Grundlagen der Cybersicherheit

Cybersicherheit ist schwierig. Die Technologie ändert sich ständig, die Tools und Techniken der Cyberkriminellen entwickeln sich ständig weiter, und die Aufrechterhaltung der Sicherheit eines Netzwerks mit Benutzern, die alle ihr eigenes Ding machen wollen, ohne durch die Sicherheit eingeschränkt zu werden, ist eine ständige Herausforderung.

Ransomware ist nach wie vor ein großes Problem, da Cyberkriminelle damit drohen, Netzwerke zu verschlüsseln, und die Opfer ihren erpresserischen Forderungen nach dem Entschlüsselungsschlüssel nachgeben. Cyber-Sicherheitsbehörden haben Warnungen vor dem potenziellen Anstieg der Cyber-Bedrohungen infolge des russischen Einmarschs in der Ukraine herausgegeben.

Doch während diese Bedrohungen für Schlagzeilen sorgen, gibt es auch andere Probleme, über die vielleicht nicht so viel gesprochen wird, die aber dennoch ein großes Problem für die Cybersicherheit darstellen und auf die Unternehmen vorbereitet sein müssen.

Fernarbeit ist ein leichtes Ziel für Hacker

Für viele Unternehmen ist hybrides und dezentrales Arbeiten in den letzten Jahren zur Norm geworden, und die Unternehmen haben sich auf cloudbasierte Anwendungen und Dienste verlegt, um dies zu ermöglichen.

Diese Verlagerung hat sich zwar positiv auf die Produktivität und die Zufriedenheit der Mitarbeiter ausgewirkt, doch die hybride Arbeitsweise birgt auch zusätzliche Risiken für die Cybersicherheit, an die Unternehmen möglicherweise nicht denken – und das macht Cyberkriminellen das Leben leichter.

„Die größte Sorge im Zusammenhang mit Fernarbeit ist für mich die unbeabsichtigte Offenlegung und die öffentlich zugänglichen Anwendungen“, sagt Jamie Collier, Senior Threat Intelligence Advisor bei Mandiant.

Beispielsweise bieten Cloud-Anwendungen wie Microsoft Office 365 und Google Workspace den Mitarbeitern die Möglichkeit, von überall aus zu arbeiten – aber wenn ein böswilliger Hacker in den Besitz ihres Benutzernamens und Passworts gelangt, könnte er in das Netzwerk eindringen. Das gilt insbesondere dann, wenn das Passwort so schwach ist, dass es mit einem Brute-Force-Angriff geknackt werden kann.

Es ist auch möglich, dass ganze Bereiche des Netzwerks, die sensible Informationen enthalten, aufgrund von Fehlkonfigurationen der Cloud dem offenen Internet ausgesetzt sind. In diesen Fällen benötigen Angreifer möglicherweise nicht einmal ein Passwort – sie können einfach hineingehen und den Server nach offengelegten Informationen durchsuchen.

„Wir stellen zunehmend fest, dass all diese Konfigurationsprobleme und Bedrohungsgruppen tatsächlich eine Menge Erfolg haben – sie brauchen nicht einmal unbedingt einen Exploit, weil die Verteidiger dieses offene Ziel bereitgestellt haben“, sagt Collier.

Einfache Cybersicherheits-Updates werden ignoriert

Aber es sind nicht nur die Sicherheitslücken in Cloud-basierten Anwendungen, die unter dem Radar fliegen oder schlichtweg ignoriert werden. Aus dem einen oder anderen Grund haben Cybersicherheitsteams oft Schwierigkeiten, die Verwaltung von Schwachstellen und Patches in allen Bereichen zu bewältigen.

Die schnellstmögliche Anwendung von Sicherheits-Patches wird oft als eines der besten Mittel zum Schutz von Netzwerken vor Cyberangriffen angesehen – aber es tauchen regelmäßig neue Schwachstellen auf, und viele Informationssicherheitsteams kommen damit nicht nach.

„Die Geschwindigkeit, mit der im letzten Jahr Schwachstellen in unserer Infrastruktur, unseren Technologien und Tools aufgetaucht sind, hat die Unternehmen vor eine ziemliche Herausforderung gestellt“, erklärt Thomas Etheridge, SVP of Services bei Crowdstrike.

