Sechs gängige Fehlannahmen zur Cybersecurity

Sich mit Cybersecurity zu beschäftigen, ist in manchen Unternehmen eine eher ungeliebte Aufgabe. Dabei haben IT-­Administratoren in vielen Fällen schon eine recht gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, damit Sicherheitslücken identifiziert und abgemildert oder gar ausgemerzt werden können. Dies heisst aber noch nicht, dass das ­Administrationsteam beim Mana­gement mit seinen Vorschlägen auch durchdringt. Hinderlich sind vor allem sechs Fehlannahmen.

Irrtum 1: Es trifft sowieso nur die anderen

«Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.» Diese Einschätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die überhaupt nicht zielgerichtet waren. Anders gesagt: Die meisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Giesskannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die Mail mit dem Phishing-Link zum ­Erfolg führt.

Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen ­Angriffen auf Dauer standzuhalten. Den Angreifern und Angreiferinnen spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner be­ziehungsweise Ransomware erpressen wollen. Hier ist der Spray-and-Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.

Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der verfügbaren Arbeitskraft, denn bei einer ideologisch begründeten Attacke spielen monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day-Angriffe zum Einsatz, die noch nicht öffentlich bekannte Sicherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielen der Angreifer oder die Angreiferin gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich verbrannt, weil Softwarehersteller dann entsprechende Sicherheitsupdates ausrollen.

Irrtum 2: Angriffe aus der Supply-Chain spielen keine grosse Rolle

Tatsächlich nimmt die Zahl von Supply-Chain-Angriffen zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheits­lücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek.

Log4j dient dazu, Protokollierungsinformationen aus Software, Anwendungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.

Generell ist auch Open-Source-Software nicht vor Sicherheitslücken gefeit. So gelang es beispielsweise einem Professor der University of Minnesota im Kontext einer Studie, Schwachstellen in den Linux-Kernel einzuschleusen. Dazu gaben er und einer seiner Studenten vor, Bug-Fixes für die Linux-Community bereit­zustellen. Ziel der umstrittenen Aktion war es, zu demonstrieren, wie angreifbar auch Open-Source-Projekte sein ­kön­nen. Eine Sicherheitslücke im Linux-­Kernel ist potenziell so gravierend, weil ­Linux sehr weit verbreitet ist. Es findet sich heute in Servern und Smartphones und auch in verschiedensten Embedded Devices – von Autos über Smart Homes bis zu ­Maschinen.

Mit der zunehmenden Digitalisierung ­unserer Wirtschaft und unserer Lebenswelt können heute eben auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Für vernetzte Geräte im Smart-Home-Bereich besteht dasselbe Risiko. Auch sie stellen potenzielle Angriffspunkte dar – ein gravierendes Reputationsrisiko für den Gerätehersteller oder -vertreiber. Im pri­vaten wie im kommerziellen Raum ist darum ein viel bewussterer Umgang mit installierter Software und angeschafften Ge­räten erforderlich.

Im produzierenden Gewerbe beispielsweise, wo eine Maschine einen Lebens­zyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Massnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option noch, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Rest­risiko zu akzeptieren. Grundsätzlich gilt: Es wäre für ein Unternehmen fahrlässig, wollte es die Verantwortung für seine ­Cybersicherheit gänzlich auf die Zulieferer abwälzen. Bedrohungen aus der Supply-Chain heraus sind real und heute alltäglich. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risiko­bewusstsein, sondern auch Experten, die sie dabei unterstützen, eine effektive ­Cyberresilienz zu etablieren.

Irrtum 3: Unsere Mitarbeiter ­haben schon genügend Sicherheitsbewusstsein

Noch viel zu oft stellt ein unbedachtes Verhalten der Mitarbeiter für Cyber­kriminelle ein bequemes Einfallstor ins Unternehmen dar. Ein entsprechendes Risikobewusstsein zu schaffen und wach­zuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, ­werden es die Beschäftigten konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder ­unbedacht auf einen dubiosen Link in ­einer E Mail zu klicken.

Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter in der Per­sonalabteilung etwa öffnen beinahe täglich ­Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rech­nungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Massnahmen gegen solche Angriffe.

