Die Bedrohungslage in der IT hat sich im letzten Jahr dramatisch zugespitzt. Durch den Ausbruch der Corona-Pandemie haben sich die Unternehmensnetzwerke von einem Tag auf den anderen massiv verändert.
Erstreckte sich das Netzwerk bisher hauptsächlich innerhalb der vier Wände des Firmengebäudes, erweiterte es sich nun schlagartig um eine Vielzahl von privaten Netzwerken. Durch den erhöhten Zeitdruck, alle Mitarbeiter:innen sofort ins Home Office zu schicken und durch den mangelnden Vorrat an Hardware wurde teilweise auch die Nutzung von privaten Endgeräten genehmigt. Somit hat sich die Angriffsfläche um ein Vielfaches vergrößert. Angreifer:innen bietet sich so die Möglichkeit, über private Netzwerke und Endgeräte, die nicht den Sicherheitsstandards des Unternehmens entsprechen, Zugriff auf Unternehmensressourcen zu bekommen. Und wir sind noch mittendrin: Über ein Jahr später ist Remote Work bzw. hybrides Arbeiten für die meisten Unternehmen Standard geworden und wird auch zukünftig bestehen bleiben.
Aber sind nun alle Sicherheitsrisiken beseitigt? Wurden Sicherheitslücken eventuell schon ausgenutzt?
Mehr hilft mehr. Das Mindestmaß an Security muss erhöht werden
Jede:r ist das Ziel. Das Mindset „Das passiert nur den anderen, aber nicht mir“ gilt in IT-Security-Angelegenheiten nicht, vor allem seit 2020 nicht mehr.
Es muss nicht immer der Crypto-Trojaner sein, dessen Auswirkungen offensichtlich sind. Oftmals geht es den Cyberkriminellen darum, über längere Zeit unbemerkt Zugriff auf sensible Unternehmensdaten zu bekommen und diese zu kopieren oder ggf. sogar zu verändern.
Täglich finden so beispielsweise Spionageangriffe statt, die nur darauf abzielen, Zugriff auf Daten und Wissen der Konkurrenz zu bekommen. Doch wie kommen Angreifer:innen ins Netzwerk? Die Antwort lautet: Schwachstellen im System. In der Regel gibt es zwei Arten von Schwachstellen: erstens die Technik und zweites den Menschen.
Technische Schwachstellen entstehen dann, wenn Sicherheitslücken nicht rechtzeitig identifiziert und z. B. durch das Einspielen von Updates und Patches geschlossen werden. Oft werden auch veraltete Systeme und Software eingesetzt, für die keine Sicherheitsupdates mehr bereitgestellt werden oder die aus unterschiedlichen Gründen nicht gepatcht werden können. Angreifer:innen nutzen diese Gelegenheiten, um sich Zugriff auf das Unternehmensnetzwerk zu verschaffen. Die andere, oftmals unterschätzte Schwachstelle, nämlich der Mensch, ist komplexer: Oft versuchen Angreifer:innen über Social Engineering an unternehmensinterne Informationen und Daten zu gelangen. So wird z. B. per Email oder Telefon versucht Mitarbeiter:innen zur Preisgabe von Zugangsdaten oder zum Tätigen einer Überweisung zu bringen. Die Schwachstelle Mensch zu minimieren gestaltet sich schwierig, da jeder Mensch verschieden ist und mehr oder weniger anfällig für Manipulationen.
Wir beobachten die Bedrohungslage stetig und sind überzeugt davon: Basic Security reicht nicht mehr aus. Endpoint-Lösungen sowie eine leistungsstarke Perimeter-Security-Lösung sind zwar immer noch unabdingbar, doch muss das Mindestmaß um ein schnelles und agiles Schwachstellenmanagement erhöht werden. Auch ein regelmäßiges Monitoring der Security-Logs auf den Sicherheitssystemen muss zum Standard werden.
Wie kriegt man Schwachstellen in den Griff?
Schwachstellen im Netzwerk zu haben ist normal und kann auch nicht vollständig verhindert werden. Wichtig ist allerdings, diese Sicherheitslücken zu (er)kennen, sie bestenfalls zu schließen oder mindestens im Auge zu behalten. Hier kann ein Schwachstellenscan hilfreich sein. Dieser wird aber in der Regel nur einmal im Jahr, Quartal oder Monat durchgeführt. Diese Momentaufnahme der vorhandenen Schwachstellen ist aber nur bedingt aussagekräftig. Allein durch das vermeintliche Schließen einer Schwachstelle durch Einspielen eines Patches können neue Schwachstellen entstehen. Auch durch das regelmäßige Durchführen von Systemupdates oder dem Installieren neuer Software können neue Schwachstellen entstehen. Diese Sicherheitslücken werden dann oft erst wieder beim nächsten manuellen Schwachstellescan erkannt. Dann kann es allerdings schon zu spät sein.
Das Stichwort heißt: Automatisierung. Mit einem dauerhaften Schwachstellenmanagement können Sicherheitsrisiken erkannt, dokumentiert, qualifiziert, priorisiert und gelöst werden. Manuell ist dies so nur sehr schwer abbildbar und vor allem fehleranfällig. – Tools müssen und können hier unterstützen. Beispielsweise kann ein automatisiertes Reporting erstellt werden, welches die IT-Verantwortlichen oder die Geschäftsführung verständlich und komprimiert darüber informiert, an welchen Stellen gerade ein erhöhtes Sicherheitsrisiko besteht. So können rechtzeitig Maßnahmen eingeleitet werden, wie z. B. das Einspielen von Updates oder das Anpassen von Konfigurationen. Der Vorteil hierbei ist, dass durch das dauerhafte Überprüfen der Schwachstellen der Erfolg der eingeleiteten Maßnahmen direkt ersichtlich wird ist.
Doch nicht nur die Security-Tools entwickeln sich stetig weiter und werden immer mächtiger, auch die Angreifer:innen werden immer einfallsreicher und perfektionieren ihre Methoden. Immer häufiger rückt die Schwachstelle Mensch in den Fokus der Angriffe. Durch immer ausgefeiltere Taktiken werden Mitarbeiter zu überlisten versucht. Phishing-Mails sind kaum noch von validen Emails zu unterscheiden. Bei gezielten Angriffen wird oftmals über lange Zeit der Emailverkehr oder Chatverlauf des Opfers beobachtet, um genau angepasste Nachrichten zum richtigen Zeitpunkt nachzuahmen. Hier helfen zwar intelligente Security-Systeme dabei, verdächtige Nachrichten zu filtern, allerdings erreichen trotzdem immer wieder gefälschte Emails ihren Empfänger.