2022/7 | Fachbeitrag | Digitalisierung

Sechs gängige Fehlannahmen zur Cybersecurity im Unternehmen

Sich mit Cybersecurity zu beschäftigen, ist in manchen Unternehmen eine ungeliebte Aufgabe. Dabei haben IT-Administratoren in vielen Fällen schon eine gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, um Sicherheitslücken zu identifizieren, abzumildern oder gar auszumerzen. Aber Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es dem Management schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den reibungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um sechs der häufigsten Irrtümer.

Bildquelle: (C) Gerd Altmann / Pixabay

Annahme 1: Es trifft sowieso nur die anderen.

"Für eine Cyberattacke sind wir gar nicht interessant genug." Diese Einschätzung ist nicht selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die nicht zielgerichtet waren. Die allermeisten Angriffe folgen dem Motto Spray-and-Pray: Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, wo etwa die Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Für Angreifer, die vor allem finanzielle Interessen haben und Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner bzw. Ransomware erpressen wollen, ist der Spray-and-Pray-Ansatz in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.

Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle.

Tatsächlich nimmt die Zahl der Supply-Chain-Angriffe zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen für seine Geschäftstätigkeit zugeliefert werden, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.

Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Im produzierenden Gewerbe, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Maßnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Die Verantwortung gänzlich auf den Zulieferer schieben zu wollen, wäre fahrlässig. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.

Annahme 3: Unsere Mitarbeiter haben schon genügend Sicherheitsbewusstsein.

Noch viel zu oft stellt das Verhalten von Mitarbeitern für Cyberkriminelle ein bequemes Einfallstor dar. Ein entsprechendes Risikobewusstsein bei Mitarbeitern zu schaffen und wachzuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden Mitarbeiter es konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer E?Mail zu klicken. Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Maßnahmen gegen solche Angriffe. Es gilt aber auch, ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein zu schaffen. Social Engineering bedeutet, dass Angreifer Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Mitarbeiter werden so manipuliert, dass sie Informationen übermitteln oder bestimmte Handlungen ausführen - etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber einem vermeintlichen Support-Mitarbeiter am Telefon.

Annahme 4: Der Umfang dieser Sicherheitsprüfung wird schon ausreichen.

Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyberresilienz. Wählt man allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja - so heißt es dann - sowieso bald abgeschaltet oder ersetzt werden. Dabei bieten gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht - aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit. Darum ist es so wichtig, Pentests nicht nur auf einen Ausschnitt der Unternehmens-IT zu richten, sondern sie holistisch anzulegen.

Annahme 5: Penetration-Tests kann die IT-Abteilung nebenher übernehmen.

Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn in der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits zu 100, wenn nicht gar zu 120 Prozent ausgelastet. Zudem verlangen Penetration-Tests ein hochspezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen sich die Mitarbeiter der internen IT klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen.

Annahme 6: Unsere Backups retten uns im Notfall.

Heute ist diese Aussage nicht mehr in jedem Fall gültig, denn die Qualität von Schadsoftware ist deutlich gestiegen. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner daran, die Daten des Unternehmens zu verschlüsseln - und die eigentliche Erpressung beginnt. Darum sollte man Backups heute erstens mit geeigneten Schutzkonzepten vor Malware sichern und sie zweitens regelmäßig prüfen. Unternehmen müssen ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüsselt, können Cyberkriminelle natürlich auch diesen Backup-Schlüssel des Unternehmens verschlüsseln. Darum ist es wichtig, dass Unternehmen ihre Krypto-Schlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren.

Fazit

Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyberkriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etabliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen.


Die Autoren:

Michael Niewöhner ist bei Ventum Consulting seit 2021 als Manager für IT Security & Penetration Testing tätig. Zuvor leitete er den Bereich Security Testing & Research am Münchener Standort eines Cyber-Defense-Unternehmens. Niewöhner ist Offensive Certified Security Professional. Zu seinem breiten Kompetenzportfolio im Bereich Cybersecurity gehören unter anderem Reverse Engineering, Web Application Penetration Testing, Linux Audits und Hardening, Embedded Penetration Testing sowie Security by Design.

Daniel Querzola ist bei Ventum Consulting als Manager IT Security & Penetration Testing tätig. Seinen Background hat er in tiefgreifend technischen Bereichen wie Pentesting und Vulnerability Management. Zu seiner Kernexpertise gehört es, Audits im Kontext komplexer Unternehmensarchitekturen durchzuführen. Neben Netzwerk- und Software-Pentests liegt ein besonderer Fokus auf Windows-Domänen. Bevor er 2021 zu Ventum Consulting wechselte, arbeitete Querzola als Head of Penetration Testing eines Cyber-Defense-Unternehmens am Standort Neustadt.

