So steht es um die IT-Sicherheit in Österreichs Unternehmen
Cyberangriffe stellen eine immer größere Bedrohung für Unternehmen dar. Wenngleich diese Tatsache vielerorts fast schon als Binsenweisheit belächelt wird, dürfte angesichts des tatsächlichen Ausmaßes der Bedrohungslage selbst hartgesottenen IT-Entscheidern der Atem stocken. Einer Schätzung des Weltwirtschaftsforums zufolge belief sich der durch Cybercrime verursachte Schaden im Jahr 2021 auf rund fünf Billionen Euro. Und falls Sie sich jetzt fragen, ob der Autor hier vielleicht einem gerne begangenen Übersetzungsfehler vom Englischen ins Deutsche aufgesessen ist – nein, es handelt sich tatsächlich um Billionen. Fünf Billionen Euro!
Was die Übersetzung anbelangt, kann also Entwarnung gegeben werden, beim eigentlichen Thema dieses Blogs hingegen bleibt die Lage prekär. Denn bereits vor drei Jahren hat das Bundeskriminalamt im Rahmen seiner F-Secure Studie Österreich als eines der beliebtesten Ziele für Cyberangriffe ausgemacht, mit mehr als 25.000 Vorfällen pro Tag. Gezielte Attacken treffen dabei insbesondere die Fertigungsindustrie, Maschinenbau- und Technologie-Unternehmen sowie den Finanz- und Gesundheitssektor (CrowdStrike, Global Threat Report 2021).
Inhalt
Die größten Sicherheitsrisiken in Unternehmen
Mangelhafte IT-Hygiene ist (k)eine Kostenfrage
Potenzielle Verluste - Womit Betroffene nach einem erfolgreichen Angriff rechnen müssen
Incident Response im Schadensfall
Vorbeugende Schutzmaßnahmen vs. Incident Response
Kommende Bedrohungen für die betriebliche IT-Sicherheit
Fazit
Die größten Sicherheitsrisiken in Unternehmen
Wenngleich die Auswirkungen eines erfolgreichen Angriffs oft sehr unterschiedlich ausfallen, sind die Einfallstore für Cyber-Kriminelle meist recht homogen. Hier lassen sich drei wesentliche Schwachstellen identifizieren, die man auch unter “mangelnde IT-Hygiene” zusammenfassen könnte.
1. Fehlender Infrastruktur-Überblick
Vielen Unternehmen fehlt schlicht und einfach das Wissen, welche Geräte tatsächlich Teil ihrer Infrastruktur sind, weil keine Tools verwendet werden, die über neu hinzugekommene Devices Auskunft geben. Wir sprechen also noch nicht einmal davon, mittels geeigneter Maßnahmen nicht-autorisierte Geräte effektiv von den betrieblichen Systemen fernhalten zu können, sondern rein von der Kenntnis ihrer Existenz sowie der auf diesen Geräten verwendeten Software. Es erzeugt daher höchstens ein falsches Sicherheitsgefühl, wenn betriebliche Geräte mit den zur Erkennung und Bekämpfung von Schadsoftware geeigneten Programmen ausgestattet sind, sich aber gleichzeitig Mitarbeiter*innen unbemerkt mit ihrem ungeschützten Privatlaptop ins Unternehmensnetz hängen können.
2. Überschießende User-Berechtigungen
Wenn Mitarbeiter*innen in Buchhaltung, Vertrieb oder Marketing über domänenweite oder zumindest lokale Admin-Rechte verfügen, ist das im besten Fall komplett unnötig und im schlimmsten Fall ein Super-GAU für die IT-Security. Denn wenn eine Schadsoftware einmal den Weg auf einen Rechner gefunden hat, kann sie dank zur Verfügung stehender Admin-Rechte maximalen Schaden im gesamten Unternehmensnetz anrichten. Dennoch vernachlässigen viele Unternehmen die Möglichkeit, ihre User-Privilegien nach dem Least Privilege Prinzip zu gestalten und Mitarbeiter*innen immer nur genau jene Berechtigungen zu verleihen, die zur Erfüllung ihrer Arbeiten notwendig sind. Im betrieblichen Idealfall sollten daher nur fachkundige IT-Administrator*innen zur Installation neuer Software auf Geräten berechtigt sein und auch das nur für den jeweils erforderlichen Zeitraum.
