Täglich häufen sich die Warnungen und News-Meldungen zu neuen Cyberbedrohungen, sei es DDoS, Ransomware oder ein bisher unbekannter Virus. Für den Chief Information Security Officer (CISO) bedeutet das, er muss sich neben den unzähligen bekannten Angriffsvektoren auch noch mit bislang unbekannten Herausforderungen beschäftigen.
Dieser kontinuierliche Strom an Informationen - seien sie nun gerechtfertigt oder Panikmache - führt dazu, dass der CISO zu einem Feuerwehrmann wird, der von Brandherd zu Brandherd eilt. Die neueste Bedrohung braucht auch den neuesten Schutz, der natürlich seinen Preis hat. Die IT-Security-Budgets werden so von immer neuen Speziallösungen verschlungen, während grundsätzliche Sicherheitsmaßnahmen ins Hintertreffen geraten.
Foto: Rawpixel.com - shutterstock.com
Durch diesen Flickenteppich sinkt schlussendlich das allgemeine Schutzniveau. Hacker haben leichteres Spiel, in die Unternehmen einzudringen, wodurch der CISO genötigt ist, noch höherentwickelte Lösungen einzukaufen, die einen neuerlichen Angriff auf demselben Weg verhindern.
Das ist ein Wettrennen, das Unternehmen nicht gewinnen können. Hacker haben alle Zeit der Welt immer neue Schwachstellen ausfindig zu machen und auszunutzen, während den Verteidigern keine Zeit zum Reagieren bleibt. Um diesen Teufelskreis zu durchbrechen, sollten CISOs ihre Strategie grundsätzlich hinterfragen.
Als Ansatzpunkt können folgende Fakten dienen, die viele CISOs kennen, aber durch den täglichen Druck immer wieder aus den Augen verlieren.
1. Die Hacker haben alles, was sie brauchen
Auf die Frage, ob wertvolle Online-Informationen sicher sind, lautet die Antwort wahrscheinlich: nein. Entweder hat ein Hacker die Daten bereits oder kann sie sich für wenig Geld im Dark Web kaufen.
Vor nicht allzu langer Zeit erbeuteten Hacker beispielsweise innerhalb von zwei Wochen persönliche und finanzielle Daten von etwa 380.000 Kartenzahlungen bei British Airways. Diese wurden dann wahrscheinlich im Dark Web zum Kauf angeboten. Welche Ausmaße das annehmen kann, zeigt der Fund einer Datenbank mit 1,4 Milliarden Nutzernamen mit Klartext-Passwörtern im Dark Web.
Es gibt viele undichte Stellen, über die Passwörter in falsche Hände gelangen können. Der Cyber-Crime-Journalist Brian Krebs aus den USA nennt allein zehn Möglichkeiten, wie Hacker an Kreditkarten-Informationen kommen. Demnach sind Mitarbeiter oder Partner ein besonders lohnendes Angriffsziel, da man über sie oft an sensible Daten gelangen kann, ohne technische Sicherheitslösungen umgehen zu müssen. Dabei muss auf Seiten der Mitarbeiter nicht unbedingt böse Absicht im Spiel sein. Die Betrugsmethoden der Angreifer werden immer ausgefeilter und haben sich längst über die bekannte Phishing-Mail hinausentwickelt.
Oft gelangen die Daten bereits zu den Hackern, bevor der Besitzer seine neue Kredit-, Gesundheits- oder sonstige Karte in Händen hält. Die Angreifer sitzen in den Kreditkarten-Unternehmen und bei deren Partnern. Sie sitzen in Banken, Behörden und Krankenhäusern. Es ist die Aufgabe des CISOs, Hacker dennoch von diesen Informationen fernzuhalten und zu verhindern, dass die aktuellsten, noch nicht gestohlenen Daten abgegriffen werden. Er muss sie solide absichern, damit sie schwerer zu knacken sind und die Hacker stattdessen woanders ihr Glück versuchen.
Da es nur eine Frage der Zeit ist, bis ein Unternehmen erfolgreich angegriffen wird, sollten CISOs sich ganz genau ansehen, welche Erkenntnisse sie aus Vorfällen bei Wettbewerbern oder anderen Unternehmen ziehen können. Würden die eigenen Sicherheitsvorkehrungen einem solchen Angriff standhalten? Besser wäre es noch, mit dem Wettbewerb zusammenzuarbeiten, um das generelle Sicherheitsniveau im Markt anzuheben und den Hackern das Leben so schwer wir möglich zu machen.
2. Social Engineering und ungenügendes Patching verursachen die meisten Vorfälle
Damit Angreifern nicht Tür und Tor geöffnet wird, ist vor allem Disziplin gefragt. Stets für aktuelle Angriffsvektoren geschulte und sensibilisierte Mitarbeiter machen es weniger wahrscheinlich, dass die Schwachstelle Mensch ausgenutzt werden kann. Gleiches gilt für die technologische Absicherung in Form von Patches.
