Eine beliebte Aussage von IT-Sicherheitsexperten lautet: Es gibt zwei Arten von Unternehmen - die, die gehackt wurden, und die, die es noch nicht wissen. Tatsache ist, dass Cyberangriffe heute zu den essenziellsten Bedrohungen unserer Wirtschaft gehören. Doch obwohl Cyberkriminalität mittlerweile ein allgegenwärtiges Thema ist, werden Hackerattacken und das Risiko, Opfer von solchen zu werden, noch immer falsch eingeschätzt - sowohl von den IT-Abteilungen als auch der Geschäftsführung.
Foto: alphaspirit - shutterstock.com
Folgende vier Fakten sollten IT-Verantwortliche bei der Planung ihrer Sicherheitsstrategie deshalb besonders bedenken.
Lesetipp: Cyberangriffe managen - Sind Sie bereit, gehackt zu werden?
Der Großteil der Cyberangriffe ist nicht besonders raffiniert
Oft wird über besonders raffinierte Angriffsmethoden und hochentwickelten Cyberattacken gesprochen, hinter denen gut organisierte Hackergruppen oder nationale Geheimdienste stehen. Diese abzuwehren stellt für durchschnittliche Unternehmen eine enorme, fast nicht zu bewältigende Herausforderung dar. Die Angreifer scheinen so geschickt und technisch so gut ausgestattet zu sein, dass die Opfer sowieso keine Chance haben.
Tatsache ist jedoch, dass der Großteil der Cyberkriminellen heutzutage weder technisch besonders ausgeklügelt vorgeht noch im staatlichen Auftrag handelt. Bei den meisten Angriffen kommen den Hackern vermeidbare Sicherheitslücken und unvorsichtiges menschliches Verhalten zugute. Dafür bedarf es weder großer technischer noch finanzieller Ressourcen, sondern vor allem Ausdauer und Beharrlichkeit.
Cyberkriminelle verbringen viel Zeit damit, ihre Angriffe zu planen und vorzubereiten, ihre Opfer auszuspionieren und so einen Weg zu finden, sich möglichst unbemerkt und ohne viel "Lärm" zu erzeugen einen Zugang zu den Systemen ihrer Opfer zu verschaffen. Dabei suchen sie nach dem schwächsten Glied in der Kette, also Schwachstellen in Netzwerken und Systemen, wie Fehlkonfigurationen, Standard-Anmeldeinformationen oder unvorsichtigen Mitarbeitern.
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
Mit Phishing kommen Hacker am schnellsten ans Ziel
Hoch im Kurs stehen dabei nach wie vor E-Mail-Angriffe mit infizierten Office-Dokumenten, die überwiegend über Phishing verbreitet werden. Trotz steigender Aufklärung und Sensibilisierung der Mitarbeiter, öffnen weiterhin viele Menschen Mail-Anhänge ungeprüfter Herkunft, klicken auf unbekannte Links oder geben Anmeldeinformationen einschließlich Passwörtern unwissentlich auf manipulierten Seiten ein. Laut der Studie "State of the Phish 2019 Report" von Security-Anbieter Proofpoint waren insgesamt 83 Prozent der befragten Unternehmen im vergangenen Jahr Opfer von Phishing-Angriffen. Kompromittierte E-Mail-Konten waren dabei die meistverwendete Taktik noch vor Malware-Infektionen.
Cyberkriminelle haben vor allem privilegierte Konten im Auge
Sobald es einem Hacker gelungen ist, einen Fuß in die Tür seines Opfers zu setzen, beginnt er, nach Privilegien und sensiblen Zugangsdaten Ausschau zu halten, die es ihm ermöglichen, durch die Netzwerke zu bewegen und nach sensiblen Informationen zu suchen. Privilegierte Unternehmenskonten wie Administrator-Accounts, Server- oder Datenbank-Konten, sind nach wie vor die effektivste Methode, um sensitive und lukrative Daten zu extrahieren. Gleichzeitig bieten sie die Möglichkeit, die eigenen Spuren zu verstecken und monatelang - manchmal sogar jahrelang - unentdeckt zu bleiben. Untersuchungen zeigen, dass Angreifer in den Netzwerken von Unternehmen im EMEA-Raum im Schnitt 56 Tage unerkannt agieren, bevor sie entdeckt werden. Viel Zeit also, um großen Schaden anzurichten.
Lesetipp: Ein starkes Passwort ist nicht genug
Privilegierte Accounts bedürfen eines besonderen Schutzes
Herkömmliche Perimeter-Sicherheit ist nicht mehr ausreichend, um sich vor Cyberkriminalität zu schützen. Sicherheitsverantwortliche sollten über Privileged Account Management nachdenken, das ihnen in einem ersten Schritt einen vollständigen Überblick über alle im Unternehmensnetzwerk existierenden privilegierten Konten bietet.
Privilegierte Sitzungen sollten überwacht werden können, um unübliche und potenziell schädliche Zugriffe frühzeitig bevor größerer Schaden entsteht zu identifizieren. Lösungen, die auf Machine Learning-Technologien zurückgreifen und Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysieren, können dabei unterstützen.
In einem weiteren Schritt ist es sinnvoll, die Passwortverwaltung zu automatisieren und eine minimale Rechtevergabe, auch "Least Privilege" genannt, durchzusetzen. Damit erhalten nur die Mitarbeiter Zugriff auf sensible Daten, die diesen auch wirklich brauchen.