3. Vernachlässigte Security-Standards bei der User-Authentifizierung
Über die Authentifizierung schützen Organisationen ihre Netzwerke, indem nur berechtigte Personen Zugriff auf geschützte Ressourcen erhalten. Dabei verlassen sich auch heute noch zu viele Unternehmen auf veraltete Standards, in der Regel eine Kombination aus Username bzw. betrieblicher E-Mail-Adresse und Passwort. Von dieser Methode ist mittlerweile jedoch dringend abzuraten, da Internetkriminelle mittels Phishings, also über gefälschte Mails mit Links zu vorab präparierten Websites, relativ einfach an die begehrten Zugangsdaten gelangen können. Insbesondere im betrieblichen Kontext sollte man daher auf eine Multifaktor- oder Zweifaktor-Authentifizierung setzen, im Zuge derer - beispielsweise über eine App am Smartphone mit Hilfe eines eigenen und einfach zu verwendenden FIDO2 Keys – dem Identifikationsprozess eine zusätzliche Stufe hinzugefügt wird und damit eine weitere Hürde für Cyberkriminelle.
Mangelhafte IT-Hygiene ist (k)eine Kostenfrage
Bei der Frage nach dem Grund für vernachlässigte IT-Hygiene wird sehr oft der finanzielle Aspekt in den Vordergrund gerückt. Bei genauerer Betrachtung wird jedoch rasch deutlich, dass viele Security-Basics nicht sehr teuer in der Umsetzung sind und in den meisten Fällen sogar nahezu kostenneutral durchführbar. Vielmehr ist es eher eine Bewusstseinsfrage, wenn es um die Implementierung folgender Schutzmechanismen geht und eine Frage des Aufwands, diese auch seinen Mitarbeiter*innen zu vermitteln:
- Regelmäßige Kontrolle von User-Berechtigungen und System-Konfigurationen
- Befristung der Gültigkeit von Passwörtern
- Einrichtung der Multifaktor-Authentifizierung bei VPN-Zugriff
Eine nicht selten zu beobachtende Wahrnehmungsverzerrung betreffend Kosten liegt aber nicht zuletzt in den geschäftlichen Interessen vieler Security-Anbieter begründet. Natürlich machen diese finanziell ein deutlich besseres Geschäft, wenn sie auf 500 Clients eine neue Anti-Malware-Lösung installieren, anstatt zuerst die Umsetzung weit günstigerer Standard-Hygienemaßnahmen anzuregen.
Dasselbe gilt für den Faktor Mensch. Security Awareness für alle Mitarbeiter*innen, die ein IT-Gerät bedienen, bringt eine deutliche Steigerung der Sicherheit. Wenn die Mitarbeiterin/der Mitarbeiter ein Phishing-Mail erkennt oder ein kompromittiertes File im Anhang nicht öffnet und damit das Unternehmen einfach durch ihre/seine Aufmerksamkeit effizient schützt, ist das natürlich weit günstiger als die Anschaffung neuer Hard- und Software zur Kompensation menschlicher Nachlässigkeit.
Potenzielle Verluste - Womit Betroffene nach einem erfolgreichen Angriff rechnen müssen
Die Schäden, mit denen man im Zuge einer erfolgreichen Cyber-Attacke rechnen muss, hängen stark davon ab, wie sehr das betroffene Unternehmen und dessen Business von der IT abhängig ist. Wir beobachten aber nun seit einiger Zeit den Trend, dass Angreifer genau wissen, welchen Schaden sie mit ihren Attacken anrichten, was insbesondere im Falle von Ransomware auf die steigende Professionalisierung der Angreifer schließen lässt. Warum ist das so? Dazu müssen wir kurz in die Perspektive des Cyberkriminellen wechseln:
Bei Ransomware, sogenannten Erpressungstrojanern, geht es Angreifern nicht darum, das Business eines Unternehmens zu zerstören, sondern darum, möglichst viel Lösegeld zu bekommen. Wenn Erpresser also ein Lösegeld in Höhe von 200.000 Euro erhalten wollen, dann werden sie dem betroffenen Unternehmen mit einem Schaden drohen, der diesen Betrag übersteigt, aber für das Unternehmen die leistbare Grenze nicht überschreitet Betrag übersteigt.
Hohe Bandbreite bei Schadenshöhe
Was tatsächlich realisierbare Schäden betrifft, gibt es schließlich eine riesige Bandbreite. Wenn etwa eine Firma aus dem produzierenden Gewerbe in Folge eines Angriffs stillsteht, bedeutet das natürlich einen Ausfall in der Lieferkette, zusätzlich vielleicht aber auch noch einen Schaden an Produktionsmaschinen. In der Metallindustrie laufen etwa Maschinen, die im Fall eines Stillstands kaputt werden. Oder es handelt sich um nicht erfüllbare Verpflichtungen gegenüber Partnerunternehmen. Zulieferer in der Automobilindustrie haben vertragliche Verpflichtungen, denen sie bei einem Stillstand ihrer Maschinen nicht nachkommen können. Hier fließen dann entsprechende Pönalforderungen in die mögliche Schadenshöhe mit ein.
