Wie sich die größten Bedrohungen für die IT-Sicherheit „zähmen“ lassen
Der aktuelle BSI-Lagebericht 2022 zeigt, dass sich die bereits zuvor angespannte Lage in der IT-Sicherheit weiter zugespitzt hat. Die Top-3-Bedrohungen für die Wirtschaft und die kritische Infrastruktur sind moderne Ransomware-Attacken, Advanced Persistent Threats (kurz APT-Angriffe) sowie Schwachstellen durch offene oder falsch konfigurierte Server.
Security Awareness und Dark Web Monitoring als Schutzschild
Wie können sich Unternehmen, Staat und Verwaltung gegen Cyberangriffe wehren? Das Einfallstor Mensch spielt eine zentrale Rolle und sollte über moderne Security-Awareness-Kampagnen inklusive Phishing-Simulationen geschlossen werden. Durch Dark Web Monitoring besteht die Möglichkeit, den Angreifern einen Schritt voraus zu sein.
Gründe für die starke Bedrohung sind erhöhte Aktivitäten in der Cyberkriminalität, Cyberangriffe im Kontext des russischen Angriffs auf die Ukraine aber auch Schwachstellen in der IT oder Software-Produkten. Die Angreifer agieren meist aus einer Gruppe von Spezialisten und bringen modernste Techniken zum Einsatz, um Zugriff auf die Netzwerke zu erlangen und verweilen dort sehr lange. Für die betroffenen Unternehmen oder Einrichtungen entstehen oft schwerwiegende Schäden. Dabei wird meistens Lösegeld erpresst, was den Betrieb oft über Wochen beeinträchtigt oder gar unterbricht. Häufig muss die komplette IT-Infrastruktur mit Hardware und Software neu aufgesetzt werden. Auch die Kosten des Managements der Schadensbewältigung, der IT-Forensik, der Rechtsberatung, mögliche Vertragsstrafen, Bußgelder und Reputationskosten sowie Verlust von Stammkunden müssen betrachtet werden. Die Kosten gehen sehr häufig in einen zweistelligen prozentualen Bereich im Vergleich zum Umsatz und sind für das Unternehmen existenziell. Oftmals ist Unternehmern diese gravierende Bedrohung gar nicht bewusst.
Cyberkriminelle monetarisieren die gesamte Verweildauer von durchschnittlich sechs Monaten im Netzwerk ihres Opfers. Das heißt: Die Angreifer bewegen sich sechs Monate im Netzwerk des betroffenen Unternehmens, bevor es bemerkt wird.
Während dieser Zeit wird die Datensicherung gestört oder manipuliert, es werden die „digitalen Kronjuwelen“ gefunden, gestohlen und an den Wettbewerber verkauft. Die Kommunikation wird analysiert und es werden Benutzernamen und Passwörter der Mitarbeitenden gesammelt. Der VPN-Zugang zum Netzwerk wird im Darknet an andere Hacker verkauft. Erst ganz zum Schluss werden alle Server und Computer verschlüsselt, mit der Veröffentlichung weiterer Daten gedroht und ein erhebliches Lösegeld verlangt.
Infos aus dem Darknet
Um eine Chance zu haben, sich zu schützen, ist es unabdingbar zu wissen, wie Angreifende vorgehen und auf Informationen aus dem Dark Web zugreifen. Im Dark Web lässt sich erkennen, wer mit welchen Mitteln angreift, und wie weit die Vorbereitungen gediehen sind. Cyberkriminelle gehen sehr gezielt vor und suchen ihre Angriffsziele sehr genau aus, denn das Opfer muss sich den Angriff bei einer erfolgreichen Attacke auch leisten können.
Cyberkriminelle untersuchen die Internet-Zugangspunkte des Unternehmens auf bekannte Verwundbarkeiten. Oftmals zielen sie auf den Menschen ab, da er die geringste Hürde darstellt. Sie recherchieren, welche Mitarbeitenden im Unternehmen arbeiten und mit welchen Themen sie sich beschäftigen. Details über Personen werden vielfältig über Social-Media-Kanäle wie LinkedIn, XING oder Kununu in Erfahrung gebracht. Mit dieser Recherchearbeit können die Angreifenden zum Beispiel eine E-Mail mit dem richtigen Köder und einem Schadcode verfassen, um den Mitarbeitenden zum Öffnen der Anlage oder eines Links zu verleiten. Die dadurch entstandene Sicherheitslücke wird ausgenutzt, und die Malware wird installiert. Sofort funkt die Malware „nach Hause“, updatet sich andauernd, um vom Virenschutz nicht erkannt zu werden und lädt weitere Tools nach, um die gesamte Steuerung des Rechners und später des gesamten Netzwerks zu erlangen. Zum Glück gibt es viele Möglichkeiten, um zu verhindern, dass Cyberkriminelle Zugriff auf das Netzwerk erlangen.
- Zum einen ist es wichtig, dass die Internetzugangspunkte gepatcht sind und keine bekannten Schwachstellen aufweisen, welche die Angreifer ausnutzen können.
