Cybersicherheitsrisiken in Unternehmen Risiko Mensch und vom Menschen geschaffene Technologie

Von Richard Werner

Anbieter zum Thema

Eine Gefahrenquelle, die bei der Entwicklung einer IT-Security-Strategie nicht vernachlässigt werden darf: Der Mensch. Aber es ist eben nicht nur der typische „Link-klickende“ Mitarbeiter, der hier betrachtet werden muss, sondern andere menschliche Fehler und Stärken, die erfolgreiche Angriffe ermöglichen.“

Jeder Mitarbeiter kann zum Auslöser einer Cyberattacke werden, aber dennoch verschaffen sich am Ende die Angreifer mithilfe von Technologie und deren inhärenter Risiken Zutritt zum Unternehmen.
Jeder Mitarbeiter kann zum Auslöser einer Cyberattacke werden, aber dennoch verschaffen sich am Ende die Angreifer mithilfe von Technologie und deren inhärenter Risiken Zutritt zum Unternehmen.
(Bild: ryanking999 - stock.adobe.com)

Fragt man IT-Security-Experten, wo die größte Schwachstelle eines Unternehmens liegt, ist die Top-Antwort: „der Faktor Mensch“. Tatsächlich lässt sich dies nicht von der Hand weisen, denn wo Mensch und vom Menschen geschaffene Technologie ineinandergreifen, sind Fehler selten rein der Technik zuzuschreiben. Letzten Endes kann jeder zum Opfer einer Cyberattacke werden, wobei der Grad individuell je nach Mitarbeiter und Position variiert. Nichtsdestotrotz sind Angreifer häufig versierte ITler, die sich mithilfe von Technologie Zutritt zu Unternehmen verschaffen. Eine Sicherheitsstrategie, bei der beide Faktoren, Nutzer und Technik, beachtet werden, ist daher von oberster Priorität.

Konfigurationsfehler

Mit der Cloud-Transformation geht für viele Unternehmen ein Kulturwandel einher, der Hürden für die IT-Sicherheit mit sich bringt. Wenn, z.B. wegen Bevormundung, Restriktionen abgelehnt werden, wird das Security-Team häufig erst im Nachhinein über Neuerungen in der Infrastruktur informiert. Deswegen ist es auch nicht überraschend, dass sich die Ursache für so gut wie alle Fälle von fremdem Eindringen in die Cloud bei durch von Menschen verursachte Fehlkonfigurationen handelt. Da IT-Umgebungen immer komplexer werden, haben auch gut ausgebildete Mitarbeiter mit großer Fachkenntnis Schwierigkeiten bei der präventiven Fehleridentifikation. Unterstützung kann es durch technische Lösungen geben, die dabei helfen, derartige Fehler in der Cloud vorzubeugen, wie z.B. ein „Cloud Security Posture Management“-System.

Mangelnde Transparenz

IT-Sicherheit ist in den meisten Fällen organisch gewachsen. Ganz nach dem klassischen Ansatz „Best of Breed“, erfolgte der Einsatz von Lösungen unterschiedlicher Anbieter in den verschiedenen Bereichen. Auf diese Weise sollte eine Infrastruktur entstehen, die möglichst komplex aufgebaut ist und Unberechtigten der Zutritt verwehrt. Doch nicht nur die Expertise von Unternehmen wächst mit der Erfahrung, auch Cyberkriminelle erweitern ihr Wissen. Denn sie kennen diese komplexen IT-Umgebungen und finden gerade durch die fehlende Transparenz in der Administration, Möglichkeiten anzugreifen. Durch einen komplexen Aufbau der Security ist häufig unklar, an welcher Stelle Lösungen enden und wo wessen Zuständigkeit beginnt. So durchdringen erfahrene Angreifer fast ungehindert auch vielschichtige Infrastrukturen. Deswegen müssen Unternehmen in der heutigen Zeit viel Mühe und Zeit in die Administration der Architektur ihrer IT-Security stecken. Das wird analog zur Größe der Datenmenge, die durch unterschiedliche Systeme wächst, immer aufwendiger. Unterstützung bieten hier XDR-Lösungen (Extended Detection & Response) und SIEMs (Security Information & Event Management).

