Eine beliebte Aussage von IT-Sicherheitsexperten lautet: Es gibt zwei Arten von Unternehmen - die, die gehackt wurden, und die, die es noch nicht wissen. Tatsache ist, dass Cyberangriffe heute zu den essenziellsten Bedrohungen unserer Wirtschaft gehören. Doch obwohl Cyberkriminalität mittlerweile ein allgegenwärtiges Thema ist, werden Hackerattacken und das Risiko, Opfer von solchen zu werden, noch immer falsch eingeschätzt - sowohl von den IT-Abteilungen als auch der Geschäftsführung.
Folgende vier Fakten sollten IT-Verantwortliche bei der Planung ihrer Sicherheitsstrategie deshalb besonders bedenken.
Lesetipp: Cyberangriffe managen - Sind Sie bereit, gehackt zu werden?
Der Großteil der Cyberangriffe ist nicht besonders raffiniert
Oft wird über besonders raffinierte Angriffsmethoden und hochentwickelten Cyberattacken gesprochen, hinter denen gut organisierte Hackergruppen oder nationale Geheimdienste stehen. Diese abzuwehren stellt für durchschnittliche Unternehmen eine enorme, fast nicht zu bewältigende Herausforderung dar. Die Angreifer scheinen so geschickt und technisch so gut ausgestattet zu sein, dass die Opfer sowieso keine Chance haben.
Tatsache ist jedoch, dass der Großteil der Cyberkriminellen heutzutage weder technisch besonders ausgeklügelt vorgeht noch im staatlichen Auftrag handelt. Bei den meisten Angriffen kommen den Hackern vermeidbare Sicherheitslücken und unvorsichtiges menschliches Verhalten zugute. Dafür bedarf es weder großer technischer noch finanzieller Ressourcen, sondern vor allem Ausdauer und Beharrlichkeit.
Cyberkriminelle verbringen viel Zeit damit, ihre Angriffe zu planen und vorzubereiten, ihre Opfer auszuspionieren und so einen Weg zu finden, sich möglichst unbemerkt und ohne viel "Lärm" zu erzeugen einen Zugang zu den Systemen ihrer Opfer zu verschaffen. Dabei suchen sie nach dem schwächsten Glied in der Kette, also Schwachstellen in Netzwerken und Systemen, wie Fehlkonfigurationen, Standard-Anmeldeinformationen oder unvorsichtigen Mitarbeitern.
Mit Phishing kommen Hacker am schnellsten ans Ziel
Hoch im Kurs stehen dabei nach wie vor E-Mail-Angriffe mit infizierten Office-Dokumenten, die überwiegend über Phishing verbreitet werden. Trotz steigender Aufklärung und Sensibilisierung der Mitarbeiter, öffnen weiterhin viele Menschen Mail-Anhänge ungeprüfter Herkunft, klicken auf unbekannte Links oder geben Anmeldeinformationen einschließlich Passwörtern unwissentlich auf manipulierten Seiten ein. Laut der Studie "State of the Phish 2019 Report" von Security-Anbieter Proofpoint waren insgesamt 83 Prozent der befragten Unternehmen im vergangenen Jahr Opfer von Phishing-Angriffen. Kompromittierte E-Mail-Konten waren dabei die meistverwendete Taktik noch vor Malware-Infektionen.
Cyberkriminelle haben vor allem privilegierte Konten im Auge
Sobald es einem Hacker gelungen ist, einen Fuß in die Tür seines Opfers zu setzen, beginnt er, nach Privilegien und sensiblen Zugangsdaten Ausschau zu halten, die es ihm ermöglichen, durch die Netzwerke zu bewegen und nach sensiblen Informationen zu suchen. Privilegierte Unternehmenskonten wie Administrator-Accounts, Server- oder Datenbank-Konten, sind nach wie vor die effektivste Methode, um sensitive und lukrative Daten zu extrahieren. Gleichzeitig bieten sie die Möglichkeit, die eigenen Spuren zu verstecken und monatelang - manchmal sogar jahrelang - unentdeckt zu bleiben. Untersuchungen zeigen, dass Angreifer in den Netzwerken von Unternehmen im EMEA-Raum im Schnitt 56 Tage unerkannt agieren, bevor sie entdeckt werden. Viel Zeit also, um großen Schaden anzurichten.