Aber ebenso wichtig ist es, die Wahrscheinlichkeit erfolgreicher Phishing-Versuche zu verringern, indem ein Bewusstsein für die Gefahren von Social-­Engineering-Angriffen ganz allgemein geschaffen wird. Social Engineering bedeutet, dass die Angreifenden Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Dabei werden ­Methoden der Humanpsychologie dazu missbraucht, Mitarbeiter zu manipulieren und sie zur Übermittlung von Informationen oder zu bestimmten Handlungen zu bewegen – wie etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber vermeintlichen Support-Mitarbeitern am Telefon.

Irrtum 4: Der Umfang dieser ­Sicherheitsprüfung wird schon ausreichen

Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyber Resilience. Wählt man dabei allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja – so heisst es dann – sowieso bald abgeschaltet oder ersetzt werden. Solange sie noch nicht abgeschaltet sind, bieten aber gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht – aber alle Dienste ausser der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so gross wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit.

Wenn Pentests wirklich aussagefähig werden sollen, dürfen sie sich nicht nur auf einen Ausschnitt der Unternehmens-IT richten. Vielmehr müssen sie holistisch angelegt sein. Denn das Ziel eines Penetration-Tests ist es nicht, dem Management bloss ein positives Gefühl in Sachen Cybersicherheit zu vermitteln – er soll wirkliche Sicherheitslücken und potenzielle Angriffsvektoren identifizieren, damit diese behoben werden können, bevor sie von kriminellen Angreifern ausgenutzt werden.

Irrtum 5: Penetration-Tests kann die IT-Abteilung nebenher übernehmen

Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn IT-Administratoren haben vor allem eines zu tun: Sie müssen dafür sorgen, dass die Systeme im Unternehmen zu­verlässig laufen. In der Regel ist das Ad­ministrationsteam mit seinen operativen Aufgaben bereits zu 100, wenn nicht gar zu 120 Prozent ausgelastet. ­Zudem verlangen Penetration-Tests ein hoch spe­zialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen liesse.

Gleichzeitig müssen die Mitarbeiter der internen IT sich klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre eigene Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen. Anders sieht dies nur aus, wenn das Unternehmen gross genug ist, um sich ein eigenes, dediziertes Red-Team – die Angreifer – für mehr oder minder kontinuierliche Pentests zu leisten. Diesem Red-Team steht dann ein dediziertes Blue-Team mit den Verteidigern gegenüber. Aber sogar ein eigenes Red-Team kann mitunter sehr von externer Unterstützung durch Ethical Hacker profitieren.

Irrtum 6: Unsere Back-ups retten uns im Notfall

Vor etwas mehr als fünf Jahren mag diese Aussage vielleicht noch zutreffend gewesen sein. Heute ist sie das nicht mehr, nicht in jedem Fall. Man muss sich vor ­Augen führen, dass die Qualität von Schadsoftware deutlich gestiegen ist. Krypto-Trojaner, die Unternehmensdaten zu Erpressungszwecken verschlüsseln, tun dies heute nicht mehr unverzüglich.

Es gibt inzwischen Ransomware, die sich zuerst in den Back-ups eines Un­ternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Back-up unbrauchbar geworden ist, macht sich der Krypto-Trojaner dann ­daran, die Daten des Unternehmens zu verschlüsseln – und die eigen­tliche Erpressung beginnt.

Darum ist es heute wichtig, Back-ups erstens mit geeigneten Schutzkonzepten vor Malware zu sichern und sie zweitens regelmässig zu prüfen. Nur auf ein Back-up, das auch tatsächlich aufsetzbar ist, ist im Notfall Verlass. Unternehmen sollten darum ihre Disaster-Recovery regelmäs­sig testen, üben und ausprobieren.

Und wenn ein Unternehmen sein Back-up aus Sicherheitsgründen verschlüsselt: Auch dieser Back-up-Schlüssel selbst ist ein möglicher Angriffspunkt, denn Cyberkriminelle können natürlich auch den Back-up-Schlüssel des Unternehmens verschlüsseln. Das Back-up wäre dann wiederum unbrauchbar, und der Erpressungsversuch durch die Verschlüsselung der Unternehmensdaten könnte beginnen. Darum ist es wichtig, dass Unternehmen ihre Krypto-Schlüssel für das Back-up ­offline aufbewahren und auch ihr ­Not­falltraining in Sachen Disaster-Recovery offline dokumentieren.

Fazit

Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich ver­laufenen Vergangenheit schliessen, dass es auch in Zukunft vor Cyberkriminalität ­sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Massnahmen eta­bliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der ­finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cyber­sicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen.