Sicherheitsrisiken durch Zulieferer
Große Unternehmen, aber auch Mittelständler hätten in jüngster Zeit Sicherheitsvorfälle erlebt, die von externen Produkt- oder Servicelieferanten ausgingen, heißt es bei Kaspersky. Die meisten Unternehmen gewähren ihren Lieferanten einen einfachen oder sogar einen privilegierten Zugang zu ihren Netzen. Wie ein Marktforschungsergebnis von One Identity zeigt, sind sich nur 22 Prozent völlig sicher, dass die Third Parties nicht unautorisiert Informationen abgreifen. 18 Prozent berichten sogar von einem Sicherheitsvorfall, der auf Partner zurückzuführen gewesen sei.
Die Kaspersky-Studie zeigt, dass heute sowohl kleine und mittlere Unternehmen (KMUs) als auch Konzerne von Drittanbietern verlangen, Sicherheitsvereinbarungen zu unterzeichnen: Drei von vier KMUs und 79 Prozent der Großunternehmen nutzen diese Möglichkeit. So erhalten sie sich die Chance auf Schadenersatz, wenn dem Partner ein Verstoß nachgewiesen werden kann. Firmen, die eine solche Policy vereinbart haben, erhielten zu 71 Prozent eine Vergütung, wenn etwas vorgefallen war. Dagegen liegt die Erfolgsquote jener Betriebe ohne eine solche Vereinbarung nur bei 22 Prozent.
2020 beschleunigt sich der Trend, wonach sich Unternehmen digital mit ihren Lieferanten und Partnern verbinden. Damit steigt das Risiko, aber auch das Bewusstsein dafür. Dennoch bleibt es gefährlich, denn auch die Angreifer nutzen derartige Szenarien immer raffinierter aus.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
"Vor kurzem haben wir entdeckt, dass neue Gruppen wie BARIUM oder APT41 ausgeklügelte Supply-Chain-Angriffe gegen Software- und Hardwarehersteller ausgeführt haben, um sich Zugang zu sicheren Infrastrukturen in aller Welt zu verschaffen", berichtet Galov.
Zwei besonders anspruchsvolle Angriffe dieser Art waren 2017 und 2019 aufgedeckt worden, sie richteten sich gegen CCleaner und ShadowPad. Weitere Attacken betrafen mehrere Glücksspielunternehmen. Da in solchen Fällen die Akteure oft Hintertürchen hinterlassen, behalten sie die Möglichkeit, zurückzukehren und noch mehr Schaden anzurichten.
Unternehmen sollten wissen, wer Zugriff auf ihre Netzwerke hat und sicherstellen, dass diese Parteien nur die Berechtigungen besitzen, die sie wirklich benötigen. Es sollten für den Zugriff Dritter außerdem Richtlinien für die Kommunikation und die Durchsetzung von Regeln vorhanden sein. Am besten, die Firmen haben individuelle Sicherheitsrichtlinien für alle Drittanbieter vereinbart, in denen Erwartungen, Verantwortlichkeiten und Verhaltensregeln bei einem Vorfall festgeschrieben sind.
"Die beste Möglichkeit, sich vor solchen Angriffen zu schützen, besteht darin sicherzustellen, dass auch die Partner hohe Cybersicherheits-Standards einhalten", sagt Galov. "Wenn Drittanbieter Zugang zu interner Infrastruktur oder Daten erhalten, sollten vor einer solchen Integration Richtlinien für Cybersicherheit festgelegt werden."
5G treibt DDoS-Attacken
Angriffe, bei denen Server oder sonstige Komponenten im Netzwerk aus vielen Quellen adressiert, gezielt überlastet und schließlich außer Gefecht gesetzt werden (DDoS = Distributed Denial of Service), nehmen zu. 42 Prozent der großen Unternehmen und 38 Prozent der KMUs waren 2019 betroffen, heißt es im Kaspersky-Bericht. Dabei lernen die Angreifer schnell dazu, Abwehrmaßnahmen auszutricksen, und werden immer effektiver.
