreichen Herausforderungen – nicht nur im beruflichen, sondern auch im privaten Kontext. Anders als im Büro, wo die IT-Abteilung die Distribution von Software auf den Mitarbeiter-PCs einigermaßen verlässlich steuern kann, öffnet die Nutzung von Heimnetzwerken und privaten Geräten neue Angriffsflächen für Hacker.
Mitarbeiter bedienen sich dort oft Diensten von Drittanbietern, laden kostenlose Software aus dem Internet herunter oder nutzen private Cloud-Services als Workaround, wenn Corporate-Dienste nicht zur Verfügung stehen. Auch die Speicherung von Dokumenten, Zugangsdaten oder anderen sensiblen Informationen auf privaten Geräten wird weiter zunehmen, ohne dass CISOs dies kontrollieren können.
Da private Geräte und auch Netzwerke in der Regel unzureichend geschützt sind, dienen sie als Einfallstor für Ransomware, die dann Unternehmensnetzwerke attackiert, Daten verschlüsselt und hohe Lösegelder erpresst. Die Analysten von Gartner haben bereits 2017 einen Zuwachs von 700 Prozent prognostiziert – der Zuwachs durch das New Normal wird diese Zahlen in den Schatten stellen und CISOs viele schlaflose Nächte bereiten. Aufgrund von System- und Netzwerkschwachstellen, Fehlkonfigurationen, Phishing und der Zunahme von Angriffen mit Zugangsdaten werden wir im Jahr 2021 wahrscheinlich einen exponentiellen Anstieg von Ransomware-Angriffen erleben.
2. Massiver Anstieg von Insider Threats
Durch die zunehmende Nutzung von privaten Geräten und die Arbeit in privaten Netzwerken wird das Risiko von Insider Threats weiter befeuert. Bereits 2018 verzeichnete der “Data Breach Investigation Report” von Verizon einen Anstieg von Bedrohungen durch “internal actors”, sprich Mitarbeiter, die bewusst oder unbewusst Daten und andere Unternehmensinformationen illegal verbreitet haben. Laut dem Bericht für 2020 waren in 30 Prozent der Fälle Insider für eine Datenpannen (“Data Breach”) verantwortlich.
Welchen Schaden das anrichten kann, zeigt der Fall von Twitter im Sommer 2020: Hier hatten sich Hacker dem Social Engineering bedient, um die Unsicherheit von IT-Mitarbeitern auszunutzen und über sie an interne Zugänge zu gelangen. Die betroffenen Twitter-Mitarbeiter haben mit hoher Wahrscheinlichkeit nicht in böser Absicht gehandelt und wurden dennoch zum Werkzeug für einen Angriff. Das Resultat: Obwohl die ATOs (Account Take Over) für ziemlich offensichtliche Scam-Posts verwendet wurden, erbeuteten die Angreifer weit über 100.000 Dollar.
Vor solchen Angriffen ist kein Unternehmen gefeit und auch strenge Cybersecurity Policies zeigen wenig Wirkung, denn Sie lassen sich im Home Office nur sehr schwer durchsetzen beziehungsweise überprüfen. Es ist deshalb davon auszugehen, dass die Zahl der Insider Threats 2021 um mehr als 20 Prozent zunehmen wird.
3. Die Verantwortung für Cloud-Security liegt bei den Unternehmen selbst
Die Nutzung von Cloud-Services wird diese Probleme nicht lösen, sondern eher noch anheizen. Unternehmen werden 2021 deutlich stärker in die Verantwortung genommen, wenn es um die eigene „Sicherheit in der Cloud“ geht.
Cloud-Anbieter kümmern sich meist nur um die „Sicherheit der Cloud“, nicht die “Sicherheit in der Cloud” – ein Punkt den viele Unternehmen vernachlässigen. Die beschleunigte Einführung der Cloud und die durch SaaS ermöglichte rasche Verlagerung der Arbeit in die Ferne, wird viele Organisationen anfällig für Angriffe machen. Eine schlechte Konfiguration der Cloud-Sicherheit kann dazu führen, dass Cyberkriminelle die internen Richtlinien zum Schutz sensibler Informationen bereits in der Cloud-Datenbank aushebeln.
4. Mobile Geräte werden zum Lieblingsziel von Hackern
Entwicklungen wie die Multi-Factor-Authentifizierung (MFA), die den Zugriff auf Unternehmensdienste sicherer gestalten soll, haben mobile Geräte ins Visier von Hackern gerückt. Da Smartphones heute für fast alle Online-Aktivitäten nutzbar sind, ist auch die Zahl der Angriffsvektoren stetig mitgewachsen. Neben Malware, die vor allem auf Android leicht per Drittanbieter-Apps installiert werden kann, und Datenmanipulation beziehungsweise dem Ausnutzen von Recovery-Schwachstellen (wie dem Abfangen von Magic-Links oder PIN-SMS) ist vor allem der Bereich Social Engineering hier ein beliebtes Feld.
Zusätzlich zur weit verbreiteten Phishing-Mail, wird vor allem Vishing (Manipulation von Mitarbeitern durch fiktive Anrufe von IT-Mitarbeitern) und Smishing (das ähnlich wie Phishing funktioniert, aber SMS statt E-Mail verwendet) stark zunehmen. Hacker werden sich neue Tricks einfallen lassen, um mobile Geräte zu kompromittieren, und das kann den digitalen Betrug nur noch schlimmer machen.
2021: “Alles Zweifelhafte muss angezweifelt werden”
CISOs sind gut beraten, sich diese Worte von Immanuel Kant zu Herzen zu nehmen und ihre Cybersecurity-Strategien entsprechend anzupassen. Zero-Trust-Architekturen, die jeglichen Zugriff auf Unternehmensressourcen hinterfragen, müssen in Zeiten des New Normal zum Standard werden.
Die Beschränkung des Ressourcen-Zugriffs auf eine physische Adresse oder eine IP-Adresse beziehungsweise auf einen VPN-Zugang, ist kontraproduktiv und schwer zu verwalten, wenn Mitarbeiter von entfernten Standorten aus arbeiten sollen. Die digitale Identität wird sich von der Benutzeridentität auf die kombinierte Identität des Geräts und des Benutzers verlagern. Nur dadurch wird ein modernes und sicheres Identity & Access Management möglich.