Hinzu kommen die unbekannten Sicherheitslücken, die in Software lauern können, die viele Unternehmen tagtäglich nutzen und für sicher halten. Log4j zum Beispiel war eine bedeutende Schwachstelle, die im Dezember letzten Jahres auftauchte und die Jen Easterly, Direktorin der US-amerikanischen Agentur für Cybersicherheit und Infrastruktur CISA, als „eine der schwerwiegendsten, wenn nicht die schwerwiegendste, die ich in meiner gesamten Laufbahn gesehen habe“ bezeichnete.

Cyber-Kriminelle versuchten fast sofort, die Lücke auszunutzen, und die Unternehmen wurden aufgefordert, den Patch so schnell wie möglich aufzuspielen. Doch Monate später hatten viele die Updates immer noch nicht eingespielt, so dass ihre Unternehmen anfällig für Netzwerkeinbrüche waren.

Und Log4j ist nicht die einzige Schwachstelle, die viele Unternehmen ignoriert haben: Auch ältere Schwachstellen wie EternalBlue, die globale Cybersecurity-Ereignisse wie WannaCry und NotPetya ausgelöst haben, wurden von einigen Unternehmen nicht gepatcht, und Cyberkriminelle sind immer noch auf der Suche nach anfälligen Netzwerken, die sie ausnutzen können.

In vielen Fällen werden die Schwachstellen und Cybersecurity-Probleme nicht angegangen, weil Unternehmen ihr Netzwerk einfach nicht im Blick haben – obwohl es ein wichtiges Element der Cybersecurity ist.

„IT-Hygiene ist ein ständiges Problem – zu verstehen, welche Anlagen Sie tatsächlich in Ihrer Umgebung haben, was mit Ihrem Netzwerk verbunden ist, wie der Patching-Status ist. Die Durchführbarkeit und das Verständnis der tatsächlichen Sicherheitslage dieser Geräte ist eine ständige Herausforderung“, sagt Etheridge.

„Es ist der am wenigsten glamouröse und am wenigsten anerkannte Teil der Arbeit von Sicherheits- und IT-Organisationen, aber er ist absolut entscheidend, um den Risiken einen Schritt voraus zu sein“, fügt er hinzu.

E-Mail Attacken verursachen Kosten in Milliardenhöhe

Zu diesen Risiken gehören potenziell Datendiebstahl, Malware-Angriffe, Ransomware und sogar von Nationalstaaten unterstützte Cyberspionage. Aber eine der größten Bedrohungen für die Cybersicherheit ist auch einer der einfachsten Angriffe, die Cyberkriminelle durchführen können: Phishing .

Phishing wird auf verschiedene Weise eingesetzt, vom Diebstahl sensibler Informationen wie Bankdaten und Kennwörtern von Einzelpersonen bis hin zu ausgeklügelten Cyberangriffen auf ganze Organisationen.

Alles, was es dazu braucht, ist ein überzeugender E-Mail-Köder und eine gut gestaltete gefälschte Version einer echten Website oder eines anderen Online-Dienstes, für den man einen Anmeldenamen und ein Passwort benötigt, und schon fallen die Daten in die Hände der Angreifer.

Doch trotz der relativen Einfachheit von Phishing-Angriffen können sie für Cyberkriminelle unglaublich lukrativ sein, insbesondere in Fällen von BEC-Angriffen (Business Email Compromise). Wie der Name schon sagt, zielen die Hacker mit Hilfe von Phishing-E-Mails und Social Engineering auf Unternehmen ab und bringen deren Mitarbeiter dazu, große Geldbeträge auf Bankkonten der Betrüger zu überweisen.

Das mag einfach klingen, bietet Cyber-Kriminellen aber eine äußerst effektive Möglichkeit, Geld zu verdienen – nach Angaben des FBI gehen jedes Jahr Milliarden von Dollar durch BEC-Betrug verloren.

„Wenn man sich anschaut, wie viel Geld BEC-Gruppen mit der Kompromittierung von Geschäfts-E-Mails verdienen, ist es deutlich mehr als das, was Ransomware-Gruppen machen“, sagt Jason Steer, Chief Information Security Officer (CISO) beim Cybersecurity-Unternehmen Recorded Future. Viele BEC-Angriffe beginnen wie jede andere bösartige Cyber-Kampagne: Sie nutzen Phishing-E-Mails oder gestohlene Benutzernamen und Passwörter, die sie in Dark-Web-Foren erworben haben, um sich Zugang zum Netzwerk zu verschaffen.

