Thought Leadership
Auch Software auf firmeneigenen Geräten kann zum Sicherheitsrisiko werden. Insbesondere dann, wenn sie nicht richtig gewartet, gepatcht oder aktualisiert wird. Durch Schwachstellen bei Chat-Agenten oder in ähnlichen Anwendungen gelangen Angreifer vergleichsweise problemlos in das System. Aber auch Geräte im Internet der Dinge (IoT) und Gaming-Peripheriegeräte wie Kopfhörer oder Controller können aufgrund von Sicherheitslücken in ihrer Software, Firmware oder den Zugangspunkten ausgenutzt werden. Kurz gesagt: Durch die Kombination aus mangelhaften Sicherheitspraktiken und der Nutzung von spielbezogenen Tools auf Firmengeräten entstehen zahlreiche Schwachstellen, die Angreifer ausnutzen können.
Wie wird sich dieser Trend in Zukunft weiterentwickeln? Mit welchen spielbezogenen Bedrohungen sollten Unternehmen rechnen?
Boris Cipot: Man muss damit rechnen, dass der Gaming-Markt zukünftig zu einem noch bedeutsameren Bedrohungsvektor werden könnte. Zumindest, wenn er nicht das notwendige Maß an Aufmerksamkeit in Sachen Cybersicherheit bekommt. Denken Sie an die immensen Fortschritte bei der Deepfake-Technologie oder an KI-gesteuertes Social Engineering. Avatare ließen sich beispielsweise in einem Spiel benutzen, um sich als Freunde auszugeben und derart an sensible Informationen zu gelangen.
Die Integration von Zahlungsfunktionen in Spiele hat das Risiko von Cyberangriffen bereits erhöht, und es wird vermutlich weiter steigen. Mikrotransaktionen und In-Game-Käufe bieten Hackern immer mehr Möglichkeiten, Zahlungssysteme auszunutzen oder auch kompromittierte Firmenkarten zu missbrauchen. Eine reale Bedrohung ist schon jetzt die Installation von Spielen aus inoffiziellen Quellen. Dieses Risiko existiert bei gecrackten Videospielen allerdings schon seit Jahren. Benutzer, die solche Software verwenden, setzen sich der Gefahr aus, Malware oder Ransomware zu installieren, und das nicht zuletzt, wenn die Software auf Firmengeräten gelangt ist.
Dieses Problem ist schon jetzt weit verbreitet und wird uns wohl auch in Zukunft erhalten bleiben. Neben den Spielen selbst sind auch Plugins und Mods ein nicht zu unterschätzendes Risiko. Werden sie nicht ordnungsgemäß gesichert oder überprüft, verursachen sie weitere Schwachstellen. Sie sind Teil der sich ständig weiterentwickelnden Risiken, die die Gamingwelt für die Cybersicherheit mit sich bringt.
Wie können Unternehmen die Risiken aktuell und zukünftig besser in den Griff bekommen?
Boris Cipot: Für die Beschäftigten sollten Schulungen oberste Priorität haben. Regelmäßige Informationen zu den Risiken, die mit mangelnden Sicherheitspraktiken einhergehen, sind unerlässlich. Sei es die Verwendung derselben Passwörter für verschiedene Konten, die Installation nicht autorisierter Software auf Firmengeräten oder Phishing-Versuche. Nur wenn sich jede/r dieser Risiken bewusst ist, lässt sich ein Verständnis dafür entwickeln, warum welche Sicherheitsmaßnahmen in einem Unternehmen nötig sind.
Auf Unternehmensseite wiederum sind stringente Sicherheitsmaßnahmen entscheidend. Dazu zählt eine gute Passworthygiene genauso wie das Überwachen verdächtiger Aktivitäten, zum Beispiel hinsichtlich eines unbefugten Zugriffs über Gaming-Plattformen. Mitarbeitende sollten dringend angehalten werden, für Spiele oder persönliche Konten andere Passwörter zu verwenden als für ihre Firmenkonten. Zwei-Faktor-Authentifizierung ist ein weiterer wichtiger Schritt.
Eine weitere Methode ist die Netzwerksegmentierung. Um die Risiken zu senken, sollten persönliche Geräte wie Spielekonsolen, Kopfhörer und Heimcomputer nur in Netzwerken betrieben werden, die von kritischen Geschäftssystemen getrennt laufen. Darüber hinaus sollten Firmen klare Richtlinien formulieren, was auf ihren Systemen überhaupt installiert werden darf – als Teil eines umfassenden Asset Managements. Firmen sollten also unbedingt überprüfen, welche Software auf Firmengeräten installiert ist und welche privaten Geräte mit dem Unternehmensnetzwerk verbunden werden dürfen. Für das Gerätemanagement kommt man um strenge Richtlinien nicht herum. Das betrifft Beschränkungen für das Herunterladen genauso wie das Installieren nicht zugelassener Software – einschließlich von Spielen – auf Firmengeräte. Nur so lässt sich ein sicheres Umfeld gewährleisten.
