Täglich häufen sich die Warnungen und News-Meldungen zu neuen Cyberbedrohungen, sei es DDoS, Ransomware oder ein bisher unbekannter Virus. Für den Chief Information Security Officer (CISO) bedeutet das, er muss sich neben den unzähligen bekannten Angriffsvektoren auch noch mit bislang unbekannten Herausforderungen beschäftigen.

Dieser kontinuierliche Strom an Informationen - seien sie nun gerechtfertigt oder Panikmache - führt dazu, dass der CISO zu einem Feuerwehrmann wird, der von Brandherd zu Brandherd eilt. Die neueste Bedrohung braucht auch den neuesten Schutz, der natürlich seinen Preis hat. Die IT-Security-Budgets werden so von immer neuen Speziallösungen verschlungen, während grundsätzliche Sicherheitsmaßnahmen ins Hintertreffen geraten.

Durch diesen Flickenteppich sinkt schlussendlich das allgemeine Schutzniveau. Hacker haben leichteres Spiel, in die Unternehmen einzudringen, wodurch der CISO genötigt ist, noch höherentwickelte Lösungen einzukaufen, die einen neuerlichen Angriff auf demselben Weg verhindern.

Das ist ein Wettrennen, das Unternehmen nicht gewinnen können. Hacker haben alle Zeit der Welt immer neue Schwachstellen ausfindig zu machen und auszunutzen, während den Verteidigern keine Zeit zum Reagieren bleibt. Um diesen Teufelskreis zu durchbrechen, sollten CISOs ihre Strategie grundsätzlich hinterfragen.

Als Ansatzpunkt können folgende Fakten dienen, die viele CISOs kennen, aber durch den täglichen Druck immer wieder aus den Augen verlieren.

1. Die Hacker haben alles, was sie brauchen

Auf die Frage, ob wertvolle Online-Informationen sicher sind, lautet die Antwort wahrscheinlich: nein. Entweder hat ein Hacker die Daten bereits oder kann sie sich für wenig Geld im Dark Web kaufen.

Vor nicht allzu langer Zeit erbeuteten Hacker beispielsweise innerhalb von zwei Wochen persönliche und finanzielle Daten von etwa 380.000 Kartenzahlungen bei British Airways. Diese wurden dann wahrscheinlich im Dark Web zum Kauf angeboten. Welche Ausmaße das annehmen kann, zeigt der Fund einer Datenbank mit 1,4 Milliarden Nutzernamen mit Klartext-Passwörtern im Dark Web.

Es gibt viele undichte Stellen, über die Passwörter in falsche Hände gelangen können. Der Cyber-Crime-Journalist Brian Krebs aus den USA nennt allein zehn Möglichkeiten, wie Hacker an Kreditkarten-Informationen kommen. Demnach sind Mitarbeiter oder Partner ein besonders lohnendes Angriffsziel, da man über sie oft an sensible Daten gelangen kann, ohne technische Sicherheitslösungen umgehen zu müssen. Dabei muss auf Seiten der Mitarbeiter nicht unbedingt böse Absicht im Spiel sein. Die Betrugsmethoden der Angreifer werden immer ausgefeilter und haben sich längst über die bekannte Phishing-Mail hinausentwickelt.

Oft gelangen die Daten bereits zu den Hackern, bevor der Besitzer seine neue Kredit-, Gesundheits- oder sonstige Karte in Händen hält. Die Angreifer sitzen in den Kreditkarten-Unternehmen und bei deren Partnern. Sie sitzen in Banken, Behörden und Krankenhäusern. Es ist die Aufgabe des CISOs, Hacker dennoch von diesen Informationen fernzuhalten und zu verhindern, dass die aktuellsten, noch nicht gestohlenen Daten abgegriffen werden. Er muss sie solide absichern, damit sie schwerer zu knacken sind und die Hacker stattdessen woanders ihr Glück versuchen.

Da es nur eine Frage der Zeit ist, bis ein Unternehmen erfolgreich angegriffen wird, sollten CISOs sich ganz genau ansehen, welche Erkenntnisse sie aus Vorfällen bei Wettbewerbern oder anderen Unternehmen ziehen können. Würden die eigenen Sicherheitsvorkehrungen einem solchen Angriff standhalten? Besser wäre es noch, mit dem Wettbewerb zusammenzuarbeiten, um das generelle Sicherheitsniveau im Markt anzuheben und den Hackern das Leben so schwer wir möglich zu machen.

2. Social Engineering und ungenügendes Patching verursachen die meisten Vorfälle

Damit Angreifern nicht Tür und Tor geöffnet wird, ist vor allem Disziplin gefragt. Stets für aktuelle Angriffsvektoren geschulte und sensibilisierte Mitarbeiter machen es weniger wahrscheinlich, dass die Schwachstelle Mensch ausgenutzt werden kann. Gleiches gilt für die technologische Absicherung in Form von Patches.

Den Verantwortlichen ist das bekannt. Aus einer Studie des SANS Institute von 2017 geht hervor, dass 72 Prozent der befragten Sicherheits- und IT-Experten Phishing sowie die spezialisierten Varianten "Spearphishing" und "Whaling" als größtes Problem ansehen. In der IDC-Studie "IT-Security in Deutschland 2018" belegen nicht oder mangelhaft gesicherte Endpoints den zweiten Platz unter den Sicherheitsrisiken gleich hinter den Anwendern. Nicht umsonst nennt Lars Lippert, Vorstand bei der Augsburger Baramundi Software AG, mangelndes Patch-Management als größten Risiko-Faktor für moderne Unternehmen.

Dennoch liegt hier ein zentraler Schwachpunkt. So investieren Unternehmen teilweise immense Summen in Schutzmaßnahmen, aber untergraben diese letztendlich durch Kleinigkeiten wie beispielsweise laxes Patch-Management. Zu diesem Fazit kommt Marc Wilczek, Geschäftsführer beim IT-Sicherheitsanbieter Link11, in diesem Beitrag. CISOs sollten also die Prioritäten ihrer IT-Sicherheitsstrategie überdenken.

Das bedeutet nicht, dass nicht auch auf anderem Wege in das Unternehmen eingedrungen werden kann, beispielsweise über einen Bug auf der Firmen-Website, wie es T-Mobile passiert ist. Solche relativ seltenen Schwachstellen dürfen nicht komplett vernachlässigt werden. Will ein CISO jedoch das generelle Risiko eines erfolgreichen Angriffs für das Unternehmen verringern, sollte er den wahrscheinlichsten Angriffspunkten auch die entsprechenden Ressourcen für IT-Sicherheit zuteilen.