Über unsMediaKontaktImpressum
Udo Adlmanninger 05. Juli 2016

Cyber-Angriffe: Nicht um den Ernstfall pokern

Die zunehmende digitale Vernetzung verschärft auch die Bedrohung durch Wirtschaftsspionage. Um sich zu schützen, müssen Unternehmen ihr IT-Sicherheitsniveau regelmäßig überprüfen und gegebenenfalls nachbessern. In diesem Artikel lesen Sie über vernachlässigte Einfallstore in Unternehmen und bekommen Tipps, wie man es Wirtschaftsspionen schwerer macht.

Ob er denn noch schnell ein Dokument ausdrucken könne, fragt der Besucher. Leider habe er das Handout für die Präsentation vergessen. Die Sekretärin lächelt verständnisvoll, steckt den USB-Stick des Gastes in ihren Rechner und druckt die Datei für ihn aus. In den folgenden Monaten scheint das Unternehmen vom Pech verfolgt zu sein: Das Angebot für einen wichtigen Auftrag wird vom Wettbewerber knapp unterboten, Patente für Neuentwicklungen sind schon reserviert, auf dem Markt erscheinen unvermittelt ähnliche Konkurrenzprodukte. Die Ursache entdeckt die IT-Abteilung erst viel später: Ein Trojaner ist unbemerkt ins Unternehmensnetzwerk eingedrungen, hat sich immer tiefer im System festgesetzt und kontinuierlich sensible Daten ausspioniert. Die Quelle war der USB-Stick.

Fälle wie dieser gehören in Deutschland zum Alltag. Wirtschaftsspionage, entweder durch ausländische Nachrichtendienste oder gewöhnliche Kriminelle gesteuert, bedroht Unternehmen mehr als je zuvor. Besonders kleine und mittelständische Firmen müssten stärker für die Möglichkeit von Cyber-Spionage sensibilisiert werden, mahnte der bundesdeutsche Verfassungsschutz noch im Juni 2016 auf seiner Sicherheitstagung. Noch immer verfügten viele Unternehmen nicht über die notwendige IT-Sicherheitstechnologie. Angesichts der weiter zunehmenden elektronischen Vernetzung sei ein "Wirtschaftsschutz 4.0" unverzichtbar.

Bewusstsein für das Bedrohungspotenzial schaffen

Häufig vernachlässigt wird der Faktor Mensch, der innerhalb der IT sicherlich die größte Schwachstelle darstellt: Oft genügt schon ein kurzer Moment der Unachtsamkeit, damit der Angreifer seinen Fuß in die Unternehmens-IT bekommt. Sei es, weil hilfsbereite Mitarbeiter fremde USB-Sticks ungeprüft verwenden, sorglos infizierte E-Mail-Anhänge anklicken oder unwissentlich manipulierte Websites besuchen. Wenn die Führungsebene klare Verhaltensregeln aufstellt und die Mitarbeiter für die Gefahren sensibilisiert, die durch einen sorglosen Umgang mit Daten und Datenträgern entstehen, lässt sich so manche Infektion vermeiden. Dazu gehört beispielsweise die Nutzung von USB-Ports an Firmen-PCs standardmäßig zu untersagen bzw. technisch zu unterbinden und den Besuch von Internet-Websites einzuschränken – so wie es heute in zahlreichen Unternehmen üblich ist.

Viele Nutzer glauben, Fake-E-Mails leicht erkennen zu können. Sie unterschätzen jedoch die Professionalität der Darstellung, die kriminelle Absender inzwischen erlangt haben. Gezielte Angriffe verraten sich nicht mehr allein durch *.exe-Anhang, dubiose Links oder holprige Texte. Bei "Spear-Phishing"-Mails ist der Empfängerkreis eng eingegrenzt und die Cyberkriminellen haben im Vorfeld genau recherchiert, welcher Inhalt beim Opfer Vertrauen schafft und Interesse weckt. Vielleicht kommt die E-Mail auf den ersten Blick von einem bekannten Kontakt. Und möglicherweise führt der enthaltene Link tatsächlich auf die Anmeldeseite eines Seminars oder zu einem interessanten Artikel. Hier schnappt die Falle zu. Denn die verlinkte Website wurde im Vorfeld so manipuliert, dass beim Besuch schädlicher Code übertragen wird.

