Über unsMediaKontaktImpressum
Stefan Peter 04. Oktober 2022

IT-Sicherheit: So bieten Unternehmen Cyber-Kriminellen Paroli

IT-Sicherheit und speziell Cyber-Security sind Themen, die in der heutigen Zeit für Unternehmen zum Tagesgeschäft gehören. Angriffe auf sensible Daten und horrende Erpressungsgeldforderungen für gestohlene Informationen stellen Herausforderungen für Betriebe jeder Größe dar. Dabei rückt eine Form der Malware besonders in den Fokus: Ransomware. Auffällig ist, dass immer öfter mittelständische Unternehmen Cyber-Kriminellen zum Opfer fallen. Die Täter professionalisieren sich zunehmend und finden ihren Weg in die Firmen-IT durch ausgefeiltere und anpassungsfähigere Angriffsmethoden. Auch gesellschaftliche Veränderungen wie die Tendenz hin zum Digital Workplace spielen hierbei eine Rolle. Die gute Nachricht: Unternehmen können aktiv das Sicherheitsniveau anheben. Kommt es zu einem Cyber-Angriff, rüsten sie sich so bestens für die Abwehr.    

Der Mensch als IT-Bedrohung

Bevor es daran geht, die IT-Sicherheit ganzheitlich zu denken, müssen Unternehmen den ersten Schritt gehen. Das bedeutet: Sie machen sich über die aktuellen Herausforderungen Gedanken. Dabei sind die neuen Techniken und Taktiken der Cyber-Kriminellen zu berücksichtigen. Wie verschaffen sie sich Zugang zu Firmendaten? Welche technischen Mittel nutzen sie? Und welche Defizite in der Cyber-Security fallen hierbei auf? Immer öfter rückt der Mensch als Schwachstelle in den Fokus – der Fachbegriff: Social Engineering. Dabei benutzen Angreifer unwissende Mitarbeitende, um Zugang zu sensiblen Daten zu erhalten.

Dafür müssen Täter nicht einmal technische Hürden nehmen, denn durch Tailgating verschaffen sie sich physischen Zutritt. Die Methode: Im Schlepptau des Mitarbeitenden schlüpft der Angreifer unbemerkt an unbewachten Eingängen oder auch elektronischen Kontrollen in das Gebäude hinein – ganz ohne IT-Know-how. Einmal drin, kann er sich frei bewegen. Ohne Probleme erkundet der Cyber-Kriminelle jetzt die IT-Umgebung des Unternehmens. Ein mögliches Vorhaben: Durch das Platzieren eines USB-Gerätes Daten ausspionieren oder diese durch Verschlüsselung für Mitarbeitende unzugänglich machen. Parallel dazu können Links oder Attachments in E-Mails an Angestellte Malware auf den Computer spielen.

Home-Office bringt Sicherheitslücken mit sich

Bei dem physischen Zugang hören die Bedrohungen selbstverständlich nicht auf. In den letzten Jahren rückt immer mehr das Home-Office in den Mittelpunkt krimineller Attacken. Heimsysteme wie Router, Switches oder der PC selbst sind nicht immer auf dem neusten Stand der Technik. Ist das der Fall, sind sie ein Sicherheitsrisiko. Dazu kommt, dass viele Mitarbeitende nicht wissen, wie sie eine gefahrlose Umgebung schaffen. Den meisten fehlt es an Security-Awareness. Einfache Lösungsmethoden wie die Clean-Desk-Regel, bei der man nach getaner Arbeit alle kritischen Daten aufräumt, sind längst kein Standard. Zusammenfassend lässt sich sagen, dass der Schutz des Büros in den eigenen vier Wänden meist weniger fortschrittlich ist, als die Sicherheitslösungen des Unternehmens. In Verbindung mit unwissenden Mitarbeitenden ist das Home-Office also ein perfektes Einfallstor für die Täter.

Ransomware-Angriffe nehmen zu

Auch die Zahl der Ransomware-Attacken steigt in den letzten Jahren an – damit verbunden sind verschiedenste Risiken. Durch Erpressungsgeldforderungen entstehen finanzielle Verluste, Datenklaus reißen Lücken in die Unternehmensinformationen und letztlich führt ein Cyber-Angriff zur Rufschädigung. In einigen Fällen mussten Betriebe bereits komplett schließen. Wie laufen diese Angriffe also ab? Die meisten Ransomware-Programme verbreiten sich über Phishing-E-Mails. Klicken Benutzer auf einen bösartigen Link oder besuchen sie eine bedrohliche Seite, kann diese Aktion zur Kompromittierung des Gerätes beitragen.

