Cyberrisiken einschätzen

Vier Fakten über Cyberangriffe

29.12.2020 von Markus Kahmen
Missverständnisse über Angriffsmethoden, Ziele oder Absichten von Cyberkriminellen sind weit verbreitet. Dies wirkt sich negativ auf die Unternehmenssicherheit aus.

Eine beliebte Aussage von IT-Sicherheitsexperten lautet: Es gibt zwei Arten von Unternehmen - die, die gehackt wurden, und die, die es noch nicht wissen. Tatsache ist, dass Cyberangriffe heute zu den essenziellsten Bedrohungen unserer Wirtschaft gehören. Doch obwohl Cyberkriminalität mittlerweile ein allgegenwärtiges Thema ist, werden Hackerattacken und das Risiko, Opfer von solchen zu werden, noch immer falsch eingeschätzt - sowohl von den IT-Abteilungen als auch der Geschäftsführung.

Um das eigene Cyberrisiko richtig einzuschätzen und eine passende Sicherheitsstrategie zu entwickeln, gilt es, sich anzusehen, wie Cyberangriffe tatsächlich funktionieren.
Foto: alphaspirit - shutterstock.com

Folgende vier Fakten sollten IT-Verantwortliche bei der Planung ihrer Sicherheitsstrategie deshalb besonders bedenken.

Lesetipp: Cyberangriffe managen - Sind Sie bereit, gehackt zu werden?

Der Großteil der Cyberangriffe ist nicht besonders raffiniert

Oft wird über besonders raffinierte Angriffsmethoden und hochentwickelten Cyberattacken gesprochen, hinter denen gut organisierte Hackergruppen oder nationale Geheimdienste stehen. Diese abzuwehren stellt für durchschnittliche Unternehmen eine enorme, fast nicht zu bewältigende Herausforderung dar. Die Angreifer scheinen so geschickt und technisch so gut ausgestattet zu sein, dass die Opfer sowieso keine Chance haben.

Tatsache ist jedoch, dass der Großteil der Cyberkriminellen heutzutage weder technisch besonders ausgeklügelt vorgeht noch im staatlichen Auftrag handelt. Bei den meisten Angriffen kommen den Hackern vermeidbare Sicherheitslücken und unvorsichtiges menschliches Verhalten zugute. Dafür bedarf es weder großer technischer noch finanzieller Ressourcen, sondern vor allem Ausdauer und Beharrlichkeit.

Cyberkriminelle verbringen viel Zeit damit, ihre Angriffe zu planen und vorzubereiten, ihre Opfer auszuspionieren und so einen Weg zu finden, sich möglichst unbemerkt und ohne viel "Lärm" zu erzeugen einen Zugang zu den Systemen ihrer Opfer zu verschaffen. Dabei suchen sie nach dem schwächsten Glied in der Kette, also Schwachstellen in Netzwerken und Systemen, wie Fehlkonfigurationen, Standard-Anmeldeinformationen oder unvorsichtigen Mitarbeitern.

11 Placebos für die IT-Sicherheit
Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?

Mit Phishing kommen Hacker am schnellsten ans Ziel

Hoch im Kurs stehen dabei nach wie vor E-Mail-Angriffe mit infizierten Office-Dokumenten, die überwiegend über Phishing verbreitet werden. Trotz steigender Aufklärung und Sensibilisierung der Mitarbeiter, öffnen weiterhin viele Menschen Mail-Anhänge ungeprüfter Herkunft, klicken auf unbekannte Links oder geben Anmeldeinformationen einschließlich Passwörtern unwissentlich auf manipulierten Seiten ein. Laut der Studie "State of the Phish 2019 Report" von Security-Anbieter Proofpoint waren insgesamt 83 Prozent der befragten Unternehmen im vergangenen Jahr Opfer von Phishing-Angriffen. Kompromittierte E-Mail-Konten waren dabei die meistverwendete Taktik noch vor Malware-Infektionen.

Cyberkriminelle haben vor allem privilegierte Konten im Auge

Sobald es einem Hacker gelungen ist, einen Fuß in die Tür seines Opfers zu setzen, beginnt er, nach Privilegien und sensiblen Zugangsdaten Ausschau zu halten, die es ihm ermöglichen, durch die Netzwerke zu bewegen und nach sensiblen Informationen zu suchen. Privilegierte Unternehmenskonten wie Administrator-Accounts, Server- oder Datenbank-Konten, sind nach wie vor die effektivste Methode, um sensitive und lukrative Daten zu extrahieren. Gleichzeitig bieten sie die Möglichkeit, die eigenen Spuren zu verstecken und monatelang - manchmal sogar jahrelang - unentdeckt zu bleiben. Untersuchungen zeigen, dass Angreifer in den Netzwerken von Unternehmen im EMEA-Raum im Schnitt 56 Tage unerkannt agieren, bevor sie entdeckt werden. Viel Zeit also, um großen Schaden anzurichten.