Diese Szenarien fließen dann natürlich auch in die Lösegeldforderungen professioneller Angreifer mit ein. Das gehört sozusagen zum Business mit dazu, das ist “Part of the Game”. Daher sieht man Lösegeldforderungen in Höhe fünfstelliger Eurosummen ebenso wie Millionenbeträge. Wenn man so will, orientieren sich die Erpresser da ebenso am Kosten-/Nutzen-Prinzip wie ihre Opfer.
Lösegeld zahlen oder nicht?
Ob ein Unternehmen das geforderte Lösegeld zahlen sollte oder nicht, ist stets eine betriebswirtschaftliche Entscheidung, ausgehend vom individuellen Einzelfall und der Bewertung durch fachkundige IT-Expert*innen. Das ist definitiv Sache der Geschäftsführung. Wie auch immer die Entscheidung ausfällt, muss jedoch die gesamte IT-Infrastruktur restlos von jeglicher Schadsoftware gesäubert und alle Sicherheitslücken geschlossen werden. Alles andere wäre für den Erpresser eine Einladung zur Tatwiederholung, wobei die Angreifer in diesem Fall schon über die grundsätzliche Zahlungsbereitschaft des Unternehmens Bescheid wissen. Es kommt daher auf den richtigen Incident Response an.
Incident Response im Schadensfall
Im Falle eines erfolgreichen Angriffs mit Ransomware, gilt es zu analysieren, wie es zu dem Vorfall kommen konnte und ob man noch etwas dagegen tun kann, ohne zu bezahlen. Das muss der erste Schritt eines professionellen Incident Response sein, um möglichst rasch den sogenannten Root Cause, den Eintrittsvektor, zu schließen, über den der Angriff erfolgt ist. Damit einher gehen muss zudem eine Prüfung aller mit der Angriffskette verbunden Assets sowie die Einleitung entsprechender Gegenmaßnahmen, um ein weiteres Ausnutzen der Schwachstelle effektiv zu unterbinden.
In eine solche Prüfung wären unter anderem die betroffenen Geräte, Strukturelemente, Daten, User*innen und Identitäten als potenzielle, zukünftige Eintrittsvektoren einzubeziehen. Anschließend müssten diese entsprechend abgesichert, geändert und einem sorgfältigen Monitoring unterzogen werden. Treten in dessen Folge seltsame Vorgänge zutage, kann man von einem weiteren Folgeangriff ausgehen und entsprechende Gegenmaßnahmen einleiten.
In der Regel verfügen betroffene Unternehmen nicht selbst über das dafür erforderliche Know-how und die notwendigen IT-Kompetenzen. Die Zusammenarbeit mit einem Spezialisten für IT-Security ist daher dringend empfohlen, wenn es erstmal zu einem Angriff auf die betrieblichen IT-Systeme gekommen ist. Und weil es oft auch eine Rolle spielt, wie schnell notwendige Gegenmaßnahmen eingeleitet und umgesetzt werden, sollte man sich nicht erst auf die Suche nach einem Security-Spezialisten machen, wenn es schon zu einem Angriff gekommen ist. Verantwortungsbewusste Manager werden daher immer wissen, an welchen Dienstleister sie sich im Notfall wenden können.
Vorbeugende Schutzmaßnahmen vs. Incident Response
Jeder Incident Response ist ein aufwendiges Projekt mit individuellen Anforderungen, die erst vollständig klar werden, nachdem der Angriff bereits erfolgt ist. Denn vor Eintritt des jeweiligen Schadens lässt sich unmöglich sagen, wer die betroffene Firma sein wird, wie groß die Auswirkungen des Angriffs ausfallen und wie viele Personen benötigt werden, um eine vollständige Schadensanalyse durchzuführen, beziehungsweise um Überwachungsprozesse zu implementieren, die sicherstellen, dass kein weiterer Schaden entsteht. Vorab eine konkrete Aufwandsschätzung abzugeben, wäre also nicht wirklich seriös.
Aus der Erfahrung unzähliger Fälle kann man aber davon ausgehen, dass es mehrere Personen braucht, um einen Schadensfall professionell zu analysieren – je nach Größe des betroffenen Unternehmens sprechen wir hier von zwei bis fünf Spezialist*innen und einem durchgehenden Analysezeitraum von mehreren Wochen.
Schon der Incident Response für sich genommen ist also ein wochenlanger Prozess und gewöhnlich mit Kosten in Höhe eines fünfstelligen Betrages verbunden. Zahlungen wegen Produktionsausfällen und andere schadensbezogene Verpflichtungen, wie etwa Pönalen, kommen hier natürlich noch hinzu. Es wäre also definitiv ein Irrglaube, durch "Wegrationalisierung” vorbeugender Schutzmaßnahmen Kosten einsparen zu können. Genauso gut könnte man von der Abschaffung von Feuermeldern absehen, weil die Feuerwehr das Feuer im Fall eines Brandes ja ohnehin löschen kann.
