COVID-19: Cybersicherheit geht jeden an

Die COVID-19-Pandemie hat uns allen eine neuerliche Lektion erteilt: Sicherheit geht tatsächlich jeden an. Als die Regierungen der Welt ihre „Stay at home“-Aufrufe veröffentlichten und immer mehr Menschen sich daran gewöhnen mussten, remote zu arbeiten, war „Zoom“ plötzlich in aller Munde. 

Die Plattform wurde zu einem festen Bestandteil der Arbeit von zu Hause, aber auch, um mit Familie und Freunden in Kontakt zu bleiben. Wie unschwer vorauszusehen stießen Experten sehr bald auf Sicherheitslücken und Schwachstellen beim Datenschutz der Plattform. Kurz darauf war die Rede von „Zoombombing“: Die Ziffernfolge einer Zoom-Konferenz (Meeting-ID) lässt sich vergleichsweise leicht erraten. Das haben Unbeteiligte genutzt, um sich in Meetings anderer einzuklinken um teils unerwünschte oder abstoßende Inhalte beizusteuern. Während Zoom sich darauf konzentrierte, sein Produkt sicherer zu machen, sahen sich die Benutzer – darunter etliche Neulinge auf der Videokonferenzplattform – vor die Aufgabe gestellt, ihre Zoom-Instanzen so zu konfigurieren, dass Hacker die Anrufe nicht missbrauchen konnten. 

Anzeige

Das Konzept „Sicherheit geht alle an“ ist traditionell ein wesentlicher Bestandteil von Aufklärungs- und Sensibilisierungskampagnen gegen Phishing und andere E-Mail-bezogene Angriffe. Und das zu Recht. Diese Angriffe sind oft der erste Schritt für Angreifer auf dem Weg zu ihrem endgültigen Ziel. Das Beispiel Zoom zeigt jedoch, wie wichtig ein Bewusstsein für potenzielle Schwachstellen ist, nebst der nötigen Sorgfalt auf allen Ebenen. In vielen Unternehmen ersetzen inzwischen Kollaborations-Tools wie Slack die E-Mail-Kommunikation als bevorzugte Methode zur Weitergabe von Inhalten und Daten. In Unternehmen aber, die beispielsweise mit Größenbeschränkungen für E-Mail-Anhänge arbeiten, können dieselben Mitarbeiter Dateien, die zehnmal so groß sind, ungehindert über Slack weitergeben. 

Der Mensch als bleibende Schwachstelle

Ein ehemaliger CISO eines bekannten Geheimdienstes hat es so formuliert: „Die gefährlichste Schwachstelle in Bezug auf Cybersicherheit ist die auf Kohlenstoff basierende Lebensform.“ Um in geschützte Netzwerke einzudringen, gehen Angreifer nur selten frontal gegen eine Technologie vor. Ein Mensch ist meist der wesentlich einfachere und schnellere Weg, einen Angriff einzuleiten. Angreifer haben realisiert, dass Technologien sich verändern und Unternehmen sich an neue Schwachstellen anpassen. Nur der Mensch ist eine bleibende Schwachstelle. Und die lässt sich ausnutzen. 

Glücklicherweise wird an einer Reihe von Maßnahmen gearbeitet, um sich besser vor menschlichem Versagen zu schützen. Nehmen wir als Beispiel Entwickler. Entwicklungsteams entwickeln Software, die Unternehmen auf der ganzen Welt steuert. Damit überbrücken sie die Kluft zwischen Menschen und Maschinen. Aber was wird getan, damit Schwachstellen keinen Weg in den betreffenden Code finden? Code, der so kritischen Anwendungen wie dem Stromnetz zugrunde liegt, der medizintechnische Geräte wie beispielsweise einen Herzschrittmacher antreibt oder die Software, die der Unterstützung nationaler Wahlen dient. Wie lässt sich sicherstellen, dass nicht genau dieser Code über inhärente Schwachstellen gehackt werden kann? 

Anzeige

Für die IDE (Integrated Development Environment) des Entwicklers stehen Plugins zur Verfügung, die im Entwicklercode nach bekannten Schwachstellen suchen. Decken diese eine Schwachstelle auf, werden Entwicklerteams sofort benachrichtigt, und können das Problem beheben, bevor der Code eingecheckt wird. Ein zusätzlicher Aspekt ist, dass Entwickler hinsichtlich des Themas Sicherheit stärker sensibilisiert und geschult werden. Wiederholt auftretende Fehler kann man dann frühzeitig erkennen, und bereits im Vorfeld vermeiden. 