Lesetipp: Ein starkes Passwort ist nicht genug
Privilegierte Accounts bedürfen eines besonderen Schutzes
Herkömmliche Perimeter-Sicherheit ist nicht mehr ausreichend, um sich vor Cyberkriminalität zu schützen. Sicherheitsverantwortliche sollten über Privileged Account Management nachdenken, das ihnen in einem ersten Schritt einen vollständigen Überblick über alle im Unternehmensnetzwerk existierenden privilegierten Konten bietet.
Privilegierte Sitzungen sollten überwacht werden können, um unübliche und potenziell schädliche Zugriffe frühzeitig bevor größerer Schaden entsteht zu identifizieren. Lösungen, die auf Machine Learning-Technologien zurückgreifen und Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysieren, können dabei unterstützen.
In einem weiteren Schritt ist es sinnvoll, die Passwortverwaltung zu automatisieren und eine minimale Rechtevergabe, auch "Least Privilege" genannt, durchzusetzen. Damit erhalten nur die Mitarbeiter Zugriff auf sensible Daten, die diesen auch wirklich brauchen.
Die Größe des Unternehmens spielt keine Rolle
Entgegen der Annahme vieler KMUs treffen Cyberangriffe längst nicht nur größere oder multinationale Konzerne, sondern vor allem kleine und mittelständische Unternehmen. Gerade bei massenhaften und ungezielten Cyberattacken, etwa bei Massen-Phishing, spielen Kategorien wie Umsatz- oder Mitarbeiterzahlen überhaupt keine Rolle für die Angreifer. Im Gegenteil: Je kleiner ein Unternehmen ist, desto häufiger haben sie Erfolg. KMUs unterschätzen zum einen meist das Risiko, selbst ein Opfer digitaler Angriffe zu werden, zum anderen ist ihr Cybersecurity-Budget sowie auch das Security-Team in der Regel deutlich kleiner als bei Konzernen.
So erhöhen und optimieren Sie ihre Unternehmenssicherheit
Die Verantwortung für Cybersicherheit liegt nicht nur bei der IT-Abteilung
Der Schutz vor Cyberangriffen wird von vielen Mitarbeitern und Führungskräften gerne in der Verantwortung der IT-Security-Experten gesehen. Diese Annahme ruft jedoch ein falsches Gefühl von Sicherheit hervor. Bedenkt man, dass der Großteil der Cyberangriffe auf Phishing zurückzuführen ist, ist es umso wichtiger, dass Cybersicherheit zu einem Teil der unternehmensweiten Richtlinien wird. Alle Mitarbeiter müssen in die Einführung neuer Systeme eingebunden und mit den Sicherheitsstrategien vertraut gemacht werden.
IT-Sicherheit muss benutzerfreundlich sein, wenn sie wirksam sein soll
Sicherheitstools- und Lösungen, die komplex bereitzustellen und schwierig in der täglichen Anwendung sind, wirken sich negativ auf die Effektivität der Cybersicherheit eines Unternehmens aus. Wenn IT-Teams diese Tools nicht selbstverständlich einsetzen, sondern davor zurückschrecken, bleiben die Sicherheitsrisiken, die dadurch eigentlich minimiert werden sollten, bestehen.
Idealerweise sind Security-Lösungen benutzerfreundlich und sorgen für mehr Übersichtlichkeit und Transparenz. Zudem automatisieren sie Prozesse, was letztlich dazu führt, dass Mitarbeiter in ihrer Alltagstätigkeit entlastet werden und effizienter arbeiten können.
Für den Ernstfall gewappnet: Der Incident-Response-Plan
Um im Ernstfall nicht unvorbereitet dazustehen, sollten Unternehmen in jedem Fall einen Vorfallreaktionsplan - auch Incident-Response-Plan genannt - vorbereitet haben, der eine schnelle Reaktion und damit eine rasche Eindämmung möglicher Schäden ermöglicht. Dabei werden konkrete Schritte und Maßnahmen festgelegt, wie im Falle von Cyberattacken und Datenschutzvorfällen vorzugehen ist, wer für welche Aktionen zuständig ist und welche Behörden eventuell informiert werden müssen. (jd/bw)