„Lateral movement“ durch fehlendes Patching

Eine Gemeinsamkeit, die sich bei erfolgreichen Cyberangriffen zeigt, sind fehlende Sicherheitsupdates. Diese Sicherheitslücke ist zwar meistens kein Startpunkt für einen Angriff, dient aber zur Verbreitung innerhalb eines Netzwerkes, dem sog. „lateral Movement“. Denn oft ist die Abwehr von ungewollten Zugriffen von außen mittels Intrusion Prevention System (IPS)-Technologie gewährt. Wenn ein Angreifer aber schon in das interne Netzwerk eingedrungen ist, steht ihm durch fehlende oder unvollständige Sicherheitsupdates nichts weiter im Weg. Tatsächlich ist es meist kein Fehler einzelner Mitarbeiter, was diese Situation hervorruft, sondern Personalknappheit und dadurch bedingte Überarbeitung. Die knappen Ressourcen werden auf die dringendsten Aufgaben konzentriert und diese sind meist der Schutz nach außen.

Je komplexer die IT-Architektur desto schwerer die lückenlose Gewährleistung von Sicherheit. Selbst exzellente Automatismen in den Patch-Prozessen können mit den Unmengen an Anwendungen und Möglichkeiten der Konfiguration nicht alles abdecken. Hinzu kommt die Einbindung von (Industrial-) Internet-of-Things-Geräten, welche bei Aktualisierungen strategisch nicht mitbeachtet werden können. Dies wirkt sich auf die Menge an Systemen aus, für die ein Patch notwendig ist. Die logische Konsequenz ist, dass Infrastrukturen oft angreifbar sind, besonders dann, wenn ein Eindringling sich bereits Zugang verschafft hat. Unterstützend für die IT-Security können host- oder netzwerkbasierte IPS-Ansätze („Virtual Patching“) eingesetzt werden.

E-Mail-Hygiene wichtiger denn je

Mit E-Mail-Hygiene ist das Blocken von gefährlichen Anhängen wie ausführbare Dateien oder Makros gemeint. Insgesamt erfolgen sogar 91 Prozent der globalen Cyberangriffe über E-Mails. Zur Beseitigung dieses Risikos können Sandboxing-Technologien und andere Techniken, zur Prüfung von URLs in E-Mails, Anwendung finden. Weil häufig eine explizite Aktivierung in den Mail-Security-Optionen nötig ist und die Überprüfbarkeit von URLs in E-Mails herstellerabhängig ist, müssen Angestellte unabhängig vom Sicherheitsstandard über etwaige Gefahren aufgeklärt werden.

Zugangsdaten als Einfallstor

Laut dem Jahresbericht von Trend Micro zur Cybersicherheit ist die Anzahl an Cyberangriffen im vergangenen Jahr um mehr als 20 Prozent im Vergleich zu 2020 gestiegen. Dabei hat sich der Raub von Zugangsdaten, dem sogenannten „Credential Phishing“ als beliebte Herangehensweise herauskristallisiert. Viele Firmen mussten in diesem Zeitraum schnell Homeoffice-Lösungen zur Verfügung stellen bzw. erweitern, weswegen Remote-Zugriffe über die regulären Nutzerdaten eingerichtet wurden. Somit wurde es für die Mitarbeiter zur Routine zur Verifizierung der eigenen Person regelmäßig die Zugangsdaten einzugeben. Phishing-Taktiken wurden dadurch besonders schwierig zu durchschauen. Eine große Angriffsfläche stellten Collaboration-Tools wie Microsoft 365 dar. Die dort gewonnenen Nutzerdaten gewährten den Angreifern einen schnellen Zugriff auf Firmenserver. Etwas Schutz kann an dieser Stelle durch eine Multi-Faktor Authentifizierung geschaffen werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Darum sollte man immer vom Schlimmsten ausgehen

Das fortwährende Ziel der IT-Security bleibt, so verlässlich wie möglich, Attacken abzuwehren. Die Herausforderung ist, dass komplexe Infrastrukturen eine große Angriffsfläche bieten, so dass es professionellen Cyberkriminellen praktisch immer möglich ist einen Eintrittspunkt zu identifizieren. Deswegen muss Unternehmen klar sein, dass sie zu jedem Zeitpunkt mit einem erfolgreichen Angriff rechnen müssen. Eine präventive Investition in Tools und Prozesse, durch die der Angriff schnellstmöglich aufgedeckt und beendet wird, steht also außer Frage.

Über den Autor: Richard Werner ist Business Consultant bei Trend Micro.

(ID:48497006)