Es gibt aber auch die Fälle, die kein aktives Handeln der Mitarbeitenden voraussetzen. Dabei verbreitet sich die Malware durch Downloads und die Infektion erfolgt ohne menschliches Zutun. Hier setzen Ransomware-Angriffe zunehmend an. Um im Verborgenen zu bleiben, nutzen Angreifer dateilose Malware-Techniken. Das verschafft ihnen Zeit, um sich im stillen Kämmerchen durch die Systeme und das Netzwerk eines Unternehmens zu bewegen. Wie erfolgreich dieses Vorgehen ist, zeigt sich schnell: Im Dark Web verbreiten sich Ransomware-as-a-Service-Modelle. Dadurch können auch IT-Neulinge oder -Laien hoch entwickelte und mehrstufige Angriffe einfach starten – ein weiterer Nachteil für Betriebe. Jene sind nun gefordert, ganzheitliche Strategien zu entwickeln, die den Tätern das Handwerk legen.

Schritt eins: Security-Governance anpassen

Die Security-Governance eines Unternehmens gibt die strategischen Ziele vor – mit klaren Verantwortlichkeiten und mit festgelegten Praktiken. Neue Bedrohungen machen es nötig, auch die Security-Governance neuzudenken. Dafür sollten zunächst alle Risiken – altbekannte wie auch aktuelle – einbezogen werden. Mit Blick auf das Tailgaiting sind Sicherheitsanforderungen an das Bürogebäude Pflicht. Ebenso müssen sich Maßnahmen zum Schutz der Mitarbeiterinnen und Mitarbeiter und letztlich der Unternehmen etablieren. Eine ganzheitliche Betrachtung ist hier oberstes Gebot.

Never trust, always verify.

Allem voran gilt es jedoch, die Geschäftsführerebene für die Herausforderungen zu sensibilisieren. Das gewünschte Ergebnis: Cyber-Awareness im Senior-Management schaffen. 

Dann geht es auch schon an die Umsetzung der Cyber-Sicherheit. Eine vielversprechende Sicherheitsarchitektur stellt zum Beispiel die Zero-Trust-Strategie dar – die wörtlich zu nehmen ist. Denn sie fordert, dass man jedem Zugriff auf das Firmennetzwerk zunächst misstraut. Das Unternehmen lässt also implizites Vertrauen außen vor und beginnt jede Phase einer digitalen Interaktion kontinuierlich zu überprüfen. Immer nach dem Motto: "Never trust, always verify."

Schritt zwei: Mitarbeiter im Home-Office schulen

Egal ob am Arbeitsplatz im Büro oder zu Hause: Mitarbeiter müssen sich mit dem Thema Cyber-Security innerhalb ihres Unternehmens auskennen. Daher sind Schulungen und Trainings für deren Weiterbildung so wichtig. Die Themen sind vielseitig: Kennworthygiene ist eines davon. Gerade weil immer noch Passwörter wie 123456 oder passwort zu den beliebtesten zählen, verliert es nicht an Bedeutung. Mitarbeitende müssen gerade bei E-Mail-Accounts und weiteren Konten mit sensiblen Daten darauf achten, die bewährten Praktiken einzuhalten. Am gängigsten sind mindestens acht Zeichen und Symbole. Trainer müssen erklären, was Phishing-Mails auszeichnet. Nur so vermeiden sie den Klick auf bösartige Anhänge. Wer kennt es nicht: Ist man während der Arbeit im Stress, schiebt man auch mal ein Update beiseite. Geräte-Patchings und somit Updates für Betriebssysteme verhindern aber, dass Angreifer diese kompromittieren können. Hinzu kommt: Social Media ist für viele nicht mehr aus dem Alltag wegzudenken. Vertrauliche Unternehmensinformationen oder Kundendaten haben auf den öffentlichen Profilen aber nichts zu suchen. All das sind Themen, die auf den ersten Blick offensichtlich sein mögen. Die Praxis zeigt aber, dass Schulungen hierzu nötig sind.

