Jedes dritte Schweizer KMU war 2021 von einem Cyberangriff betroffen, so eine Studie von Digitalswitzerland. Das sind elf Prozent mehr als im Vorjahr. Längst machen Hacker auch nicht mehr vor kleineren Unternehmen halt. Sie streuen ihre Aktionen breit und greifen überall dort an, wo es mit Erpressung Geld zu verdienen gibt – auch in der Schweiz. Vor allem Ransomware-Attacken liegen nach wie vor im Trend. Im Vergleich zum Vorjahr hat sich die Zahl der gemeldeten Fälle fast verdreifacht, so der Halbjahresbericht des Nationalen Zentrums für Cybersicherheit (NCSC). Erst vor Kurzem wurde zum Beispiel die Immobiliengruppe DBS in der Westschweiz durch Ransomware lahmgelegt. Auch das Treuhandbüro GRF Société fiduciaire in Morges VD war Opfer einer Cyberattacke.
Sicherheit prüfen
Zwar sind Schweizer KMU mit ihren technischen Security-Vorkehrungen schon relativ weit fortgeschritten, so die Digitalswitzerland-Studie. Erheblichen Nachholbedarf gibt es jedoch noch bei organisatorischen Massnahmen, da selbst die beste Technik nicht automatisch bedeutet, dass man auch ausreichend geschützt ist. Denn Schwachstellen können überall lauern. Aus diesem Grund ist es wichtig, die eigene Sicherheitsaufstellung zu hinterfragen und mögliche Lücken zu identifizieren. Regelmässige automatisierte Schwachstellenscans sind dafür hilfreich, gehen aber oft nicht tief genug.
Daher empfehlen sich zusätzlich Security Assessments, bei denen Spezialisten die Systeme, Applikationen und Netzwerke auf Herz und Nieren prüfen. Sie gehen dabei wie reale Angreifer vor und wenden neueste Hacking-Tricks an. Man nennt dies auch Penetration Testing, kurz Pentesting. Solche Security Assessments ermöglichen es, versteckte Schwachstellen aufzudecken und komplexe Angriffsszenarien aufzuzeigen. Am Ende erhalten Unternehmen einen detaillierten Bericht, der ihre Sicherheitslücken aufzeigt und Gegenmassnahmen empfiehlt.
Die grössten Risiken
Cyberkriminelle wählen oft den einfachsten Weg und greifen bevorzugt dort an, wo es mit wenig Aufwand viel zu holen gibt. Besonders gefährdet sind daher IT-Umgebungen, in denen sich Sicherheitslücken befinden. So haben viele Unternehmen während der Corona-Pandemie zum Beispiel im Eiltempo Homeoffice-Arbeitsplätze eingerichtet. Für eine sorgfältige Absicherung blieb dabei meist wenig Zeit.
Umso wichtiger ist es jetzt, genauer hinzusehen und die Infrastruktur überprüfen zu lassen. Weiter empfiehlt es sich für Unternehmen, auch ihre ERP-Umgebung (Enterprise Resource Planning) zu testen. Die bekannten und weitverbreiteten ERP-Anbieter legen selbst bereits ein hohes Sicherheitslevel vor.
Risiken lauern jedoch hinter den zahlreichen Schnittstellen zu den Umsystemen, welche angebunden werden. Da ERP-Projekte meist komplex sind und unter Zeitdruck erfolgen, schleichen sich schnell gefährliche Fehlkonfigurationen ein. Cyberkriminelle suchen gezielt nach solchen Schwachstellen und nutzen sie aus. Angriffe auf das ERP sind besonders heikel, weil hier jede Menge sensible Daten liegen.
Den passenden Ansatz wählen
Um die IT-Sicherheit im Unternehmen zu erhöhen, kommt oft Pentesting zum Einsatz. Grundsätzlich sind hier drei verschiedene Vorgehensweisen möglich: Whitebox, Greybox und Blackbox. Sie unterscheiden sich darin, wie viele Informationen zu den Zielsystemen im Vorfeld zur Verfügung stehen. Der Whitebox-Ansatz entspricht im Wesentlichen einem Audit: Hier erhalten die Pentester vollen Zugriff auf Systeme, Dokumentation und Quellcode. Das ist zum Beispiel empfehlenswert, um Applikationen in Bezug auf Aufbau, Framework, Architektur, interne Struktur und Design zu testen.