Regelmäßige Schulungen von Anwendern zum Thema Cyber Security – auch Awareness-Kampagnen genannt – sollten deshalb in Unternehmen selbstverständlich sein. So erfahren Mitarbeiter, auf welche Weise Cyberkriminelle versuchen ins Unternehmensnetzwerk einzudringen und wie sich Merkmale eines Angriffs identifizieren lassen. Neben "Spear-Phishing" gehört auch das Thema Passwort-Sicherheit auf die Agenda. Um die Mitarbeiter nachhaltig zu sensibilisieren, sind interaktive Lernumgebungen zu empfehlen: Veranstaltungen mit Seminar-Charakter oder Tests am PC bringen erfahrungsgemäß mehr Erfolg, als ein per Rundmail verschickter Leitfaden oder trockene Vorträge.

Awareness bedeutet auch, Auffälligkeiten im Betriebsablauf nicht zu ignorieren. Verhält sich der PC anders als früher? Reagiert er langsam? Stürzen Programme ab? Das muss nichts bedeuten. Trotzdem empfiehlt es sich Mitarbeiter dazu anzuhalten, in solchen Fällen die IT-Abteilung zu informieren. Deren Experten wissen, wie sie vorzugehen haben, um einen Cyber-Angriff auszuschließen. Ist das notwendige Know-how nicht im Hause verfügbar, sollte man für solche Fälle auf externe Spezialisten zurückgreifen können.

Unerlässlich: Systematisches Management von IT-Identitäten und Zugangsberechtigungen

Die immer komplexere IT-Landschaft in Unternehmen und die unterschiedlichen Berechtigungen eines Mitarbeiters in verschiedenen Systemen – vom Warenwirtschaftssystem über Active Directories in Betriebssystemen bis zur Nutzung mobiler Endgeräte – machen die aktive Pflege von IT-Identitäten und Zugriffsberechtigungen zu einer anspruchsvollen Aufgabe von zentraler Bedeutung für die Unternehmensarchitektur. Die Praxis zeigt allerdings, dass auch dieser Faktor in vielen Unternehmen zu oft vernachlässigt wird, so dass Schwachstellen entstehen, die sowohl Mitarbeiter als auch Ehemalige zum Schaden der Firma ausnutzen könnten. Über welche Berechtigungen ein Benutzerkreis verfügt und worauf er zugreifen darf, gilt es genau zu definieren und regelmäßig zu aktualisieren. Hat ein Mitarbeiter das Unternehmen verlassen, müssen sein Zugang gesperrt und alle Berechtigungen zeitnah entzogen werden. Eigentlich selbstverständlich, dennoch unterbleibt diese einfache Sicherheitsmaßnahme noch zu oft. Ein weiteres Problem ist die Verwendung identischer Passwörter durch mehrere User oder an mehreren Systemen zugleich. Besonders gefährdet sind in diesem Zusammenhang privilegierte Benutzerkonten mit weitreichenden Rechten, über die die IT gesteuert und verwaltet wird. Für externe Angreifer ein willkommenes offenes Scheunentor in sensible, unternehmenskritische Systeme.

Zu den wichtigsten Basismaßnahmen einer professionell gesteuerten Informationssicherheit gehört deshalb das systematische Management von IT-Identitäten und Zugangsberechtigungen – implementiert durch ein Identity- und Access-Management-System (IAM). IT-Identitäten lassen sich mit einem IAM dynamisch pflegen, Berechtigungen automatisch vergeben und auch wieder entziehen. Die Integration oder der Austritt eines Mitarbeiters sind auf dieser Basis innerhalb eines Tages zu managen – auch innerhalb heterogener IT-Landschaften. In Kombination mit Single-Sign-On-Systemen gehören darüber hinaus mehrere Accounts und Passwörter pro Benutzer der Vergangenheit an.

IT-Sicherheits-Audit beim Geschäftspartner

Nicht nur interne Mitarbeiter können ein Sicherheitsrisiko sein. Geschäftspartner, die auf sensible Daten eines Unternehmens zugreifen, müssen dieselben hohen Sicherheitsstandards erfüllen wie der Auftraggeber selbst. Das gilt für das Konstruktionsbüro, das im Auftrag eines Automobilherstellers Pläne für ein neues Modell entwickelt, ebenso wie für den Dienstleister, der Wartungsaufgaben an Produktionsanlagen durchführt. Ein professionell implementiertes Informationssicherheits-Managementsystem (ISMS) und die Zertifizierung nach ISO 27001 gewährleisten ein hohes Sicherheitsniveau. Zusätzlich sollte das beauftragende Unternehmen oder ein qualifizierter Dienstleister mit einem Audit vor Ort prüfen, wie der Geschäftspartner die Informationssicherheit technisch, organisatorisch und personell bei sich im Hause handhabt.

