Sich mit Cybersecurity zu beschäftigen, ist in manchen Unternehmen eine eher ungeliebte Aufgabe. Dabei haben IT-Administratoren in vielen Fällen schon eine recht gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, damit Sicherheitslücken identifiziert und abgemildert oder gar ausgemerzt werden können. Dies heisst aber noch nicht, dass das Administrationsteam beim Management mit seinen Vorschlägen auch durchdringt. Hinderlich sind vor allem sechs Fehlannahmen.
Irrtum 1: Es trifft sowieso nur die anderen
«Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.» Diese Einschätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die überhaupt nicht zielgerichtet waren. Anders gesagt: Die meisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Giesskannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die Mail mit dem Phishing-Link zum Erfolg führt.
Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Den Angreifern und Angreiferinnen spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner beziehungsweise Ransomware erpressen wollen. Hier ist der Spray-and-Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.
Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der verfügbaren Arbeitskraft, denn bei einer ideologisch begründeten Attacke spielen monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day-Angriffe zum Einsatz, die noch nicht öffentlich bekannte Sicherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielen der Angreifer oder die Angreiferin gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich verbrannt, weil Softwarehersteller dann entsprechende Sicherheitsupdates ausrollen.
Irrtum 2: Angriffe aus der Supply-Chain spielen keine grosse Rolle
Tatsächlich nimmt die Zahl von Supply-Chain-Angriffen zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek.
Log4j dient dazu, Protokollierungsinformationen aus Software, Anwendungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.
Generell ist auch Open-Source-Software nicht vor Sicherheitslücken gefeit. So gelang es beispielsweise einem Professor der University of Minnesota im Kontext einer Studie, Schwachstellen in den Linux-Kernel einzuschleusen. Dazu gaben er und einer seiner Studenten vor, Bug-Fixes für die Linux-Community bereitzustellen. Ziel der umstrittenen Aktion war es, zu demonstrieren, wie angreifbar auch Open-Source-Projekte sein können. Eine Sicherheitslücke im Linux-Kernel ist potenziell so gravierend, weil Linux sehr weit verbreitet ist. Es findet sich heute in Servern und Smartphones und auch in verschiedensten Embedded Devices – von Autos über Smart Homes bis zu Maschinen.
Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute eben auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Für vernetzte Geräte im Smart-Home-Bereich besteht dasselbe Risiko. Auch sie stellen potenzielle Angriffspunkte dar – ein gravierendes Reputationsrisiko für den Gerätehersteller oder -vertreiber. Im privaten wie im kommerziellen Raum ist darum ein viel bewussterer Umgang mit installierter Software und angeschafften Geräten erforderlich.
Im produzierenden Gewerbe beispielsweise, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Massnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option noch, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Es wäre für ein Unternehmen fahrlässig, wollte es die Verantwortung für seine Cybersicherheit gänzlich auf die Zulieferer abwälzen. Bedrohungen aus der Supply-Chain heraus sind real und heute alltäglich. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.
Irrtum 3: Unsere Mitarbeiter haben schon genügend Sicherheitsbewusstsein
Noch viel zu oft stellt ein unbedachtes Verhalten der Mitarbeiter für Cyberkriminelle ein bequemes Einfallstor ins Unternehmen dar. Ein entsprechendes Risikobewusstsein zu schaffen und wachzuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden es die Beschäftigten konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer E Mail zu klicken.
Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Massnahmen gegen solche Angriffe.
Aber ebenso wichtig ist es, die Wahrscheinlichkeit erfolgreicher Phishing-Versuche zu verringern, indem ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein geschaffen wird. Social Engineering bedeutet, dass die Angreifenden Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Dabei werden Methoden der Humanpsychologie dazu missbraucht, Mitarbeiter zu manipulieren und sie zur Übermittlung von Informationen oder zu bestimmten Handlungen zu bewegen – wie etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber vermeintlichen Support-Mitarbeitern am Telefon.