Demgegenüber steht der Blackbox-Ansatz, bei dem die Pentester komplett im Dunkeln starten und sich alles selbst erhacken müssen. Diese Vorgehensweise ist zwar am realistischsten, aber nicht unbedingt zielführend. Denn solange Menschen Fehler machen, wird es einem Angreifer früher oder später gelingen, in ein Netzwerk einzudringen. Die entscheidende Frage lautet: Wie weit kann er sich von dort aus bewegen? Aus diesem Grund empfiehlt sich daher meist ein Greybox-Ansatz. Die Pentester erhalten hier ausgewählte Informationen, sodass sie zügig voranschreiten und innerhalb des gesteckten Rahmens möglichst viele Schwachstellen aufdecken können.
Das «Red Teaming»
Viele Unternehmen fragen Security Provider gezielt nach Red Teaming. Aber was versteht man eigentlich darunter? Der Begriff Red Team bezeichnet grundsätzlich die Security-Spezialisten, die die Rolle der Angreifer einnehmen. Demgegenüber steht das Blue Team, das für die Verteidigung zuständig ist. Bei einem Red-Teaming-Projekt handelt es sich um ein umfangreiches Security Assessment mit Blackbox-Ansatz, das sich in der Regel über mehrere Monate erstreckt. Zunächst werden Ziele vereinbart, etwa Administrator-Rechte zu erlangen, um die Domäne übernehmen zu können. Es kann jedoch auch ein physisches Ziel definiert werden, wie einen USB-Stick an einem Rechner im Bürogebäude einzustecken oder sich Zutritt in ein Datencenter des Kunden zu verschaffen.
Anschliessend versuchen die Cyber-Security-Spezialisten, diese Ziele zu erreichen, wobei sie dabei wie echte Cyberkriminelle vorgehen – allerdings ohne Risiko für den Kunden und nur innerhalb der definierten Spielregeln. Da ein Red-Teaming-Projekt aufwendig und teuer ist, lohnt es sich vorwiegend für grössere Unternehmen. Um ein vertretbares Kosten-Nutzen-Verhältnis zu erreichen, kann es auch beim Red Teaming sinnvoll sein, nach einer gewissen Zeit ausgewählte Informationen preiszugeben.
Die Kontrolle behalten
Der Erfolg eines Security Assessments steht und fällt mit der Expertise des Dienstleisters. Daher lohnt es sich, bei der Wahl des Anbieters genau hinzusehen. Er sollte über spezialisierte Cyber-Security-Spezialisten verfügen, die sich in der Hacking-Community auskennen und für ihre Arbeit brennen. Zertifizierungen nach ISO 27001 und CREST sowie namhafte Referenzen schaffen zudem Vertrauen.
Hat man den passenden Partner gefunden, werden zunächst die Rahmenbedingungen für ein Projekt festgelegt: Was sollen die Pentester prüfen? Wie lange soll das Projekt dauern? Was ist erlaubt und was nicht? Welche Informationen erhalten die Pentester vorab? Je nach gewähltem Ansatz müssen Unternehmen vor Projektbeginn noch Zugangsdaten oder einen konfigurierten Mitarbeiter-Rechner zur Verfügung stellen. Die Pentester halten sich strikt an die vereinbarten Spielregeln und dokumentieren jeden ihrer Schritte detailliert. So behält der Kunde stets die Kontrolle und braucht keinen Schaden durch das Security Assessment zu befürchten.
Fazit
Hundertprozentige Sicherheit vor Cyberangriffen kann es nie geben. Unternehmen können es Hackern aber so schwer wie möglich machen, erfolgreich zu sein. Security Assessments helfen dabei, passgenaue Massnahmen zu ergreifen. Neben ihren Schutzvorkehrungen sollten Unternehmen aber auch ihre Fähigkeiten prüfen, bei einem Cybervorfall schnell zu reagieren. Sie sollten einen Notfallplan erarbeiten und entsprechende Prozesse einstudieren. Denn wer gut vorbereitet ist, spart im Ernstfall wertvolle Zeit und kann Schaden erheblich minimieren.