Web: https://cybersecurity.ventum-consulting.com

Diese Artikel könnten Sie auch interessieren

Big Data: Kundenverhalten analysieren und mehrwertstiftend nutzen

Die Big-Data-Analyse ist ein leistungsfähiges Instrument, um Unternehmen nach vorn zu bringen. Die richtige Nutzung von Informationen ist die Basis für beste Geschäftsentscheidungen zum richtigen Zeitpunkt: Nie zuvor war es dem Marketing möglich, Markttrends so genau vorherzusagen. Heute können Unternehmen Kunden durch den Kauftrichter verfolgen und ihnen personalisierte Nachrichten schicken. Bei jeder...

Weiterlesen

Hybride Teamarbeit ist mehr als nur IT

WISSENplus
Als sich Arbeit noch primär im Büro abgespielt hat, gab der vertraute Ort bereits viel Rahmen. Es war klar: wer arbeitet, fährt ins Büro. Und die Arbeitszeiten waren - abgesehen von den nach Feierabend beantworteten E-Mails - meist klar abgegrenzt. Inzwischen bestimmen die zeitlichen und örtlichen Begebenheiten nur noch bedingt, wie wir zusammenarbeiten. Wie lassen sich die neuen Herausforderunge...

Weiterlesen

Fälschungen & Plagiate: Produktwissen als Risikofaktor

WISSENplus
Deutsche Unternehmen leiden unter einem immer größer werdenden Problem, das sich nicht so leicht greifen lässt: Produktfälschungen und der damit einhergehende Ärger der Kunden. Üblicherweise kauft ein Kunde vermeintliche Originalware, ob nun ein komplett neues Produkt oder Ersatzteile für den schon vorhandenen Artikel. Ohne es zu wissen, ersteht der Kunde jedoch eine Fälschung von meist minder...

Weiterlesen

Technischer Support: Den richtigen Keilriemen findet die KI

Egal, ob Kunden beim technischen Support anrufen oder einen Service-Techniker vor Ort benötigen: Sie erwarten heute eine schnelle Lösung ihres Problems. Lange Wartezeiten am Telefon oder mehrfache Nachfrage-Anrufe frustrieren sie und sorgen für Unzufriedenheit. Kommt ein Service-Techniker zur Reparatur einer Maschine vorbei, sollte sie bei seiner Abfahrt wieder einsetzbar sein. Weitere Verzögerungen od...

Weiterlesen

Fachkräftemangel lässt Cyberrisiken signifikant steigen

WISSENplus
Die Ausgangslage für Unternehmen zur Abwehr von Cyberattacken könnte besser sein: Cyberangriffe nehmen zu und werden immer komplexer. Sie spielen sich heute in Wellen ab und dehnen sich über verschiedenste Systeme hinweg aus. Traditionelle Sicherheitsmaßnahmen genügen zur Abwehr nicht mehr und ohne eine entsprechende Lösung stehen IT-Teams den Angriffen wehrlos gegenüber. An dieser Stelle greif...

Weiterlesen

Digitale Resilienz stärken - für sichere Kommunikation in Krisensituationen

Die aktuellen Geschehnisse in Europa verstärken das Sicherheitsbedürfnis - auch in Unternehmen. Infolgedessen haben Cybersicherheit und eine sichere Kommunikation - sowohl innerhalb einer Organisation als auch zu externen Stakeholdern - an neuer Relevanz gewonnen. Unternehmen rüsten auf, um für nicht vorhersehbare Notfall- und Krisensituationen gewappnet zu sein. Denn dann sind schnelle Reaktionen...

Weiterlesen

Auf Digitalisierungskurs: Verein zur Förderung der Berufsbildung setzt auf ECM

Der Verein zur Förderung der Berufsbildung e. V. (VFB) ist eine Bildungseinrichtung, die sich der beruflichen Aus- und Weiterbildung widmet. Im baden-württembergischen Ludwigsburg und Böblingen bietet der Verein seit über 40 Jahren unter anderem IHK-Praxisstudiengänge und andere Lehrgänge für jährlich über 3.000 Teilnehmerinnen und Teilnehmer an. Die Nachfrage nach diesem Angebot ist groß. 2017 en...

Weiterlesen

Blended Learning beim Pharma-Zulieferer Sartorius

WISSENplus
Der Sartorius-Konzern hat für die Vertriebsmitarbeiter seiner Sparte Bioprocess Solutions ein Blended-Learning-Programm entwickelt und weltweit realisiert. Mit ihm wurde auch das Fundament für eine neue Lernkultur im Vertrieb gelegt. Deshalb wurde das Projekt mit dem BDVT-Trainingspreis ausgezeichnet....

Weiterlesen