Autoren: Michael Niewöhner (links) und Daniel Querzola (rechts) sind beide Manager und Penetration-Tester bei dem Beratungsunternehmen Ventum Consulting aus München
Sich mit Cybersecurity zu beschäftigen, ist eine oft ungeliebte Aufgabe, ob in der Privatwirtschaft oder in kommunalen Betrieben. Dabei haben IT-Administratoren in vielen Fällen schon eine gute Vorstellung davon, wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, um Sicherheitslücken zu identifizieren, abzumildern oder gar auszumerzen.
Doch Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es den Verantwortlichen schwer, Mittel in ihre Cyberresilienz zu investieren, um Risiken zu reduzieren und auch in Zukunft den reibungslosen Betrieb zu gewährleisten. Wenn das Cyberrisiko systematisch unterschätzt wird, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um fünf der häufigsten Irrtümer.
Annahme 1: Es trifft sowieso nur die anderen.
"Für eine Cyberattacke sind wir gar nicht interessant genug.“ Diese Einschätzung ist nicht selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die nicht zielgerichtet waren. Diese Angriffe folgen dem Motto Spray-and-Pray: Im Gießkannenprinzip lancieren Cyberkriminelle einen Angriffsversuch ohne konkretes Ziel. Dann warten sie ab, wo etwa die Mail mit dem Phishing-Link zum Erfolg führt. Für Angreifende, die beispielsweise eine Erpressung durch Verschlüsselung von Daten per Krypto-Trojaner bzw. Ransomware planen, ist Spray-and-Pray meist am rentabelsten. Dies wiederum bedeutet: Jede Organisation ist ein potenzielles Opfer. Jüngere Beispiele sind der Energieversorger Entega und die Stadtwerke Wismar und Dillingen-Lauingen.
Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle.
Tatsächlich nimmt die Zahl der Supply-Chain-Angriffe zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Anlagen, die einer Organisation für ihre Tätigkeit zugeliefert werden, als die Angriffsvektoren. So wurde etwa eine Supermarktkette gehackt, indem die Angreifenden die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Maschinen oder Anlagen können einen Lebenszyklus von mehreren Jahrzehnten haben. Früher oder später stehen dann meist nur noch mitigierende Maßnahmen offen, um Sicherheitsrisiken zu reduzieren. Denn die Hersteller existieren nicht mehr, oder es gibt nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option, die Anlage aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Bedrohungen aus der Supply Chain heraus sind sehr real und heute alltäglich.
Annahme 3: Unsere Mitarbeitenden haben schon genügend Sicherheitsbewusstsein.
Noch viel zu oft stellt das Verhalten von Mitarbeitern und Mitarbeiterinnen für Cyberkriminelle ein bequemes Einfallstor dar. Manchmal ergibt sich das Gefahrenpotenzial auch unmittelbar aus der täglichen Arbeit. Mitarbeitende in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält. Organisationen brauchen natürlich technische Maßnahmen gegen solche Angriffe. Ebenso ist aber auch ein Bewusstsein für die Risken von Social-Engineering-Angriffen allgemein nötig. Social Engineering bedeutet, dass Angreifende Täuschung anwenden, um Mitarbeiter und Mitarbeiterinnen so zu manipulieren, dass sie Informationen übermitteln oder bestimmte Handlungen ausführen – etwa auf den Phishing-Link klicken oder ihr Passwort gegenüber einem vermeintlichen Support-Mitarbeitenden am Telefon nennen.
Annahme 4: Unser Sicherheitstest wird schon ausreichen.
Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyberresilienz. Wählt man allerdings den Scope des Pentests zu klein, entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen und bald abgeschaltet werden sollen – gerade diese Altsysteme bieten oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine Webanwendung betreibt, läuft auch noch ein FTP-Dienst. Der ermöglicht die vollständige Kompromittierung des Servers – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Darum ist es so wichtig, Pentests nicht nur auf einen Ausschnitt der IT zu richten, sondern sie holistisch anzulegen. Zudem ist ein aussagefähiger Pentest mit Inhouse-Ressourcen praktisch unmöglich, schon weil der eigenen IT-Abteilung Know-how und Zeit dafür fehlen.
Annahme 5: Unsere Backups retten uns im Notfall.
Das muss heute nicht mehr so sein. Es gibt inzwischen Ransomware, die sich zuerst in den Backups einer Organisation einnistet, um sie nach und nach zu zerstören. Erst Monate später, wenn das Backup unbrauchbar geworden ist, beginnt der Krypto-Trojaner, die Daten zu verschlüsseln und die eigentliche Erpressung beginnt. Darum sollte man Backups heute mit geeigneten Schutzkonzepten vor Malware sichern und sie auch regelmäßig prüfen: Betriebe müssen ihre Disaster Recovery testen, üben und ausprobieren. Und wenn eine Organisation ihr Backup aus Sicherheitsgründen verschlüsselt, können Cyberkriminelle natürlich auch diesen Backup-Key verschlüsseln. Darum ist es wichtig, diesen Schlüssel offline aufzubewahren und auch das Notfalltraining in Sachen Disaster Recovery offline zu dokumentieren.
Fazit
Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollten Verantwortliche aus einer glimpflich verlaufenen Vergangenheit schließen, dass sie auch in Zukunft vor Cyberkriminalität sicher seien, wäre dies vielleicht die gravierendste Fehlannahme von allen. Um ihrer IT operative Zuverlässigkeit zu verleihen, muss eine Organisation Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etablieren, aufrechterhalten und weiterentwickeln. Zumal der finanzielle Schaden im Ernstfall um ein Vielfaches schwerer wiegt als das vorausschauende Investment in Cybersicherheit. Auch in Sachen Cybersecurity gilt: Vorbeugen ist besser als heilen. (sg)