Schritt drei: Frühzeitiges Warnsystem für Ransomware-Angriffe

Wie bereits erwähnt, sind Ransomware-Angriffe meist schon lange erfolgt, bevor das Unternehmen sie überhaupt bemerkt. Aus diesem Grund ist es nur logisch, Ransomware-Attacken frühzeitig zu erkennen. Drei gängige Erkennungstechniken helfen hierbei:

  • Signaturbasierte Methode: Die signaturbasierte Erkennung ist nützlich, um ältere Muster bei Ransomware-Angriffen zu identifizieren. Bei der Spurensuche macht sie sich zu nutzen, dass alle Programme, Dateien und Anwendungen eigene Signaturen aufweisen. Mögliche Malware lässt sich mit bekannten Schadsignaturen abgleichen – und so frühzeitig erkannt.
  • Verhaltensbasierte Methode: Schadprogramme verhalten sich anders als die Unternehmenssoftware. Die verhaltensbasierte Erkennungsmethode untersucht neue Verhaltensweisen anhand historischer Daten und erkennt so Ausreißer im System.
  • Täuschungstechnik: Am häufigsten richten IT-Profis Honeypots ein. Dieser Server fungiert als Köder für Angreifer. Mitarbeitende kommen mit diesem Server nicht in Berührung. Im Umkehrschluss heißt das: Wenn der Simulator eine Aktivität zeigt, handelt es sich mit großer Wahrscheinlichkeit um einen Angriff. 

Sobald ein Unternehmen Ransomware erkannt hat, muss es schnell auf diese reagieren. Wichtige Mittel sind hier Notfall- und Recovery-Pläne. Diese beinhalten Gegenmaßnahmen, die die Verantwortlichen planvoll und zügig im Fall der Fälle umsetzen. Da Angreifer sämtliche IT-Systeme verschlüsseln können, ist es sinnvoll, neben Online-Plänen auch Offline-Versionen zu sichern.

Ein Blick ins Detail: Drei Werkzeuge gegen Ransomware

Besonders hilfreiche Werkzeuge, um Ransomware-Angriffe frühzeitig zu erkennen, sind Vulnerability-Management, SIEM und EDR. Nimmt man alle drei Lösungen zusammen, ergibt sich eine ganzheitliche Cyber-Security-Lösung. Nach der Risikobewertung kommen diese zum Einsatz. Dabei ist es entscheidend, welche Sicherheitslücken sich identifizieren lassen.

Mit dem Vulnerability-Management legen Unternehmen den Grundstein für die IT-Sicherheit. Die Vorgehensweise ist eine Schwachstellenbewertung. Sie rückt Software und Hardware in den Mittelpunkt und analysiert aktuelle Risiken. Sind Schwachstellen in Systemen bekannt, können IT-Verantwortliche diese mittels Patches schließen. Meistens stellen Hard- und Softwarehersteller geeignete Patches zur Verfügung. Bis dahin kann jedoch etwas Zeit vergehen. Für Firmen heißt es jetzt, die erkannten Risiken mit technischen Maßnahmen zu überbrücken und bestmöglich zu verringern – bis der Hersteller liefert. Identifizieren, minimieren und beheben Firmen Schwachstellen regelmäßig, tragen sie mit diesem Prozess der Cyber-Security nachhaltig Rechnung.

SIEM (Security-Information-and-Event-Management) ist eine Kombination aus bereits bekannteren Tools wie SIM (Security-Information-Management) und SEM (Security-Event-Management). Egal ob Logdaten von Cloud-Systemen, verschiedenen Betriebssysteme oder sonstige Anwendungen und Programme – SIEM erkennt diese, sammelt sie an zentraler Stelle und kategorisiert sie. Gibt das System ein verdächtiges Ergebnis aus, alarmiert es Unternehmen in Echtzeit. Die Benachrichtigungen sind selbst resistent gegen Angriffe und lassen sich nicht manipulieren. Falls erforderlich, kann SIEM auch im Nachhinein noch einen Nachweis über die Ergebnisse der Sicherheitsanalyse ausgeben.  

Mit EDR (Endpoint Detection and Response) setzen Betriebe bei der IT-Sicherheit von Endgeräten wie Laptops, Smartphones oder Clients an. EDR betrachtet das Verhalten dieser und erkennt so Sicherheitsrisiken. Dabei setzt das Technologiekonzept nicht nur auf Pattern oder Signaturen – das besondere ist eine heuristische Analyse. Der Vorteil: Die Lösung erkennt auch neue Bedrohungen, zum Beispiel veränderte Virenversionen, frühzeitig. Dass EDR einen zeitgemäßen Schutz bietet, ist spätestens klar, wenn der Blick auf künstliche Intelligenz fällt. Bei der Analyse einzelner Daten schafft es diese Technik, einzelne Knoten zu einem großen Ganzen zu verbinden. Viele Daten helfen auch viel: Daher ist ein weiterer Pluspunkt, dass jedes Endgerät neue Erkenntnisse beisteuert.