Im September berichtete Akamai beispielsweise über einen neuen DDoS-Vektor: Mit dem Multicast-Discovery-Protokoll "Web Services Dynamic Discovery" (WSD) lokalisieren und kompromittieren Angreifer falsch konfigurierte, mit dem Internet verbundene Geräte im großen Maßstab, um das Ausmaß ihrer DDoS-Angriffe auszudehnen.
2020 dürften DDoS-Angriffe dank der Ausbreitung des 5G-Mobilfunkstandards und der Vielzahl der IoT-Geräte ein Thema bleiben. Laut Galov werden kritische Infrastrukturen wie Wasserversorgung, Stromnetze, militärische Einrichtungen und Finanzinstitute durch verschiedenste Digitalisierungseinflüsse angreifbarer. "Das erfordert neue Sicherheitsstandards, außerdem bringt die höhere Geschwindigkeit von Netzverbindungen neue Herausforderungen mit sich, wenn es gilt, DDoS-Angriffe zu verhindern."
Unternehmen sollten alle mit dem Internet verbundenen Geräte auf Fehlkonfigurationen und nicht gepatchte Schwachstellen hin überprüfen. Das hilft allerdings nicht gegen Risiken, die von privaten Endgeräten ausgehen. Webcams oder Videoüberwachungssysteme sind oft in Botnetze eingebunden, von denen DDoS-Angriffe ausgehen. Die Besitzer wissen nichts davon.
Anwendungsschwachstellen
Veracode stellt in seiner Studie "State of Software Security Vol. 10" fest, dass 83 Prozent von 85.000 getesteten Anwendungen mindestens eine Sicherheitslücke enthalten. Insgesamt wurden zehn Millionen Fehler gefunden, was verdeutlicht, wie hoch die Fehlerdichte in vielen Anwendungen tatsächlich ist. Dies bietet Angreifern jede Menge Möglichkeiten für das Ausnutzen von Zero-Day-Schwachstellen und sonstigen Fehlern.
Die Studienautoren sehen aber auch positive Signale. Besonders große Schwachstellen werden heute schneller gefunden und gefixt als früher. Als Plus wird auch gesehen, dass inzwischen viele Unternehmen einen DevSecOps-Ansatz mit häufigem Scannen und Testen von Software verfolgen und so die Zeit bis zur Fehlerbehebung stark verkürzen konnten.
Trotz der Bemühungen der Sicherheits- und Entwicklungsteams werden sich aber auch 2020 Schwachstellen in die Software einschleichen. "Die meisten Softwareprodukte sind heute sehr unsicher. Das wird sich auch 2020 fortsetzen, vor allem bei Anwendungen, die Code aus Open-Source-Bibliotheken verwenden", warnt Chris Wysopal, Mitbegründer und CTO von Veracode.
"Wir haben 2019 einige positive Signale im Bereich der Anwendungssicherheit gesehen. Unternehmen konzentrieren sich zunehmend darauf, Sicherheitsschwachstellen nicht nur zu finden, sondern auch gleich zu beheben und solche Fehler zu priorisieren, die für sie am gefährlichsten sind", sagt Wysopal. "Unsere Daten deuten darauf hin, dass das Auffinden und Beheben von Schwachstellen genauso zu einem Teil des Softwareentwicklungs-Prozesses wird wie die Verbesserung der Funktionalität."
Unternehmen sollten ihre Anwendungen in hoher Frequenz scannen und testen, außerdem sollten sie ihre Arbeiten priorisieren und den besonders kritischen Fehlern Vorrang bei der Behebung geben. Wysopal fordert die Unternehmen auch auf, Schwachstellen umgehend zu beseitigen und keinen Berg von Problemen entstehen zu lassen, da damit die Angreifbarkeit ständig zunimmt.