Interview

Es sind vor allem die eigenen Mitarbeiter, die den Security-Verantwortlichen schlaflose Nächte bescheren

Bild: Michael Heuer, Proofpoint

it-daily.net im Gespräch mit Michael Heuer, Area VP – Central Europe (DACH) von Proofpoint.

Herr Heuer, Proofpoint hat kürzlich eine internationale Studie zu den aktuellen Herausforderungen für Security-Verantwortliche in den Unternehmen veröffentlicht. Was bereitet den Sicherheitsexperten demnach das größte Kopfzerbrechen?

Anzeige

Michael Heuer: Unsere Studie „Voice of the CISO 2021, für die weltweit CISOs (Chief Information Security Officers) aus 14 Ländern befragt wurden, hat in der Tat interessante Erkenntnisse zutage gefördert. So befürchten 64 Prozent im weltweiten Durchschnitt, dass ihre Organisation innerhalb der nächsten zwölf Monate eine schwere Cyberattacke erleiden könnte. In Deutschland sehen sich sogar 79 Prozent der Befragten mit diesem Risiko konfrontiert. Ebenfalls 79 Prozent der deutschen CISOs gaben an, dass ihre Organisation nicht ausreichend für einen solchen Cyberangriff gewappnet sei. Ein durchaus bedenklicher Anteil angesichts des zunehmenden Gefährdungspotenzials von Cyberattacken.

Auch die Corona-Pandemie hat nach Ansicht der Security-Experten einen Einfluss darauf, wie gefährdet ihre Unternehmen sind. 67 Prozent der CISOs stimmten in diesem Zusammenhang der Aussage zu, dass die Arbeit im Homeoffice ihre Organisation anfälliger für gezielte Cyberangriffe gemacht hat. Darüber hinaus konnten 64 Prozent im Verlauf des letzten Jahres eine Zunahme von gezielten Cyberangriffen beobachten.

 

Anzeige

Was sind momentan die größten Cyberbedrohungen?

Michael Heuer: Die befragten CISOs sorgen sich demnach vor allem um Insider-Bedrohungen (36 %), Ransomware-Angriffe (35 %) und Business Email Compromise (33 %), der auch CEO-Betrug genannt wird. An vierter und fünfter Stelle folgen Angriffe auf die Lieferkette, die für 32 Prozent der Security-Verantwortlichen von großer Bedeutung sind, sowie Cloud Account Compromise, also die Kompromittierung von Microsoft-365- oder G-Suite-Konten. Solche Attacken auf Cloud-Accounts bereiten 29 Prozent der CISOs Sorgen.

Abseits der unterschiedlichen Angriffsvarianten sind es vor allem die eigenen Mitarbeiter, die den Security-Verantwortlichen schlaflose Nächte bescheren: So halten 59 Prozent menschliches Versagen noch immer für die größte Schwachstelle ihrer Organisation.

 

79 Prozent der deutschen CISOs sind der Meinung, dass ihre Organisation nicht auf einen gezielten Cyberangriff vorbereitet ist

 

Im Moment wird vielerorten wieder über Ransomware diskutiert. Wie beurteilen Sie das Gefährdungspotenzial und welche Maßnahmen können Organisationen ergreifen, um sich vor einer Verschlüsselung ihrer Systeme zu schützen?

Michael Heuer: Gerade die vergangenen Monate haben gezeigt, dass diese Angriffsform nach wie vor eine ernstzunehmende Bedrohung darstellt. Und tatsächlich ist dieses Risiko allgegenwärtig.

In technischer Hinsicht sollte das Hauptaugenmerk der Verantwortlichen beim Schutz vor Ransomware vor allem auf der Absicherung des Kommunikationskanals E-Mail liegen. Unsere Untersuchungen zeigen, dass Ransomware zumeist erst als sogenannte Payload der zweiten Stufe verwendet wird. Die initiale Kompromittierung der Unternehmen erfolgt in den überwiegenden Fällen mittels Loadern und Banking-Trojanern, die allerdings vor allem über E-Mails verbreitet werden. Da es in der Regel unterschiedliche cyberkriminelle Gruppen sind, die Loader bzw. Ransomware für ihre Angriffe nutzen, herrscht hier Arbeitsteilung bzw. ist eine Spezialisierung festzustellen. Wir beobachten zunehmend, dass sich die Ransomware-Akteure von anderen spezialisierten Gruppen deren durch Loader etablierten illegalen Zugang zu den Unternehmen erkaufen, um dann die Daten der Organisationen zu verschlüsseln.

Darüber hinaus muss man bei aller Aufmerksamkeit, die derzeit dem Thema Ransomware zuteilwird, aber auch aufpassen, die richtigen Prioritäten zu setzen. Denn auch wenn Angriffe mit Ransomware sehr aufsehenerregend sind, so fallen die dadurch hervorgerufenen Schäden viel geringer aus als etwa bei BEC. Dies belegt auch der Internet Crime Report 2020 des FBI.

 

Cloud Computing und der Einsatz von Cloud-Services wie Microsoft 365 erfreuen sich nach wie vor großer Beliebtheit und ein Ende des Trends ist noch nicht zu erkennen. Was müssen Unternehmen in diesem Zusammenhang beachten?

Michael Heuer: Hier bedienen sich die Angreifer vor allem der Möglichkeit, Schadsoftware auf den Plattformen von Google und Microsoft zu hosten, sodass bei ihren Cyberkampagnen die URLs der eingebetteten Links weniger Verdacht erregen.

