Clevere Hacker, ahnungslose Anwender, eine unerbittliche Arbeitslast - bei der Arbeit in der IT-Sicherheit geht es darum, dies als business as usual zu akzeptieren und trotzdem voranzuschreiten. [...]
Das Leben eines Sicherheitsexperten ist nicht einfach. Sie stehen an vorderster Front und kämpfen den gerechten Kampf gegen einen geduldigen, klugen und entschlossenen Feind, der immer einen Schritt voraus zu sein scheint. Aber es gibt auch große Vorteile. Die Gemeinschaft der Sicherheitsexperten verfügt über eine enorme Kameradschaft, denn Sicherheitsexperten können sich gut fühlen, wenn sie wissen, dass sie etwas Wichtiges für ihr Unternehmen tun. Und die Gehälter im Sicherheitsbereich gehören zu den höchsten in der IT-Branche.
Im täglichen Leben gibt es in den Schützengräben sechs harte Wahrheiten, mit denen Sicherheitsexperten lernen müssen, umzugehen und diese zu akzeptieren.
Wahrscheinlich befinden sich jetzt gerade Hacker in Ihrem Netzwerk
Wir haben alle das alte Sprichwort gehört, wonach es zwei Arten von Unternehmen gibt: diejenigen, die schon gehackt wurden, und diejenigen, die gehackt wurden und es noch nicht wissen. Da ist ein Körnchen Wahrheit dran. Laut einer Studie des Ponemon-Instituts für IBM benötigen Unternehmen durchschnittlich unglaubliche 200 Tage, um eine Sicherheitsverletzung zu erkennen. Das sind mehr als sechs Monate, in denen ein Angreifer in Ihrem Netzwerk herumwühlt.
Fast 70% der CISOs berichteten, dass sie Malware entdeckt haben, die für einen unbekannten Zeitraum – in einigen Fällen über ein Jahr – in ihren Netzwerken versteckt gewesen ist. Dies ging aus einer Umfrage im Auftrag von Nominet hervor, welches das britische Domain-Namen-Register betreibt und Cyber-Sicherheitsdienste anbietet.
Selbst Technologieunternehmen sind nicht immun. Zum Beispiel berichtete Citrix in einem Brief an den kalifornischen Generalstaatsanwalt, dass Hacker von Oktober 2018 bis März 2019 in ihrem Netzwerk tätig seien und Dateien entfernt hätten, die möglicherweise Namen, Sozialversicherungsnummern und Finanzinformationen enthalten hätten.
Sobald ein Hacker Ihre Abwehr durchbrochen hat, kann er sich Zeit lassen und sich methodisch erhöhte Berechtigungen und Administratorrechte verschaffen, die es ihm ermöglichen, auf wertvolle Daten zuzugreifen, die auf Unternehmensservern gespeichert sind. Und es gab sogar Fälle, in denen Hacker in der Lage waren, die Unternehmenskommunikation in Bezug auf den Angriff „mitzuhören“, so dass die Eindringlinge wussten, welche Gegenmaßnahmen das Unternehmen traf, und deshalb in der Lage waren, diese zu umgehen.
Was sie tun können: Erwägen Sie den Einsatz von Tools zur Bedrohungsabwehr, die Honeypots schaffen und andere fortschrittliche Techniken einsetzen, um Angreifer zu fangen, bevor sie Schaden anrichten können.
Sie können alles richtig machen, und ein unvorsichtiger Endbenutzer kann alles ruinieren
Das ist schwer zu schlucken. Sie führen umfangreiche Endbenutzerschulungen durch; in regelmäßigen Abständen versenden Sie sogar gefälschte Phishing-Angriffe und benachrichtigen dann die Missetäter, dass sie auf einen falschen Link geklickt haben, in der Hoffnung, dass sie aus ihren Fehlern lernen können.
Und immer noch nimmt jemand den Phishing- oder Speer-Phishing-Köder an, wodurch das gesamte Unternehmen in Gefahr gerät.
Die Statistiken sind wirklich erschreckend. Laut dem Untersuchungsbericht von Verizon Data Breach Investigations Report sind 32 % aller Datenschutzverletzungen auf Phishing zurückzuführen. Und als Unternehmen zurückgingen und die Grundursache von Cyber-Spionagevorfällen sowie die Installation und Nutzung von Hintertüren untersuchten, war Phishing in 78% der Fälle vorhanden.
Bei einer von 25 E-Mails handelt es sich um Phishing, und praktisch jedes Unternehmen (83 Prozent der Befragten im Bereich der globalen Informationssicherheit laut des ProofPoints State of the Phish-Berichts) hat bereits Phishing-Angriffe erlebt.
Natürlich können Endbenutzer die Sicherheit noch auf andere Weise gefährden, z. B. indem sie ihr Gerät verlieren, es stehlen lassen oder Opfer von Social-Engineering-Betrügereien werden, bei denen sie Passwörter oder andere Anmeldeinformationen an nicht autorisierte Benutzer weitergeben.
Was Sie tun können: Es gibt Anti-Phishing-Dienste von Drittanbietern, die versuchen, den neuesten Phishing-Tricks immer einen Schritt voraus zu sein.
Sie stehen vor einem kritischen Personal- und Fachkräftemangel
Laut dem International Systems Security Certification Consortium (ISC2) ist die größte Sorge unter Cybersicherheitsexperten (36%) der Mangel an qualifizierten/erfahrenen Mitarbeitern. Der jüngste Bericht des ISC2 schlägt laut und deutlich Alarm – die weltweite Lücke im Sicherheitspersonal hat 4 Millionen Arbeitsplätze erreicht, vor allem im asiatisch-pazifischen Raum (2,6 Millionen). Aber auch in Nordamerika, wo der Mangel an Sicherheitsprofis auf rund 550.000 Arbeitnehmer geschätzt wird, sieht es nicht viel besser aus.
Zwei Drittel der Unternehmen in der ISC2-Umfrage gaben an, dass es ihnen an Personal für die Cybersicherheit mangelt, und mehr als die Hälfte der Unternehmen (51%) gaben an, dass der Mangel an Sicherheitsexperten die Organisation einem mäßigen bis extremen Risiko aussetzt.
Diese Ergebnisse werden durch eine von der Information Systems Security Association (IVSS) und der Analystenfirma Enterprise Strategy Group (ESG) durchgeführte Umfrage untermauert. Siebzig Prozent der Befragten gaben an, dass sich der Fachkräftemangel auf ihr Unternehmen ausgewirkt hat, und 62%, ein Anstieg von fast 10% gegenüber dem letzten Jahr, gaben an, dass sie bei der Bereitstellung eines angemessenen Ausbildungsniveaus für ihr Sicherheitspersonal im Rückstand sind.
Was Sie tun können: Experten empfehlen den Unternehmen, ihre manchmal starren Anforderungen zu lockern, dass ein Bewerber bestimmte Zertifizierungen oder jahrelange Erfahrung haben muss. Unternehmen sollten auch versuchen, Mitarbeiter aus anderen Teilen des Betriebs anzuwerben und zu schulen. Cross-Training ist wichtig, ebenso wie die Integration von Sicherheitsteams mit anderen Gruppen, wie z.B. DevOps oder Networking. Wenn die Sicherheit zu einem Teil der Arbeit aller wird, entlastet das die dafür vorgesehenen Sicherheitsexperten.
IoT schafft neue und unvorhergesehene Sicherheitsprobleme
Die Vorteile der IoT-Technologie zeigen sich sowohl in Unternehmens- als auch in Verbraucherumgebungen – 3D-Druck, erweiterte und virtuelle Realität, kollaborative Roboter, Drohnen, ferngesteuerte Sensoren, Industrie 4.0, selbstfahrende Fahrzeuge, intelligente Häuser, Sicherheitskameras. Eine neue Prognose von IDC schätzt, dass es im Jahr 2025 41,6 Milliarden angeschlossene IoT-Geräte oder „Dinge“ geben wird, die 79,4 Zettabytes (ZB) an Daten erzeugen werden.
Aber es ist nicht die Anzahl der Geräte, die Sicherheitsalbträume hervorrufen können, sondern die Art und Weise, wie diese ungesicherten Geräte Ihre Sicherheitsvorkehrungen beeinträchtigen können. Checken Mitarbeiter Firmen-E-Mails auf ihrer Smartwatch? Verbinden sie sich von ihrem Arbeitslaptop aus mit ihrem privaten Sicherheitssystem? Wenn sie von zu Hause aus arbeiten und über VPN in das Unternehmensnetzwerk getunnelt sind, wechseln sie zwischen Unternehmensanwendungen und ihrer Nanny-Cam hin und her?
Laut einer von Zscaler durchgeführten Analyse des Cloud-Verkehrs blockierte der Cloud-basierte Sicherheitsanbieter im Mai 2019 monatlich 2.000 IoT-basierte Malware; diese Zahl stieg bis Ende 2019 um das Siebenfache auf 14.000 blockierte Malware-Versuche pro Monat.
In vielen Fällen sind sich die Sicherheitsprofis vielleicht nicht einmal bewusst, dass einige der Geräte IoT-Verkehr erzeugen und damit neue IoT-basierte Angriffsvektoren für Cyberkriminelle schaffen. Aber die Angreifer sind sich dieser potenziellen Schwachstellen durchaus bewusst. Im Fall des Mirai Botnet von 2016 nutzten die Angreifer die Tatsache aus, dass Verbraucher selten das Standardpasswort auf IP-Kameras und Heimroutern ändern, um einen Denial-of-Service-Angriff zu starten, der einen großen Teil des Internets lahm legte. Und immer wieder tauchen neue Exploits auf, die auf IoT-Geräte abzielen und Kameras, DVRs und Heimrouter ins Visier nehmen.
Was Sie tun können: Sicherheitsprofis sollten sich darauf konzentrieren, Einblick in die Existenz unautorisierter IoT-Geräte zu gewinnen, die sich bereits im Netzwerk befinden (Shodan kann hier helfen), IoT-Geräte in ein separates Netzwerk einzubinden, den Zugriff auf das IoT-Gerät von externen Netzwerken aus einzuschränken, die Standard-Anmeldeinformationen zu ändern, sichere Passwörter zu verlangen und regelmäßige Sicherheits- und Firmware-Updates durchzuführen.
Sie fühlen sich manchmal missverstanden und unterschätzt
Sicherheitsteams stehen in einer Reihe von Schlüsselbereichen oft vor einem schwierigen Kampf:
- Finanzierung: Unternehmen wollen natürlich in Bereiche investieren, die die Betriebskosten senken, die Margen verbessern, neue Einnahmequellen schaffen, Innovationen freisetzen und die Kundenzufriedenheit steigern. Sicherheit wird oft als eine Ausgabe angesehen, die sich nicht messbar auszahlt, und deshalb halten die Sicherheitsbudgets mit der Bedrohungslandschaft nicht Schritt.
- Unterstützung durch die Geschäftsleitung: Auf den höchsten Ebenen des Unternehmens werden Sicherheitsbedrohungen möglicherweise nicht vollständig verstanden. In einigen Unternehmen sitzen sicherheitserfahrene Führungskräfte im Verwaltungsrat, in vielen jedoch nicht.
- Zusammenarbeit der Geschäftseinheiten: Unternehmensbereiche betrachten Sicherheit oft eher als Hemmnis denn als Möglichkeit. Dies führt dazu, dass Abteilungen in der IT umhergehen und sich für ihre eigenen Produktivitäts-, Kollaborations- oder Speicheranwendungen anmelden, was natürlich zusätzliche Sicherheitsprobleme schafft.
- Widerstand der Mitarbeiter: Mitarbeiter betrachten Sicherheitsverfahren wie häufiges Zurücksetzen von Passwörtern, Zwei-Faktor-Authentifizierung oder andere Standard-Sicherheitsverfahren oft als Ärgernis, das ignoriert oder umgangen werden sollte.
Was Sie tun können: Sicherheitsprofis sollten gemeinsam versuchen, in jeden Winkel des Unternehmens vorzudringen, Brücken zu schlagen, interdisziplinäre Teams zu bilden und die Botschaft zu vermitteln, dass Sicherheit in der Verantwortung aller liegt und in jeden Geschäftsprozess eingebettet sein sollte.
Stress, Angst und Burnout kommen mit dem Einsatzgebiet
Wenn man alle oben aufgeführten harten Wahrheiten zusammenzählt, erhält man einen Beruf, der einem hohen Maß an Stress, Angst und Burnout ausgesetzt ist. Nach Angaben des Ponemon-Instituts sagen 65 % der SOC-Fachleute, dass Stress sie dazu veranlasst hat, über eine Kündigung nachzudenken.
In der Nominet-Umfrage gaben 91% der CISOs an, dass sie unter mäßigem oder hohem Stress leiden, und 60% fügen hinzu, dass sie nur selten „offline“ gehen. Noch beunruhigender ist, dass ein Viertel der befragten CISOs der Meinung ist, die Arbeit habe Auswirkungen auf ihre geistige oder körperliche Gesundheit und ihre persönlichen und familiären Beziehungen gehabt.
Hohe Burnout-Raten tragen zu einer starken Fluktuation bei, die den Fachkräftemangel verschärft und den verbleibenden Sicherheitsfachkräften das Leben erschwert. Es ist ein Teufelskreis.
Was Sie tun können: Darauf gibt es keine einfache Antwort, aber Sicherheitsexperten müssen sich öffnen und mit ihren Kollegen über Stress sprechen und sich entschlossen darum bemühen, ihre Work-Life-Balance zu verbessern.
*Neal Weinberg ist freiberuflicher Technologie-Autor und -Redakteur.
Be the first to comment