Lesetipp: Ein starkes Passwort ist nicht genug

Privilegierte Accounts bedürfen eines besonderen Schutzes

Herkömmliche Perimeter-Sicherheit ist nicht mehr ausreichend, um sich vor Cyberkriminalität zu schützen. Sicherheitsverantwortliche sollten über Privileged Account Management nachdenken, das ihnen in einem ersten Schritt einen vollständigen Überblick über alle im Unternehmensnetzwerk existierenden privilegierten Konten bietet.

Privilegierte Sitzungen sollten überwacht werden können, um unübliche und potenziell schädliche Zugriffe frühzeitig bevor größerer Schaden entsteht zu identifizieren. Lösungen, die auf Machine Learning-Technologien zurückgreifen und Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysieren, können dabei unterstützen.

In einem weiteren Schritt ist es sinnvoll, die Passwortverwaltung zu automatisieren und eine minimale Rechtevergabe, auch "Least Privilege" genannt, durchzusetzen. Damit erhalten nur die Mitarbeiter Zugriff auf sensible Daten, die diesen auch wirklich brauchen.

Die Größe des Unternehmens spielt keine Rolle

Entgegen der Annahme vieler KMUs treffen Cyberangriffe längst nicht nur größere oder multinationale Konzerne, sondern vor allem kleine und mittelständische Unternehmen. Gerade bei massenhaften und ungezielten Cyberattacken, etwa bei Massen-Phishing, spielen Kategorien wie Umsatz- oder Mitarbeiterzahlen überhaupt keine Rolle für die Angreifer. Im Gegenteil: Je kleiner ein Unternehmen ist, desto häufiger haben sie Erfolg. KMUs unterschätzen zum einen meist das Risiko, selbst ein Opfer digitaler Angriffe zu werden, zum anderen ist ihr Cybersecurity-Budget sowie auch das Security-Team in der Regel deutlich kleiner als bei Konzernen.

So erhöhen und optimieren Sie ihre Unternehmenssicherheit

Die Verantwortung für Cybersicherheit liegt nicht nur bei der IT-Abteilung
Der Schutz vor Cyberangriffen wird von vielen Mitarbeitern und Führungskräften gerne in der Verantwortung der IT-Security-Experten gesehen. Diese Annahme ruft jedoch ein falsches Gefühl von Sicherheit hervor. Bedenkt man, dass der Großteil der Cyberangriffe auf Phishing zurückzuführen ist, ist es umso wichtiger, dass Cybersicherheit zu einem Teil der unternehmensweiten Richtlinien wird. Alle Mitarbeiter müssen in die Einführung neuer Systeme eingebunden und mit den Sicherheitsstrategien vertraut gemacht werden.

IT-Sicherheit muss benutzerfreundlich sein, wenn sie wirksam sein soll
Sicherheitstools- und Lösungen, die komplex bereitzustellen und schwierig in der täglichen Anwendung sind, wirken sich negativ auf die Effektivität der Cybersicherheit eines Unternehmens aus. Wenn IT-Teams diese Tools nicht selbstverständlich einsetzen, sondern davor zurückschrecken, bleiben die Sicherheitsrisiken, die dadurch eigentlich minimiert werden sollten, bestehen.

Idealerweise sind Security-Lösungen benutzerfreundlich und sorgen für mehr Übersichtlichkeit und Transparenz. Zudem automatisieren sie Prozesse, was letztlich dazu führt, dass Mitarbeiter in ihrer Alltagstätigkeit entlastet werden und effizienter arbeiten können.

Für den Ernstfall gewappnet: Der Incident-Response-Plan
Um im Ernstfall nicht unvorbereitet dazustehen, sollten Unternehmen in jedem Fall einen Vorfallreaktionsplan - auch Incident-Response-Plan genannt - vorbereitet haben, der eine schnelle Reaktion und damit eine rasche Eindämmung möglicher Schäden ermöglicht. Dabei werden konkrete Schritte und Maßnahmen festgelegt, wie im Falle von Cyberattacken und Datenschutzvorfällen vorzugehen ist, wer für welche Aktionen zuständig ist und welche Behörden eventuell informiert werden müssen. (jd/bw)