Hacks beginnen oft mit kleinen, scheinbar unbedeutenden Schritten

Mitarbeiter sollten ein Bewusstsein dafür entwickeln, dass nur sehr wenige Hacks in gerader Linie erfolgen. Hacks beginnen oft mit kleinen, scheinbar unbedeutenden Schritten, die Angreifern einen Einstieg in ein Unternehmenssystem ermöglichen. Aber ab diesem Zeitpunkt kann sich der Eindringling im Netzwerk frei bewegen und sein endgültiges Ziel anvisieren. Die jüngere Vergangenheit liefert uns zahlreiche Beispiele für hochkarätige Angriffe, die ihren Ursprung in scheinbar trivialen Sicherheitsverletzungen hatten. 

Für jemanden, dessen Arbeit nicht unmittelbar mit sensiblen Daten oder Systemen zu tun hat, ist es nicht ganz einfach, dem Thema Sicherheit Priorität einzuräumen. Diese Einstellung ändert sich aber, wenn Mitarbeiter erkennen, dass sie selbst die fehlenden Teile in der Hand halten, die es Angreifern ermöglichen, in Schlüsselsysteme des Unternehmens einzudringen. Nach einer Schulung ist der nächste Schritt zur sicherheitsbewussten Belegschaft: Jeder muss verstehen, dass alle Daten oder Anmeldeinformationen, die jemand preisgibt, unabhängig davon, wie belanglos sie erscheinen mögen, den Angriff auf ein weit lohnenderes Ziel ermöglichen. Aus diesem Grund sind auch die Sicherheitsstrategien Ihrer Lieferanten sehr wohl Ihre Sache. Stellen Sie unbequeme Fragen, damit Sie verstehen, wo welche Sicherheitsmechanismen implementiert wurden. Angriffe auf die Software-Lieferkette nehmen zu. Stellen Sie sicher, dass alle Lieferanten, über eine solide Cybersicherheitsgrundlage verfügen. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Sicherheitsbewusstsein aus dem Büro muss es bis zum Remote-Arbeitsplatz schaffen

Dank vieler Anstrengungen und Erinnerungshilfen ist ein grundlegendes Sicherheitsbewusstsein inzwischen zum festen Bestandteil der physischen Bürokultur geworden. Allein die Arbeitsplatzumgebung wirkt wie eine ständige Erinnerung an sicherheitsrelevante Verantwortlichkeiten. Sich an seinem Arbeitsplatz anzumelden und in das Unternehmensnetzwerk einzuloggen, weckt das Verantwortungsgefühl. Dieses Sicherheitsbewusstsein muss es bis zum Remote-Arbeitsplatz schaffen. Dort ist es wahrscheinlich längst nicht so ausgeprägt. 

Ein Remote-Working-Szenario kann dazu führen, den Datenschutz aufzuweichen. Die erforderliche Disziplin, um geschäftliche und persönliche Daten und Geräte voneinander getrennt zu halten, ist im Home Office naturgemäß schwieriger aufrechtzuerhalten. Unternehmen sollten ihre Mitarbeiter in dieser Phase der Pandemie daran erinnern, dass und wie sie für das Aufrechterhalten der Sicherheit mit verantwortlich sind, und sie darin unterstützen. 

Der Weg zu einer Belegschaft mit hoher Sicherheitskompetenz

Unterm Strich geht es bei Sicherheit nicht primär um Tools oder Technologien, sondern darum, ein  breites grundlegendes Bewusstsein und Gefühl der Verantwortung bei allen Mitarbeitern zu schaffen. Wenn Unternehmen das gelingt, dann verfügen sie über eine Belegschaft, die unabhängig von den Umständen über hohe Sicherheitskompetenz verfügt. Schulungen sind einer der Eckpfeiler, um das zu erreichen. Viele Unternehmen haben in dieser Hinsicht schon einiges erreicht, etwa um Sicherheitsbedrohungen wie Phishing-Angriffe zu erkennen. Aber dieses Bewusstsein muss die individuelle, persönliche Ebene eines Mitarbeiters erreichen, damit es wirklich effektiv ist. 

Jim

Ivers

Vice President

Synopsys Software Integrity Group

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.