- Weiterhin ist es wichtig, die Security Awareness jedes einzelnen Mitarbeitenden zu erhöhen. Die Mitarbeitenden müssen einen Angriff sicher erkennen, egal ob dieser per Phishing-E-Mail, per Telefon, QR-Code, USB-Stick oder sogar persönlich vor Ort oder unterwegs, in der Bahn, am Flughafen oder im Hotel stattfindet.
- Ein weiterer Punkt ist die Endpoint Protection, sprich die Antivirensoftware, auf den Rechnern aktuell zu halten.
- Last but not least ist es sinnvoll, ein NDR, ein Network Detection and Response System, im Einsatz zu haben. Ein solches System analysiert ständig den gesamten Netzverkehr und meldet Anomalien, die auf einen Hacker hinweisen.
85 Prozent aller erfolgreichen Cyberangriffe erfolgen über den Menschen und nicht über die
Maschine. Aus diesem Grund ist es so wichtig, dass Mitarbeitende Angriffe erkennen und
sich richtig verhalten. Dies ist am besten durch moderne Security-Awareness-Trainings und Angriffssimulationen, wie zum Beispiel simulierte Phishing-Angriffe, erreichbar, bei denen der Mitarbeitende am eigenen Leib eine Attacke erfährt. Informationen aus dem Dark Web können hilfreiche Dienste leisten, um gezielte Maßnahmen für mehr IT-Sicherheit einzuleiten.
Was Mitarbeitende zur Unternehmenssicherheit beitragen können
Um nicht als Einfallstor für Cyberkriminelle missbraucht zu werden, ist es wichtig, dass Mitarbeitende sich der Bedrohung bewusst sind, und erkennen, wie sie angegriffen werden könnten. Einen wertvollen Beitrag leisten hier Videotrainings und Phishing-Simulationen, um einerseits Wissen zu vermitteln und zudem in simulierten Angriffssituationen das Verhalten entsprechend zu überdenken und anzupassen.
Entscheidend dabei ist, dass die Mitarbeitenden ihre wichtige Rolle als „menschliche Firewall“ verstehen und die Relevanz der Trainings und Simulationen erkennen. Am besten ist es sicherlich, den Trainingsbedarf jedes einzelnen Mitarbeitenden initial mittels eines Assessments festzustellen und nur die jeweils relevanten Bereiche mittels drei- bis fünfminütigen Videotrainings zu schulen. Das hat den Vorteil, dass niemand über- oder unterfordert wird. Die Akzeptanz der Trainings ist somit bei den Mitarbeitenden sehr hoch.
Darauf aufbauend können noch rollenbasierte Trainings verteilt werden. Weiterhin empfiehlt
es sich, mindestens 12- oder besser 24-mal im Jahr simulierte Attacken durchzuführen. Diese
Attacken werden im Verlauf immer ausgefeilter und münden bei vielen sehr exponierten
Mitarbeitern sogar in speziell für sie recherchierten Spear-Phishing-Angriffen. Während
der Kampagnenlaufzeit wird das Phishing und Trainingsverhalten einzelner Gruppen analysiert und bedarfsgerecht angepasst. Die Phishing-Anfälligkeit reduziert sich bereits in den ersten drei Monaten über die Hälfte und sinkt kontinuierlich im fortschreitenden Kampagnenverlauf.
Wie sich das Sicherheitslevel der Belegschaft greifbar machen lässt
Es gibt einschlägige Kennzahlen, die das Sicherheitslevel der Belegschaft greifbar machen können. So zum Beispiel der Risk Score, der aus der Phishing-Anfälligkeit des Mitarbeitenden, der Bewertung der Position, einer persönlichen Einschätzung des Mitarbeitenden, der Sichtbarkeit seiner Daten aus Leaks im Darknet und mehr berechnet wird. Eine professionelle Security-Awareness-Kampagne sollte jederzeit Kennzahlen ausweisen können, um das IT-Sicherheitsrisiko einschätzen zu können. Am Anfang einer Kampagne ist der Risk Score in der Regel noch relativ hoch und reduziert sich während der Laufzeit der Kampagne nachweislich.
Dabei ist es wichtig, die Anonymität jedes Einzelnen zu wahren und den Betriebsrat bei der
Durchführung von Security Awareness-Maßnahmen einzubeziehen. Die Anonymität jedes
einzelnen Mitarbeitenden bleibt sichergestellt, indem rein über Gruppen agiert wird. Es sollten keine Informationen preisgegeben werden, wer gephisht wurde, wer welchen Risk Score hat, oder wie der Einzelne im Training abgeschnitten hat. Über Gruppen lassen sich ebenso wertvolle Schlüsse ziehen, sodass keiner irgendwelche Repressalien zu befürchten hat. Betriebsräte sehen Security-Awareness-Trainings in der Regel sehr positiv.
Zu lange fand eine schnelle Digitalisierung auf dem Rücken der Mitarbeitenden statt, und viele fühlen sich überrollt und nicht mitgenommen. Bei modernen Security-Awareness-Trainings steht der einzelne Mitarbeitende im Mittelpunkt, und er wird dort abgeholt, wo sein Wissen über Informationssicherheit aufhört. Als kleinen Zusatzbonus erhält der Mitarbeitende wertvolle Informationen, wie er sich und seine Familie auch privat schützen kann.
Nicolas Leiser, Geschäftsführer bei Cyber Samurai GmbH