Den Verantwortlichen ist das bekannt. Aus einer Studie des SANS Institute von 2017 geht hervor, dass 72 Prozent der befragten Sicherheits- und IT-Experten Phishing sowie die spezialisierten Varianten "Spearphishing" und "Whaling" als größtes Problem ansehen. In der IDC-Studie "IT-Security in Deutschland 2018" belegen nicht oder mangelhaft gesicherte Endpoints den zweiten Platz unter den Sicherheitsrisiken gleich hinter den Anwendern. Nicht umsonst nennt Lars Lippert, Vorstand bei der Augsburger Baramundi Software AG, mangelndes Patch-Management als größten Risiko-Faktor für moderne Unternehmen.
Dennoch liegt hier ein zentraler Schwachpunkt. So investieren Unternehmen teilweise immense Summen in Schutzmaßnahmen, aber untergraben diese letztendlich durch Kleinigkeiten wie beispielsweise laxes Patch-Management. Zu diesem Fazit kommt Marc Wilczek, Geschäftsführer beim IT-Sicherheitsanbieter Link11, in diesem Beitrag. CISOs sollten also die Prioritäten ihrer IT-Sicherheitsstrategie überdenken.
Das bedeutet nicht, dass nicht auch auf anderem Wege in das Unternehmen eingedrungen werden kann, beispielsweise über einen Bug auf der Firmen-Website, wie es T-Mobile passiert ist. Solche relativ seltenen Schwachstellen dürfen nicht komplett vernachlässigt werden. Will ein CISO jedoch das generelle Risiko eines erfolgreichen Angriffs für das Unternehmen verringern, sollte er den wahrscheinlichsten Angriffspunkten auch die entsprechenden Ressourcen für IT-Sicherheit zuteilen.
3. Sicherheit verhindert tatsächlich erfolgreiche Hacks
Da viele Unternehmen nicht die den Risiken angemessenen Ressourcen aufbringen wollen, gelingt Hackern oft der Angriff. Das führt dazu, dass sich vielerorts das IT-Sicherheits-Paradigma des "Assume Breach" etabliert hat. Dabei wird davon ausgegangen, dass früher oder später ein Aggressor die Security-Maßnahmen am Perimeter überwinden wird.
Also werden Maßnahmen implementiert, um die Hacker zu entdecken und unschädlich zu machen, sobald sie im Unternehmensnetz sind. Das ist eine nützliche und auch notwendige Maßnahme. In Ernstfall kann es aber dazu führen, dass man Angreifer mehr oder weniger ungehindert eindringen lässt. Sicher lassen sich nicht alle Lecks abdichten aber Unternehmen können die Zahl erfolgreicher Angriffe merklich verringern.
Konzentrieren sich CISOs auf Patch-Hygiene und Trainings gegen Social Engineering, werden sie die Zahl der erfolgreichen Angriffe in jedem Fall reduzieren. Durch diesen Fokus lassen sich Unternehmensgeräte und Daten wesentlich besser schützen.
4. IT-Sicherheit braucht nicht mehr Geld oder Ressourcen
Nach Schätzungen des Analystenhauses Gartner geben Unternehmen 2018 insgesamt mehr als 114 Milliarden US-Dollar für Cybersicherheit aus. Das Gros davon wird jedoch nicht dazu verwendet, die zwei großen Risiken zu adressieren. Der für regelmäßige Patches und die Vermeidung von Social-Engineering-Angriffen vorgesehene Betrag ist meist ein fixer Anteil der Security-Budgets, der ungeachtet der Bedrohungslage unverändert bleibt.
All das Geld, das für hochmoderne Anti-Malware-Scanner oder Advanced Firewalls ausgegeben wird, ist aber verschenkt, wenn die beiden wichtigen Herausforderungen nicht gelöst werden. Social-Engineering-Abwehr und Patch-Management zu verbessern ist günstiger und gleichzeitig wirksamer, als die anderen Probleme zu priorisieren, die Unternehmen weniger wahrscheinlich treffen.
5. Haltung und Fokus sind wichtiger als das perfekte Sicherheits-Tool
Jeder CISO, der die perfekte, zu 100 Prozent passende Security-Lösung sucht, wird enttäuscht werden. So etwas existiert nicht. Kein einzelnes Tool wird die Vielzahl an Problemen lösen.
Die richtige Haltung und der Fokus auf die wirklichen Herausforderungen bringen Verantwortliche ihrem Ziel dagegen näher. Konzentriert man sich auf die weniger spektakulären, langlebigen Probleme, die den Löwenanteil der Risiken ausmachen, bekommt man mehr für sein Geld.
Welcher Lösungsansatz der richtige für das eigene Unternehmen ist, hängt von der individuellen Strategie ab. Oft wird es auf eine Mischung aus technischen und die Menschen betreffenden Sicherheitsmaßnahmen hinauslaufen. Wichtig ist es, den Schwerpunkt richtig zu setzen. Wenn die beiden größten Risiken gemeistert sind, können die nächstwichtigen angegangen werden und so weiter. Auf die Weise baut man sich eine Organisation auf, die wesentlich schwieriger anzugreifen ist, als bisher.