2022/7 | Fachbeitrag | Digitalisierung

Sechs gängige Fehlannahmen zur Cybersecurity im Unternehmen

Sich mit Cybersecurity zu beschäftigen, ist in manchen Unternehmen eine ungeliebte Aufgabe. Dabei haben IT-Administratoren in vielen Fällen schon eine gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, um Sicherheitslücken zu identifizieren, abzumildern oder gar auszumerzen. Aber Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es dem Management schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den reibungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um sechs der häufigsten Irrtümer.

Bildquelle: (C) Gerd Altmann / Pixabay

Annahme 1: Es trifft sowieso nur die anderen.

"Für eine Cyberattacke sind wir gar nicht interessant genug." Diese Einschätzung ist nicht selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die nicht zielgerichtet waren. Die allermeisten Angriffe folgen dem Motto Spray-and-Pray: Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, wo etwa die Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Für Angreifer, die vor allem finanzielle Interessen haben und Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner bzw. Ransomware erpressen wollen, ist der Spray-and-Pray-Ansatz in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.

Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle.

Tatsächlich nimmt die Zahl der Supply-Chain-Angriffe zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen für seine Geschäftstätigkeit zugeliefert werden, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.

Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Im produzierenden Gewerbe, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Maßnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Die Verantwortung gänzlich auf den Zulieferer schieben zu wollen, wäre fahrlässig. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.

Annahme 3: Unsere Mitarbeiter haben schon genügend Sicherheitsbewusstsein.

Noch viel zu oft stellt das Verhalten von Mitarbeitern für Cyberkriminelle ein bequemes Einfallstor dar. Ein entsprechendes Risikobewusstsein bei Mitarbeitern zu schaffen und wachzuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden Mitarbeiter es konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer E?Mail zu klicken. Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Maßnahmen gegen solche Angriffe. Es gilt aber auch, ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein zu schaffen. Social Engineering bedeutet, dass Angreifer Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Mitarbeiter werden so manipuliert, dass sie Informationen übermitteln oder bestimmte Handlungen ausführen - etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber einem vermeintlichen Support-Mitarbeiter am Telefon.

Annahme 4: Der Umfang dieser Sicherheitsprüfung wird schon ausreichen.

Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyberresilienz. Wählt man allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja - so heißt es dann - sowieso bald abgeschaltet oder ersetzt werden. Dabei bieten gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht - aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit. Darum ist es so wichtig, Pentests nicht nur auf einen Ausschnitt der Unternehmens-IT zu richten, sondern sie holistisch anzulegen.

Annahme 5: Penetration-Tests kann die IT-Abteilung nebenher übernehmen.

Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn in der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits zu 100, wenn nicht gar zu 120 Prozent ausgelastet. Zudem verlangen Penetration-Tests ein hochspezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen sich die Mitarbeiter der internen IT klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen.

Annahme 6: Unsere Backups retten uns im Notfall.

Heute ist diese Aussage nicht mehr in jedem Fall gültig, denn die Qualität von Schadsoftware ist deutlich gestiegen. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner daran, die Daten des Unternehmens zu verschlüsseln - und die eigentliche Erpressung beginnt. Darum sollte man Backups heute erstens mit geeigneten Schutzkonzepten vor Malware sichern und sie zweitens regelmäßig prüfen. Unternehmen müssen ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüsselt, können Cyberkriminelle natürlich auch diesen Backup-Schlüssel des Unternehmens verschlüsseln. Darum ist es wichtig, dass Unternehmen ihre Krypto-Schlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren.

Fazit

Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyberkriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etabliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen.


Die Autoren:

Michael Niewöhner ist bei Ventum Consulting seit 2021 als Manager für IT Security & Penetration Testing tätig. Zuvor leitete er den Bereich Security Testing & Research am Münchener Standort eines Cyber-Defense-Unternehmens. Niewöhner ist Offensive Certified Security Professional. Zu seinem breiten Kompetenzportfolio im Bereich Cybersecurity gehören unter anderem Reverse Engineering, Web Application Penetration Testing, Linux Audits und Hardening, Embedded Penetration Testing sowie Security by Design.

