Zu digitalen Risiken zählen heute vor allem der Verlust von vertraulichen Daten genauso wie Schädigung des Markennamens oder die wachsende, kaum noch zu überschauende Angriffsfläche eines Unternehmens. Threat Intelligence allein hilft da nur wenig, wenn nicht klar ist, wo und wann die Bedrohungen für das eigene Unternehmen relevant sind. Digital Risk Protection (DRP) umfasst hingegen alle zu schützenden Unternehmens-Assets. Das schließt Sicherheitslücken und Systemschwachstellen mit ein, die von einem potentiellen Angreifer ausgenutzt werden können.
Foto: oatawa - shutterstock.com
Um digitale Risiken in einem Unternehmen aufzuspüren und zu bestimmen, bieten sich für Sicherheitsexperten verschiedene Vorgehensweisen an. Für Datenverlust, Reputationsschäden und Angriffsfläche gibt es jeweils unterschiedliche Wege, das Gefahrenpotential zu erkennen, zu managen und letztendlich zu minimieren.
Datenverlust - Mehr als nur der nächste Hack
Data Loss Prevention (DLP) darf nicht an der Grenze zwischen Unternehmensnetz und Internet (dem Perimeter) enden. Eine Vielzahl an kritischen oder personenbezogenen Daten ist bereits im öffentlichen sowie im Deep und Dark Web zugänglich. Ein Datenhack ist dabei oft nicht einmal nötig. Offene Storage Services, FTP-Server oder falsch konfigurierte Webseiten und Laufwerke stellen wahre Schatzgruben an ungeschützten Daten dar. Darin finden sich von Gehaltsabrechnungen und Steuererklärungen über Produkt-Designs bis zu Patentrechten viele für Angreifer interessante Informationen.
Dahinter steckt nicht zwangsläufig eine böswillige Absicht. Oft ist es eine Mischung aus Unwissenheit und Nachlässigkeit. Es kann beispielsweise ein Mitarbeiter sein, der voller Stolz das Bild eines Prototypen über Social Media teilt, oder ein Entwickler, der kritischen Programmiercode auf Code-Sharing Websites einstellt.
Eine der häufigsten Quellen exponierter Daten sind Vertragspartner oder Lieferanten und damit die komplette, sich ständig vergrößernde Supply Chain. Statt sich also im Dark Web auf die Jagd nach gestohlenen Daten zu begeben, sollten Unternehmen versuchen, solche öffentlich zugänglichen Assets ausfindig zu machen und zu sichern, ehe sie von Cyberkriminellen ausgenutzt werden.
Einfach mal Googeln - Erweiterte Suche nutzen
Um sich einen ersten Überblick zu verschaffen, wo interne Daten und Dokumente im Netz ungeschützt zugänglich sind, lohnen sich ein paar einfache Tricks. Vertrauliche Dokumente oder urheberrechtlich geschütztes Material lassen sich zum Beispiel über gängige Suchmaschinen wie Google aufspüren. Das sogenannte "Google Hacking" nutzt zusätzliche Suchparameter, um die Abfrage in der Suchmaschine einzuschränken. Damit kann gezielt nach speziellen Informationen gesucht werden. Gängige Befehle sind beispielsweise "site:" (Suche auf einer bestimmten Website) oder "filetyp:" (Suche nach einem bestimmten Dateityp).
Diese erweiterte Suche ermöglicht es, im gigantischen Suchindex von Google die richtigen Informationen zu finden. Auf der anderen Seite können Cyberkriminelle sich auch nutzen. Sie profitieren davon, wenn Verzeichnisse nicht von der Google-Indexierung ausgenommen oder schwerwiegende Konfigurierungsfehler nicht behoben wurden.
Auch Google Alerts lassen sich mit einfachen Hacks anpassen und für die Suche nach exponierten Daten nutzen. Durch Erweiterungen wie "site:pastebin.com" erhalten Unternehmen wenn nötig sofort eine Benachrichtigung, wenn ihre Domain auf Pastebin erscheint und von der Google Suchmaschine indexiert wurde.