Kommende Bedrohungen für die betriebliche IT-Sicherheit
Innovation ist die Grundlage jedes nachhaltigen Geschäftserfolgs. Dieser Leitsatz gilt leider nicht nur für erfolgreiche Unternehmen sondern auch für Cyberkriminelle, die laufend an der Verbesserung ihrer Angriffsmethoden arbeiten, um ein großes Stück des Kuchens abzubekommen. Daher ist es wichtig, auch potenzielle, zukünftige Bedrohungen im Auge zu behalten, um sich möglichst effektiv schützen zu können, Prozesse rechtzeitig anzupassen und Mitarbeiter*innen entsprechend weiterzubilden.
Trend 1: Ransomware as a Service
Schon seit einiger Zeit ist die Entwicklung standardisierter Angriffsmodelle bei Ransomware zu beobachten, die fast schon bequemer und einfacher zu handhaben sind als entsprechende Abwehrmodelle. Entwickler von Ransomware stellen ihre Schadprogramme anderen Leuten zur Verfügung, um eine großflächigere Verbreitung zu erzielen. Mittlerweile hat sich Ransomware as a Service regelrecht als eigenständiges Geschäftsmodell etabliert, dank dem auch technisch weniger versierte Personen Angriffe erfolgreich durchführen können.
Trend 2: Angriffsketten
Während bisherige Phishing-Versuche, das Erbeuten von Passwörtern, hauptsächlich via E-Mail unternommen wurden, ist in letzter Zeit eine Verlagerung auf Plattformen zu beobachten, die gar nichts mit dem später betroffenen Unternehmen zu tun haben. Wie vor einigen Jahren bei LinkedIn geschehen, dringen Angreifer dabei in die Datenbanken dieser Plattformen ein, entwenden dort gespeicherte Zugangsdaten ihrer User, um sich damit Zugriff auf Firmenaccounts zu verschaffen.
Selbst wenn die User also alle Empfehlungen für die Gestaltung eines sicheren Passworts erfüllen, besteht die Gefahr eines Missbrauchs insbesondere dann, wenn die Passwörter auf mehreren Accounts verwendet werden. Hier zeigt sich auch deutlich, dass die bereits weiter oben genannte Multi-Faktor-Authentifizierung auch in Zukunft als Schutzmechanismus weiter an Bedeutung gewinnen wird.
Trend 3: Social Engineering mit Deep Fakes
Mit den fortschreitenden technischen Möglichkeiten ist auch anzunehmen, dass User-gerichtete Angriffe wie Phishing und Spear Phishing eine neue Qualität annehmen werden. Hatten Opfer bisher etwa schriftliche Nachrichten von vermeintlichen Vorgesetzten per E-Mail zur sofortigen Überweisung eines bestimmten Geldbetrags bekommen, so könnten daraus in nicht allzu ferner Zukunft Anrufe mit der authentisch klingenden Stimme des Vorgesetzten werden oder sogar dessen Gesicht deutlich sichtbar am Bildschirm zu sehen sein, wenn die Zahlungsanweisungen übermittelt werden. Im Gegensatz zur reinen Anweisung per Text ist das dann für die Angestellten natürlich schon noch einmal ein intensiverer Druckfaktor.
Fazit
Cyber-Angriffe auf Unternehmen werden auch in Zukunft massiv ansteigen und das sowohl in Qualität als auch in Quantität. Security wird daher nur in einem einzigen Fall wirklich zur existenzbedrohenden Kostenfrage: wenn man nicht in sie investiert. Denn grundlegende Hygienemaßnahmen, die einem Großteil aktueller Bedrohungen vorbeugen, lassen sich mit ein wenig Engagement und Know-how meist sogar kostenneutral umsetzen.
Wer einen Schritt weiter gehen möchte, sollte die Zusammenarbeit mit einem professionellen IT-Provider mit Security-Kompetenz in Betracht ziehen. Diese bieten optimalerweise eine lückenlose Überwachung der betrieblichen IT-Systeme, beschäftigen ausreichend Spezialist*innen für einen 24/7-Betrieb und verfügen über das notwendige Wissen zum Schutz vor aktuellen Bedrohungen. Im Vergleich zum Aufbau eigener Security-Kompetenzen im erforderlichen Ausmaß ist das insbesondere für KMUs eine empfehlenswerte und ressourcenschonende Option.
Sicherheitsrisiko Mitarbeiter*in
Dieses Whitepaper beleuchtet, wo die größten Gefahren in der neuen hybriden Arbeitswelt lauern, wie Unternehmen ihre Beschäftigten für diese Risiken sensibilisieren können – und welche Maßnahmen dabei helfen, die Sicherheit am digitalen Arbeitsplatz auf die nächste Stufe zu bringen.
Jetzt teilen
Das könnte Sie auch interessieren
Ähnliche Beiträge