Von dort aus nehmen sich die Cyber-Kriminellen Zeit, um die Interaktionen im Posteingang zu untersuchen, und nutzen vielleicht sogar ihren ersten Zugangspunkt, um Phishing-E-Mails an die Kontakte des kompromittierten Opfers zu senden, um auch deren Benutzernamen und Kennwörter zu erlangen. Es ist auch möglich, dass die Angreifer Nachrichten von diesen bekannten Kontakten fälschen.

In jedem Fall warten sie auf einen günstigen Zeitpunkt, z. B. auf den Abschluss eines wichtigen Geschäfts, bevor sie ihr Spiel spielen. Sie übernehmen die Kontrolle über ein legitimes E-Mail-Konto, das an dem Geschäft beteiligt ist, und behaupten, dass das Geld, bei dem es sich oft um Hunderttausende von Dollar handelt, dringend auf ein bestimmtes Konto überwiesen werden muss. Besonders effektiv sind E-Mails, die aussehen, als kämen sie vom Chef, der den Empfänger auffordert, sich sofort um ein Problem zu kümmern. Bis jemand bemerkt, dass etwas nicht stimmt, ist das Geld bereits überwiesen und die Angreifer sind längst verschwunden.

In einigen Unternehmen gibt es höchstwahrscheinlich einen Finanzkontrolleur, der sich bei dem Bankkonto anmeldet und die Transaktion durchführt, und es gibt keine weitere Kontrolle, bevor das passiert. Das bedeutet, dass es unerlässlich ist, Governance-Verfahren einzurichten, um sicherzustellen, dass wichtige finanzielle Transaktionen rechtmäßig sind und auf das erwartete Konto gehen. Die Einbindung mehrerer Personen in diesen Entscheidungsprozess kann für zusätzlichen Schutz sorgen. Das könnte die Transaktionen zwar verlangsamen, aber eine geringfügige Verzögerung des Geschäfts, um den ordnungsgemäßen Prozess zu befolgen, ist besser als der Verlust großer Geldsummen durch Cyberkriminelle.

Der lange Marsch zur Cybersicherheit

Wenn es um die Absicherung von Cloud-Diensten, E-Mails und des gesamten Netzwerks geht, gibt es Schritte, die Informationssicherheitsteams unternehmen können, um Benutzer – und das Netzwerk – vor den meisten Cyberangriffen zu schützen.

Erstens verhindert die schnellstmögliche Anwendung von Sicherheits-Patches, dass Cyber-Kriminelle bekannte Schwachstellen in der Software ausnutzen, um in Netzwerke einzudringen oder sich darin zu bewegen, und sollte daher ein Grundpfeiler der Cybersicherheitsstrategie für jedes Unternehmen in jedem Sektor sein.

Die Einführung der Multi-Faktor-Authentifizierung (MFA) kann auch ein bedeutendes Hindernis für Cyberangriffe darstellen, da sie bedeutet, dass ein Hacker – selbst wenn er einen legitimen Benutzernamen und ein Passwort hat – nicht in der Lage ist, die Kontrolle über einen Cloud-Dienst oder ein E-Mail-Konto zu übernehmen, ohne dass der Benutzer dies genehmigt. Nach Angaben von Microsoft werden durch die Verwendung von MFA über 99,9 % der Versuche, sich in Konten einzuhacken, verhindert.

Darüber hinaus wird es schwieriger, in Konten einzubrechen, wenn man die Benutzer dazu anhält, einfache Passwörter nicht immer wieder zu verwenden. Die Verwendung eines Passwortmanagers kann dabei helfen.

Für viele Menschen mögen diese Maßnahmen wie Grundlagen der Cybersicherheit klingen – aber um sicherzustellen, dass Menschen und Netzwerke vor Cyberangriffen sicher sind, müssen die Grundlagen vor allem anderen geschaffen werden.

„In gewisser Weise besteht zumindest ein gewisser Optimismus, denn die Lösung ist bekannt und eigentlich sehr einfach – es geht um Sicherheitsgrundlagen“, sagt Collier. „Ein großer Teil dieser Arbeit besteht darin, sicherzustellen, dass die alltäglichen Probleme gelöst werden.