Daniel Querzola ist bei Ventum Consulting als Manager IT Security & Penetration Testing tätig. Seinen Background hat er in tiefgreifend technischen Bereichen wie Pentesting und Vulnerability Management. Zu seiner Kernexpertise gehört es, Audits im Kontext komplexer Unternehmensarchitekturen durchzuführen. Neben Netzwerk- und Software-Pentests liegt ein besonderer Fokus auf Windows-Domänen. Bevor er 2021 zu Ventum Consulting wechselte, arbeitete Querzola als Head of Penetration Testing eines Cyber-Defense-Unternehmens am Standort Neustadt.

Web: https://cybersecurity.ventum-consulting.com

Diese Artikel könnten Sie auch interessieren

Was KI leisten kann – und wie dieser Change gelingt

WISSENplus
Die künstliche Intelligenz wird künftig der stärkste Changetreiber in unserer Gesellschaft sein. Davon ist Innovations- und KI-Experte Dr. Jens-Uwe Meyer überzeugt. Aber vor allem viele Mittelständler haben die Bedeutung von KI noch nicht vollumfänglich erkannt - bzw. zögern noch, auf den KI-Zug aufzuspringen. Warum Abwarten keine Option ist und wie man sich dem Thema KI am besten nähert, erkl...

Weiterlesen

KI – die Zukunft des Unternehmenswissens?

WISSENplus
Künstliche Intelligenz sorgt für Bewegung und gleichzeitig für Unruhe. Letztlich hinterlässt das Hantieren mit Daten auch Fragen, manchmal Befürchtungen und gelegentlich Vorbehalte. Die KI hat währenddessen alle Bereiche des unternehmerischen Handelns und betriebswirtschaftlichen Denkens befallen. Das Unternehmenswissen mit KI in Zusammenhang zu bringen, scheint dagegen als Thema noch etwas sper...

Weiterlesen

Was kann GenAI leisten? Mehrwerte für Unternehmen, Teams & Mitarbeiter

WISSENplus
Gefühlt beeinflusst generative KI unser Arbeits- und Privatleben mittlerweile tagtäglich. Nicht nur die Anwendungen werden immer mehr; auch die Diskussionen über Implikationen, Herausforderungen und Regularien prägen den beruflichen und privaten Alltag. Dies wundert kaum, handelt es sich ja um eine Art von Werkzeug, das die Menschen bisher noch nicht kannten bzw. nutzen konnten. Zielten bisher gen...

Weiterlesen

Was kann generative KI in Bürgerämtern & Co. leisten?

WISSENplus
7.000 unbesetzte Stellen, bis zu acht Wochen Wartezeit, null Erreichbarkeit: Wer in Berlin einen Reisepass beantragen möchte, braucht vor allem eines - Geduld. Echtzeit-Lösungen und Self-Service? Fehlanzeige. Höchste Zeit, die Bürgerorientierung in der Verwaltung neu zu denken. Künstliche Intelligenz (KI) wird bereits als Heilsbringer gelobt. Der Berliner Senator Stefan Evers spricht sogar von ko...

Weiterlesen

Zoom-Fatigue: Die neue Volkskrankheit - und wie Sie sich trotz zunehmender Digitalisierung schützen

Nicht erst durch Corona hat die digitale Kommunikation weltweit einen signifikanten Fortschritt erlebt. So kommt es immer mehr dazu, dass Berufstätige tagtäglich im Homeoffice oder mobil arbeiten. Dabei gehört die Teilnahme an virtuellen Meetings zum Alltag für viele Arbeitnehmerinnen und Arbeitnehmer. Besonders diese Entwicklung birgt jedoch auch die Gefahr für eine neuere Art der körperlichen ...

Weiterlesen

Komplexe Angebote auf Knopfdruck? Mit GenAI funktioniert’s!

WISSENplus
Die Generative KI und Large Language Models (LLMs) bieten mit ihren enormen Fähigkeiten bei der Sprachverarbeitung und -generierung großes Potenzial für das Wissensmanagement. Aufgrund der gigantischen Datenmengen, mit denen sie trainiert wurden, sind die Ergebnisse sowohl beim Verstehen von Eingaben als auch bei der Ausgabe von Antworten beeindruckend. Der Nutzer hat den Eindruck, er kommuniziere ...

Weiterlesen