Zudem vergrößert der verstärkte Einsatz des Cloud Computing und die Nutzung von Cloud-Diensten aufseiten der Unternehmen deren Angriffsfläche. Zwar bieten hier die Cloud-Anbieter bereits einige Sicherheitsfunktionen, allerdings reicht es für Organisationen angesichts der sich verschärfenden Bedrohungslage bei weitem nicht aus, nur „einigermaßen sicher“ zu sein. Vielmehr bedarf es hier Lösungen, die einen umfassenden Schutz bieten. Denn bereits ein einziges kompromittiertes Konto kann genügen, um die Sicherheit der gesamten Organisation und oftmals auch die Sicherheit der anderen Beteiligten in der Lieferkette zu gefährden.

 

Auf der Jagd nach Cyberangriffen. Hören Sie einen Podcast mit dem Proofpoint Threat Report Team

 

Nicht selten sind es einzelne Angestellte, die sich die Cyberkriminellen als Ziel auserkoren haben. Wie können Unternehmen diesem Risiko begegnen?

Michael Heuer: Es ist sogar so, dass 99 Prozent aller Cyberattacken eine menschliche Aktion aufseiten des Opfers voraussetzen – beispielsweise einen Klick auf einen Link oder das Öffnen eines Dateianhangs –, um erfolgreich zu sein. Daher sind es primär die einzelnen Mitarbeiter, die es zu schützen gilt. Sei es vor Bedrohungen wie Phishing, BEC oder schlicht Malware, die ansonsten die Postfächer der Angestellten erreichen.

Und genau dort setzen wir mit unseren Lösungen an: Einerseits geht es darum, den weitaus wichtigsten Angriffsvektor, die E-Mail, technisch abzusichern, sodass eine Bedrohung gar nicht erst in den Posteingang eines Mitarbeiters gelangt. Und ohne übertreiben zu wollen, erzielen wir bei den Erkennungsraten Ergebnisse, die ihresgleichen suchen.

Zudem können wir mit unseren Lösungen den Cybersecurity-Teams wichtige Einblicke darin gewähren, welche ihrer Mitarbeiter besonders häufig angegriffen werden. Diese von uns VAPs, also Very Attacked Persons, genannten Angestellten können sodann besonders geschützt und auch geschult werden. Dieses Wissen um die im speziellen Fokus der Cyberkriminellen stehenden Mitarbeiter fehlt den Security-Verantwortlichen zumeist, sodass ihre Bemühungen der gesamten Belegschaft gelten oder sich gar auf die falschen Mitarbeiter konzentrieren. Denn noch immer kommt häufig nur die Vorstandsebene in den Genuss spezieller Sicherheitsvorkehrungen, obgleich unsere Daten zeigen, dass diese nicht zwangsläufig am stärksten von Attacken betroffen ist. Nur allzu oft ist z.B. das mittlere Management in einem weitaus höheren Maß gefährdet.

 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Im Laufe des letzten Jahres erlebten IT-Sicherheitsexperten eine Lawine von Phishing-Betrug

Ein weiterer wichtiger Aspekt beim Schutz der Angestellten, den wir uns auf die Fahne geschrieben haben, ist es aber auch, diese zu schulen und für aktuelle Cyberbedrohungen zu sensibilisieren. Denn es wäre vermessen zu behaupten, dass Technologie jedwede Bedrohung eliminieren könnte. Nur das Zusammenspiel von Mensch und Technik kann sicherstellen, dass ein Unternehmen bestmöglichen Schutz genießt. Doch leider ist diese Erkenntnis noch nicht überall gereift.

Wie unser diesjähriger State of the Phish Report zeigt, weisen viele Angestellte noch erhebliche Wissenslücken auf. Um das Beispiel Ransomware wieder aufzugreifen: Diesen Begriff konnten in Deutschland lediglich 26 Prozent der Befragten korrekt zuordnen.

Es ist folglich unerlässlich, dass die Sicherheitsverantwortlichen in den Unternehmen sich bewusst machen, wie wichtig moderne Security Awareness Trainings sind und welchen Stellenwert sie beim Aufbau einer Cybersecurity-Kultur in der Organisation einnehmen sollten.

 

Wenn wir über moderne Security-Schulungen sprechen, was muss bei diesen Trainings beachtet werden und worin unterscheiden sie sich von traditionellen Schulungen?

Michael Heuer: Anders als bei klassischen Schulungen wird hierbei eben nicht stundenlang in einer Form des Frontalunterrichts versucht, die entsprechenden Kenntnisse zu vermitteln. Stattdessen handelt es sich um kurze, dafür aber regelmäßige Trainings-Sessions, bei denen interaktiv aktuelle Cyberbedrohungen anhand von Beispielen aus der Realität thematisiert werden.

Zudem werden die Angestellten auch mit vorgetäuschten Cyberangriffen in ihrem Arbeitsalltag auf die Probe gestellt. Zum einen fördert dies die Wachsamkeit der Mitarbeiter, selbst wenn sie sich nicht in einer Trainingssituation befinden, und zum anderen liefern die Ergebnisse dieser vorgetäuschten Attacken den Security-Verantwortlichen wertvolle Erkenntnisse darüber, wer besonders anfällig für einen Cyberangriff wäre. In diesem Fall können die Security-Teams entsprechende Nachschulungen in die Wege leiten und den betreffenden Nutzer gezielt ansprechen, um so eine Verhaltensänderung hervorzurufen.

Herr Heuer, wir danken für das Gespräch!
 

Michael

Heuer

Area VP DACH

Keepit

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.