Generell sind Media Monitoring Tools ein guter Ausgangspunkt, um sich einen Einblick zu verschaffen, wer was wo im Netz über ein Unternehmen, das neueste Produkt oder den Vorstand zu sagen hat. Im Marketing und in PR-Abteilungen finden sich in der Regel eine Reihe an solchen Lösungen, die nach den neuesten Veröffentlichungen in der Presse oder Social-Media-Interaktionen Ausschau halten. Eine zusätzliche Lizenz für das Sicherheitsteam ist hier eine einfache, aber effektive Methode, die bestehenden Lösungen auch für Cybersecurity zu nutzen.
Online Brand Security
Angriffe auf Unternehmensnetzwerke sind häufig an erfolgreiche Spear-Phishing-Kampagnen im Vorfeld geknüpft. Um ins Herz der Unternehmens-IT vorzudringen, imitieren Cyberkriminelle die Website oder den Social Media Account eines Unternehmens oder verfassen im Namen von Kollegen täuschend echte Emails. Je mehr Informationen vorliegen, desto höher ist die Erfolgsquote. Laut dem 2018 Data Breach Investigations Report (PDF) von Verizon klicken durchschnittlich 4 Prozent der Empfänger einer Phishing-Kampagne auf eine gefährliche E-Mail.
Sogenannte Spoof-Websites sind dabei oft so überzeugend in Bildsprache, Schrift, Ton und Unternehmens-CI gehalten, dass sie auf den ersten Blick nicht vom Original zu unterscheiden sind. Die betrügerischen Seiten verschwinden zudem so schnell wie sie aufgetaucht sind. So bleibt den Unternehmen wenig Zeit, den Hinweisen von Kunden und Mitarbeitern nachgehen, entsprechende Notice-und-Takedown-Verfahren einzuleiten oder die Seite auf eine Blacklist zu setzen, um weitere Auswirkungen einzudämmen.
Bei gefälschten Social-Media-Accounts empfehlen sich die bereits oben erwähnten Monitoring-Tools. Bei Twitter können Unternehmen die Twitter-API nutzen. Das ist eine Schnittstelle, über die registrierte Nutzer Programmierzugriff auf Twitter Daten erhalten. Abgestimmt auf unternehmensspezifische Schlüsselbegriffe wie ein Produktname oder der des CEO, lassen sich gefälschte Accounts ebenso finden wie per Twitter veröffentlichte Daten.
Angriffsfläche verkleinern
Die wachsende IT-Infrastruktur macht es immer schwieriger, die Angriffsfläche eines Unternehmens zu erfassen und zu schützen. In der Umfrage "Measuring & Managing the Cyber Risks to Business Operations" des Ponemon Institute im Auftrag von Tenable von 2018 gaben nur 29 Prozent der befragten Unternehmen an, eine ausreichende Einsicht in ihren digitalen Risiken zu besitzen. Fast 60 Prozent verfügen zudem über keinen festen Plan was das Schwachstellenmanagement angeht.
Welche Folgen dies haben kann, hat der Datenhack bei Equifax mit über 140 Millionen veröffentlichten Kundendaten gezeigt. Hier war ein Patch für die verantwortliche Appache Struts-Schwachstelle (CVE-2017-5638) bereits zwei Monate vor dem Datenleck verfügbar und wurde nicht installiert. Equifax mag zwar ein Extremfall sein, aber Sicherheitsrisiken zu scannen, zu identifizieren, zu priorisieren und zu beseitigen ist für viele IT-Abteilungen zu einer andauernden Aufholjagd geworden.
Daher blicken potentielle Angreifer auf die gesamte Infrastruktur eines Unternehmens suchen nach den "vielversprechendsten" Sicherheitslücken. Die Entwicklung einer Landkarte der technischen Angriffsfläche der eigenen Organisation sowie des weitreichenden Partner-, Kunden- und Supply Chain-Netzwerks zahlt sich also langfristig aus.
Wer digitale Risiken nicht nur verstehen, sondern auch beseitigen will, braucht mehr als nur Threat-Intelligence- und Monitoring-Tools. Ideale IT-Sicherheit baut auf einer übergreifenden Strategie auf, die sich in der Unternehmenskultur, in Abläufen und Prozessen sowie in den getätigten Investitionen widerspiegelt. So lässt sich gemeinsam mit umfassenden Bedrohungsinformationen und entsprechenden Tools effektiver Cyberschutz sicherstellen. (jd)