Angespannte Lage der Cybersicherheit in Deutschland – was ist zu tun?
Ein Überblick:
Zuletzt wurde vom Bundesamt für Sicherheit in der Informationstechnik der jüngste Bericht über die Lage der
IT-Sicherheit in Deutschland veröffentlicht. Im Bericht wird die „Gefährdungslage im Cyberraum als so hoch wie nie“ beschrieben. Bedingt durch die anhaltende Kriegssituation in der Ukraine, können auch im Cyberraum vermehrte Aktivitäten staatlich geförderter Hackergruppen beobachtet werden. Unternehmen verstehen zwar vermehrt das Risiko, welches durch Cyberangriffe resultieren kann, erhöhen aber nicht selten zu spät die Investitionsbereitschaft in passende Absicherungsmaßnahmen. Zudem hat statistisch gesehen einer von vier Cyberangriffen schwere oder gar existenzbedrohende Folgen für Unternehmen im KMU-Umfeld. Es ist daher nicht die Frage, ob ein Unternehmen in den Fokus von Cyberkriminellen gerät, sondern wann („Assume-Breach“).
Die größten Angriffsvektoren sind gegenwärtig:
-
Menschliche Täuschung bei gefälschten E-Mails (Phishing/Spam)
-
Ausführung und Installation von Schadsoftware (Malware)
-
Schwach abgesicherte Konfigurationen und fehlende Multifaktor-Authentisierung
-
Fehlende Sicherheitspatches und veraltete IT-Systeme
-
Bekanntgewordene Zugangsdaten oder schwache Passwörter
Weiterhin lässt sich sagen, dass viele Nutzer bei Accounts oder Online-Portalen die gleichen Zugangsdaten verwenden und es somit Cyberkriminellen einfach machen, Accounts oder Benutzerprofile zu übernehmen. Oftmals stellt genau das der sogenannte „Eintrittspunkt“ dar, über welchen sich ein potenzieller Angreifer weitere Zugänge verschaffen kann. Der Weg ins Unternehmen und die Ausbreitung eines Angreifers im Netzwerk kann daher über einen längeren Zeitraum erfolgen und bleibt oftmals für lange Zeit unbemerkt. Im Durchschnitt bewegen sich Angreifer zwischen vier und sechs Monate unbemerkt im Netzwerk und sammeln Daten oder bereiten gezielte Erpressungshandlungen vor.
Maßnahmen:
Neben technischen Aspekten sind auch organisatorische Punkte für Unternehmen wichtig, um eine nachhaltige
IT-Sicherheitskultur im Unternehmen zu etablieren. Die Herausforderung besteht darin, zuerst einen Überblick über das aktuelle IT-Sicherheitsniveau des Unternehmens zu bekommen und gezielt in die richtigen Maßnahmen zu investieren.
Dabei wird zwischen den folgenden Arten von Maßnahmen unterschieden, die bestmöglich zusammenwirken müssen:
-
Präventiv: Maßnahmen, die im Vorfeld einer Bedrohung ergriffen werden
-
Detektiv: Maßnahmen, die während eines IT-Sicherheitsvorfalls greifen
-
Reaktiv: Maßnahmen, die nach einer Bedrohung wirken
Während technische Maßnahmen sowohl präventiv beispielsweise über eine etablierte Multifaktor-Authentisierung, detektiv über eine Anomalie- und Verhaltensanalyse oder reaktiv über eine Endpoint Detection und Response-Lösung eingesetzt werden können, zählen organisatorische Maßnahmen wie beispielsweise ein IT-Notfallplan oder eine Cyberversicherung zu den präventiven Maßnahmen.
Sensibilisierung:
Aktuellen Studien zufolge ist die Ursache für erfolgreiche Cyberangriffe zu 95 % auf menschliches Versagen zurückzuführen. Dies ist zunächst bedingt auf die Handlungen eines Menschen zurückzuführen, die durch schnelle oder intuitive Tätigkeiten ausgelöst und keinen analytischen oder überlegten Hintergrund haben. In Stresssituationen handelt der Mensch oftmals mit unüberlegten Reaktionen. Genau solche Denkmuster werden von Cyberkriminellen ausgenutzt und die Angriffstechniken basierend auf dieser Schwäche angepasst. Für eine Sensibilisierung im Unternehmensumfeld ist es daher von Bedeutung, den Mitarbeitern Fähigkeiten und Wissen zu vermitteln, um die Skills zum Thema IT-Sicherheit zu verbessern. Das Verständnis muss daher über gezielte Phishing-Simulationen in Kombination mit Lernmodulen verbessert werden.
Für die Mitarbeitersensibilisierung sind folgende Aspekte zu berücksichtigen:
-
Stetiges Lernen anstatt einmaliger Aufklärung
-
Aufwand gemäß dem Motto „so wenig wie möglich, aber so viel wie nötig“
-
Verständnis bei allen Mitarbeitern stetig verbessern
-
Kombination von Phishing-Kampagnen mit gezielten Lernmodulen
-
Anonymisierte Auswertung auf Unternehmensebene und nicht pro Mitarbeiter
Basistipps für mehr Cybersicherheit:
Der Aufbau einer ganzheitlichen IT-Sicherheitskultur ist als Gemeinschaftsaufgabe des Unternehmens zusammen mit deren Mitarbeitern und Kunden zu sehen. Jeder kann einen Teil zur Stärkung der IT-Sicherheit beitragen und so die eigene Widerstandfähigkeit (Cyber-Resilienz) gegenüber Cyberangriffen verbessern.
Wichtige Empfehlungen zur Umsetzung sind:
-
Regelmäßig automatisiert Updates installieren
-
Sichere Passwörter und Multifaktor-Authentisierung verwenden
-
Makro-Ausführung in Office-Dokumenten deaktivieren
-
Backupkonzept mit Offline-Tapes zur Sicherung aller IT-Systeme einschließlich Validierung der Backups
-
Stetige Mitarbeitersensibilisierung zum Thema IT-Sicherheit
-
Systeme zur schnellen Angriffserkennung und Sichtbarkeit von Aktivitäten etablieren
-
Vergabe von erhöhten Benutzerberechtigungen nur sparsam konfigurieren
-
Nur seriöse Apps und Anwendungen installieren
-
Externe Systeme bestmöglich absichern und die externe Angriffsfläche reduzieren
-
Erstellung und Erprobung von IT-Notfallplänen
-
Passende Dienstleister im Falle einer IT-Notfallbewältigung hinzuziehen
-
Kontinuierliche Verbesserung und Simulation von IT-Notfallsituationen
Schlussendlich ist neben den oben genannten Empfehlungen auch die Repräsentation eines Unternehmens über die Firmenhomepage oder den eigenen E-Commerce Onlineshop ein potenzielles Einfallstor für einen Angreifer. Zudem kann dies zu einem irreparablen Imageschaden führen, weshalb auch das Homepage- und E-Commerce-System stetig mit aktuellen Sicherheitsupdates und Sicherheitskonfigurationen in der Sicherheitskultur berücksichtigt werden sollte.