Wirtschaftsspione durch neueste Analysemethoden entdecken und stoppen

Die fortgesetzte Digitalisierung von Wirtschaft und Öffentlicher Hand macht Cybercrime immer lukrativer und den Einsatz der neuesten APT-Methoden (Gezielte komplexe Angriffe = Advanced Persistent Threats) für Kriminelle zunehmend attraktiver. Ob Konzerne oder Marktführer im Mittelstand, im Grunde müssen alle Unternehmen damit rechnen, Ziele von Cyber-Angriffen zu werden. Leider wissen die wenigsten, dass sie bereits kompromittiert sind. Die Attacken sind komplex, speziell auf das betroffene Unternehmen zugeschnitten und erstrecken sich meist über einen längeren Zeitraum. Herkömmliche Virenscanner, Firewalls und Intrusion Detection Systeme erkennen APT in der Regel nicht. Oft tarnen sich die schädlichen Aktivitäten als vermeintlich harmlose Unregelmäßigkeiten im Betriebsablauf, die innerhalb der statistischen Toleranz liegen. Sporadische, kleine Fehler in der Fertigung – etwa leicht variierende Produktabmessungen oder kurze Maschinenstopps – erscheinen fälschlicherweise wie ein Fall für das Qualitätsmanagement oder den Industriemechaniker, anstatt für die IT-Sicherheit. Bis zum Erkennen der wahren Ursache vergehen häufig wertvolle Monate.

APT lassen sich oft nur mit neuesten Analysemethoden und der entsprechenden Technologie identifizieren. Inhouse-Lösungen sind erfahrungsgemäß mit hohen Investitionen verbunden, die insbesondere kleinere Unternehmen eher scheuen. Eine Alternative besteht darin, die nötigen Schutzmaßnahmen als Managed Security Service extern einzukaufen und dabei modulare Service Level Agreements in Anspruch zu nehmen. Beim APT Defense Service von TÜV Rheinland beispielsweise werden verhaltensbasierte Sensoren in der Netzwerkinfrastruktur des Unternehmens platziert, die den Datenverkehr ständig überwachen. Deuten Indikatoren auf einen Angriff oder eine Infektion hin, wird der verdächtige Traffic verschlüsselt in ein Datacenter ausgeleitet und auf seine Kritikalität hin analysiert. Dann lassen sich, wenn nötig, gemeinsam mit der Unternehmens-IT passgenaue Gegenmaßnahmen definieren und umsetzen. Investitionen in Hard- und Software oder Personal ist nicht erforderlich, der Auftraggeber ist erst involviert, wenn der Verdacht auf eine Attacke besteht und ein Angriff abzuwehren ist.

Fazit

Das Bewusstsein für die Themen IT-Security und Wirtschaftsspionage hat zugenommen. Dass die Digitalisierung und Vernetzung von Organisationen und Prozessen nicht nur gewaltige Chancen bietet, sondern auch Bedrohungen mit sich bringt, ist den meisten Geschäftsführern und Vorständen bewusst. Dennoch wird Informationssicherheit oft nicht ganzheitlich bzw. systematisch gemanaged. Notwendige Schutzmaßnahmen werden oft erst ergriffen, wenn das Unternehmen bereits kompromittiert wurde. Unternehmen die ihre Werte und damit auch ihre Zukunft sichern möchten, sollten nicht um diesen Ernstfall "pokern". Professionelle Informationssicherheit ist Chefsache und eine beständige Aufgabe. Es gibt sie nicht zum Nulltarif, sie erfordert neueste Technik und kontinuierlich geschultes Personal.

Autor

Udo Adlmanninger

Udo Adlmanninger ist als Sales Manager beim TÜV Rheinland tätig. Als Berater hat er Erfahrung in den Bereichen Security Management, Risiko-Management, Business Continuity Management und Netzwerk-Sicherheit.
>> Weiterlesen
Buch des Autors:

botMessage_toctoc_comments_9210