Das Unternehmen vor Ransomware-Angriffen schützen

Um das eigene Unternehmen vor Ransomware zu schützen, gibt es mehrere allgemein bewährte Verfahren. Eine Checkliste unterstützt hierbei. 

  • Eine qualitativ hochwertige Verteidigung an allen Stellen der Unternehmensumgebung ist sichergestellt: Im Zentrum stehen Sicherheitskontrollen. Firmen sollten auch bisherige Geschäftsanforderungen weiterhin berücksichtigen.
  • Backups sind erstellt und deren Wiederherstellung ist erprobt: Ziel ist es, den Betrieb schnell und mit minimalen Unterbrechungen wieder aufzunehmen.
  • Nach Bedrohungen wird proaktiv gesucht: Dieses präventive Vorgehen führt dazu, dass Firmen Cyber-Kriminellen das Handwerk legen können, bevor sie die eigentlichen Angriffe ausführen können.
  • Die Umgebung ist durch das Aufspüren und das Schließen von Sicherheitslücken gehärtet: Zu achten ist beispielsweise auf ungepatchte Geräte, ungeschützte Rechner oder offene RDP-Ports. Die Cybersicherheitstechnologie Extended Detection and Response (XDR) ist für diesen Zweck ideal.
  • Dritte, die Fernzugriff auf das Unternehmensnetzwerk haben, lassen sich überprüfen und überwachen: Firmen stellen so sicher, dass sie die bewährten Verfahren der Cybersicherheit gewissenhaft anwenden.  
  • Das Schlimmste im Blick halten: Tritt ein Cybervorfall ein, wissen alle Betroffenen, was zu tun ist und wer zu benachrichtigen ist.
  • Ein Meldeplan ist erstellt: Auf diese Weise wissen Mitarbeiter, wem sie verdächtige Aktivitäten melden können.
  • Mitarbeiter-Schulungen finden regelmäßig statt: Themen wie Social-Engineering und Phishing betreffen vor allem das Team. Daher ist die Cyber-Awareness der Mitarbeitenden essenziell. 

Die Mischung macht’s

Um sich in den Prozess eines Cyber-Angriffes hineinzuversetzen, können Firmen die Cyber Kill Chain heranziehen. Das Modell zeigt die einzelnen Stufen einer solchen Attacke auf die IT-Sicherheit auf. Eine ganzheitliche Betrachtung und frühzeitige Warnsysteme helfen Unternehmen, sich im Kampf gegen Cyber-Angriffe wie Ransomware zu schützen. Bewährt hat sich die Verbindung vieler einzelner Tools – lässt sich ein Anbieter für alle Security-Lösungen finden, umso besser. Denn mehrere Security-Lösungen, die nicht aufeinander abgestimmt sind, haben nicht selten Informationssilos zur Folge. Als Konsequenz können Unternehmen nicht ausreichend schnell auf Sicherheitslücken eingehen oder mögliche Angriffe abwehren. Die Lösung: Die IT-Sicherheit sollte den Best-of-Suite-Ansatz verfolgen – mit anderen Worten eine All-in-one-Lösung.

Eine Studie des Digitalverbandes Bitkom verdeutlicht, welchen Nutzen Firmen aus einer ganzheitlichen Cyber-Security-Strategie ziehen: Sie sparen horrende Geldsummen. Für deutsche Unternehmen entsteht pro Jahr ein Schaden von über 200 Milliarden Euro – allein durch Spionage und Diebstahl von IT-Ausrüstungen und Daten. Zudem sind mehr Betriebe betroffen, als man zunächst glauben will. Denn 84 Prozent der betrachteten Firmen gaben an, schon einmal Opfer von Cyber-Attacken gewesen zu sein.

Cyber-Security hat viele Stränge, die es zu bündeln gilt. Neben den technischen Lösungen gilt es immer auch, den Faktor Mensch nicht aus den Augen zu verlieren. Social Engineering ist bei Cyber-Kriminellen eine beliebte Vorgehensweise geworden, um an vertrauliche Informationen zu gelangen. Unwissende Mitarbeitende stellen hier eine große Sicherheitslücke dar. Setzt ein Unternehmen auf Cyber-Awareness, ist ein mündiges Team nicht mehr weit. Täter haben es dann schwerer, durch menschliche Schwachstellen Zugriff zu erhalten.

Autor

Stefan Peter

Als Head of Cyber Security kümmert sich Stefan Peter um das Produktportfolio von q.beyond im Bereich IT-Sicherheit.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben