Sich mit Cybersecurity zu beschäftigen, ist eine oft ungeliebte Aufgabe. Dabei haben IT-Administratoren in vielen Fällen schon eine gute Vorstellung davon, wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, um Sicherheitslücken zu identifizieren, abzumildern oder gar auszumerzen. [...]
Doch Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es den Verantwortlichen schwer, Mittel in ihre Cyberresilienz zu investieren, um Risiken zu reduzieren und auch in Zukunft den reibungslosen Betrieb zu gewährleisten. Wenn das Cyberrisiko systematisch unterschätzt wird, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um fünf der häufigsten Irrtümer.
Annahme 1: Es trifft sowieso nur die anderen.
„Für eine Cyberattacke sind wir gar nicht interessant genug.“ Diese Einschätzung ist nicht selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die nicht zielgerichtet waren.
Diese Angriffe folgen dem Motto Spray-and-Pray: Im Gießkannenprinzip lancieren Cyberkriminelle einen Angriffsversuch ohne konkretes Ziel. Dann warten sie ab, wo etwa die Mail mit dem Phishing-Link zum Erfolg führt. Für Angreifende, die beispielsweise eine Erpressung durch Verschlüsselung von Daten per Krypto-Trojaner bzw. Ransomware planen, ist Spray-and-Pray meist am rentabelsten.
Dies wiederum bedeutet: Jede Organisation ist ein potenzielles Opfer.
Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle.
Tatsächlich nimmt die Zahl der Supply-Chain-Angriffe zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Anlagen, die einer Organisation für ihre Tätigkeit zugeliefert werden, als die Angriffsvektoren. So wurde etwa eine Supermarktkette gehackt, indem die Angreifenden die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten.
Maschinen oder Anlagen können einen Lebenszyklus von mehreren Jahrzehnten haben. Früher oder später stehen dann meist nur noch mitigierende Maßnahmen offen, um Sicherheitsrisiken zu reduzieren. Denn die Hersteller existieren nicht mehr, oder es gibt nach wenigen Jahren keine Sicherheitspatches mehr.
So bleibt mitunter als einzige Option, die Anlage aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Bedrohungen aus der Supply Chain heraus sind sehr real und heute alltäglich.
Annahme 3: Unsere Mitarbeitenden haben schon genügend Sicherheitsbewusstsein.
Noch viel zu oft stellt das Verhalten von Mitarbeitern und Mitarbeiterinnen für Cyberkriminelle ein bequemes Einfallstor dar. Manchmal ergibt sich das Gefahrenpotenzial auch unmittelbar aus der täglichen Arbeit. Mitarbeitende in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält. Organisationen brauchen natürlich technische Maßnahmen gegen solche Angriffe.
Ebenso ist aber auch ein Bewusstsein für die Risken von Social-Engineering-Angriffen allgemein nötig. Social Engineering bedeutet, dass Angreifende Täuschung anwenden, um Mitarbeiter und Mitarbeiterinnen so zu manipulieren, dass sie Informationen übermitteln oder bestimmte Handlungen ausführen – etwa auf den Phishing-Link klicken oder ihr Passwort gegenüber einem vermeintlichen Support-Mitarbeitenden am Telefon nennen.
Annahme 4: Unser Sicherheitstest wird schon ausreichen.
Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyberresilienz. Wählt man allerdings den Scope des Pentests zu klein, entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen und bald abgeschaltet werden sollen – gerade diese Altsysteme bieten oft den verführerischsten Angriffsvektor.
Ein anderes Beispiel: Auf dem Server, der eine Webanwendung betreibt, läuft auch noch ein FTP-Dienst. Der ermöglicht die vollständige Kompromittierung des Servers – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Darum ist es so wichtig, Pentests nicht nur auf einen Ausschnitt der IT zu richten, sondern sie holistisch anzulegen. Zudem ist ein aussagefähiger Pentest mit Inhouse-Ressourcen praktisch unmöglich, schon weil der eigenen IT-Abteilung Know-how und Zeit dafür fehlen.
Annahme 5: Unsere Backups retten uns im Notfall.
Das muss heute nicht mehr so sein. Es gibt inzwischen Ransomware, die sich zuerst in den Backups einer Organisation einnistet, um sie nach und nach zu zerstören. Erst Monate später, wenn das Backup unbrauchbar geworden ist, beginnt der Krypto-Trojaner, die Daten zu verschlüsseln und die eigentliche Erpressung beginnt.
Darum sollte man Backups heute mit geeigneten Schutzkonzepten vor Malware sichern und sie auch regelmäßig prüfen: Betriebe müssen ihre Disaster Recovery testen, üben und ausprobieren. Und wenn eine Organisation ihr Backup aus Sicherheitsgründen verschlüsselt, können Cyberkriminelle natürlich auch diesen Backup-Key verschlüsseln. Darum ist es wichtig, diesen Schlüssel offline aufzubewahren und auch das Notfalltraining in Sachen Disaster Recovery offline zu dokumentieren.
Fazit
Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollten Verantwortliche aus einer glimpflich verlaufenen Vergangenheit schließen, dass sie auch in Zukunft vor Cyberkriminalität sicher seien, wäre dies vielleicht die gravierendste Fehlannahme von allen.
Um ihrer IT operative Zuverlässigkeit zu verleihen, muss eine Organisation Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etablieren, aufrechterhalten und weiterentwickeln. Zumal der finanzielle Schaden im Ernstfall um ein Vielfaches schwerer wiegt als das vorausschauende Investment in Cybersicherheit. Auch in Sachen Cybersecurity gilt: Vorbeugen ist besser als heilen.
*Michael Niewöhner ist bei Ventum Consulting seit 2021 als Manager für IT Security & Penetration Testing tätig. Zuvor leitete er den Bereich Security Testing & Research am Münchener Standort eines Cyber-Defense-Unternehmens. Niewöhner ist Offensive Certified Security Professional. Zu seinem breiten Kompetenzportfolio im Bereich Cybersecurity gehören unter anderem Reverse Engineering, Web Application Penetration Testing, Linux Audits und Hardening, Embedded Penetration Testing sowie Security by Design.
**Daniel Querzola ist bei Ventum Consulting als Manager IT Security & Penetration Testing tätig. Seinen Background hat er in tiefgreifend technischen Bereichen wie Pentesting und Vulnerability Management. Zu seiner Kernexpertise gehört es, Audits im Kontext komplexer Unternehmensarchitekturen durchzuführen. Neben Netzwerk- und Software-Pentests liegt ein besonderer Fokus auf Windows-Domänen. Bevor er 2021 zu Ventum Consulting wechselte, arbeitete Querzola als Head of Penetration Testing eines Cyber-Defense-Unternehmens am Standort Neustadt.
Be the first to comment