IT-Sicherheit

Was sind die größten Schwachstellen in Bezug auf IT-Sicherheit? 

Cyberkriminelle verschaffen sich vor allem über folgende Einfallstore Zugang zur Unternehmens-IT: 

- Verhalten der Nutzer*innen: Leichtsinn und Fahrlässigkeit, aber auch zeitlicher und sozialer Druck verleiten Mitarbeitende häufig dazu, riskante Aktionen durchzuführen. Je nach Statistik gehen 70 bis 90 Prozent aller erfolgreichen Angriffe auf menschliche Fehler zurück. Die zunehmende Verbreitung hybrider Arbeitsmodelle hat den Trend noch verstärkt. Zum einen verhalten sich viele Anwender*innen im Homeoffice leichtsinniger, zum anderen fehlt ihnen der direkte Kontakt zu Kolleg*innen und dem Support, so dass es ihnen in kritischen Situationen an Unterstützung mangelt. Dem HP Wolf Security Report „Out of Sight & Out of Mind“ zufolge haben 74 Prozent der befragten IT-Verantwortlichen beobachtet, dass Mitarbeitende in den vergangenen zwei Jahren häufiger auf Phishing-Links klickten als zuvor. Fast drei Viertel derer, die im Homeoffice bösartige Mails geöffnet haben oder dies beinahe taten, informierten die IT-Abteilung nicht über den Vorfall.  

- Zero-Day-Exploits: Schwachstellen in Software und Firmware, für die es noch keine Sicherheits-Patches gibt, stellen ebenfalls ein erhebliches Risiko dar. Gelingt es Angreifern, diese auszunutzen, ist das Unternehmen nahezu wehrlos. Die Sicherheitsexperten von Mandiant haben im vergangenen Jahr fast drei Mal so viele tatsächlich ausgenutzte Zero-Day-Exploits festgestellt wie im Jahr 2020.  

- Privileged Accounts: Konten mit erweiterten Administrationsrechten sind für Cyberkriminelle besonders wertvoll, denn sie erlauben ihnen, sich ungehindert im Firmennetz auszubreiten, Server zu übernehmen und diese umzukonfigurieren. 

- Supply-Chain-Angriffe: Bei sogenannten Lieferkettenangriffen attackieren die Hacker nicht das Unternehmen direkt, sondern die Anbieter von Software, Hardware und Services. Über ein Update werden die manipulierten Lösungen dann in die Anwenderunternehmen geschleust. Laut der europäischen Sicherheitsbehörde ENISA hat sich die Zahl der Supply-Chain-Attacken im vergangenen Jahr vervierfacht. Zu den bekanntesten Angriffen dieser Art gehören die Kompromittierung der IT-Management- und Monitoring-Plattform SolarWinds Orion sowie der IT-Management Services von Kaseya.

Tipps für IT-Sicherheit: So können sich Unternehmen schützen 

Die folgenden Tipps helfen, die Informationssicherheit im Unternehmen zu verbessern: 

- Mitarbeiter*innen schulen: Security-Awareness-Trainings sind ein wesentlicher Bestandteil jeder nachhaltigen IT-Security-Strategie. Wenn Anwender*innen wissen, auf was sie achten müssen und welche Folgen leichtsinniges Verhalten haben kann, sinkt die Gefahr erfolgreicher Einbrüche deutlich. Das Wissen und das Verhalten der Anwender*innen lässt sich zum Beispiel über ein Quiz prüfen, in dem die Teilnehmenden Phishing-Mails erkennen oder Fragen beantworten, etwa was sie mit einem gefundenen USB-Stick machen würden.  

Im Rahmen von Penetration-Tests kann auch ein Real-Life-Angriff simuliert werden. Die Mitarbeitenden bekommen dabei eine „echte“ Phishing-Mail oder finden auf dem Parkplatz einen präparierten USB-Stick. Hier muss man bei der Auswertung und beim Feedback sehr sensibel vorgehen. Allzu leicht fühlen sich die Betroffenen sonst vorgeführt. Eine gute Fehlerkultur und ein wertschätzendes Feedback sind hier ausgesprochen wichtig. 

Zusätzlich sollte der Belegschaft in Form von Life-Hacking-Events immer wieder vor Augen geführt werden, welche Folgen unbedachtes Verhalten haben kann. Regelmäßigkeit ist ohnehin eine der wichtigsten Bestandteile einer Security-Awareness-Strategie. Eine einmalige Unterweisung nutzt wenig, da die Informationen schnell vergessen werden. 

Auch Notfallpläne und Notfallübungen tragen zu mehr Sicherheit bei, wie sie etwa bei Feuer oder anderen Schadensereignissen üblich und vorgeschrieben sind. Ein gut sichtbarer Aushang mit Notfallnummern und den drei wichtigsten Schritten bei einer erkannten Cyberattacke kann Betroffenen helfen, in der Stresssituation eines erfolgreiches Angriffs Ruhe zu bewahren und die richtigen Maßnahmen zu ergreifen. 

- IT-Sicherheitsmanagement konsolidieren: IT-Abteilungen sind häufig noch in Funktionsbereiche wie Server-, Netzwerk- Storage- und Applikations-Management, Software-Entwicklung und Anwendungsbetrieb eingeteilt. Mangelnde Kommunikation zwischen diesen Silos führt nicht nur zu Leistungseinbußen und höheren Kosten, sondern erschwert auch das IT-Sicherheitsmanagement. Oft lassen sich nämlich einzelne scheinbar harmlose Ereignisse und Unregelmäßigkeiten erst dann als Bedrohung erkennen, wenn sie im Kontext gesehen werden. Unternehmen sollten daher die Informationen aus allen Systemen und Bereichen in einem Security Information and Events Management (SIEM) zusammenführen. 

- Hilfe suchen: Vor allem kleine und mittlere Unternehmen sind mit den Anforderungen einer modernen Cyberabwehr überfordert. Sie profitieren daher besonders vom Angebot an Managed Security Services. Aber auch großen Unternehmen bringt die Spezialisierung der Managed Security Service Provider Vorteile. Diese verfügen über spezialisiertes Know-how, das Anwenderunternehmen kaum selbst aufbauen oder einkaufen können. Da sie viele Kunden betreuen, können sie Skaleneffekte nutzen und so effizienter und wirtschaftlicher arbeiten.  

- Risiken minimieren: Die Frage ist heute nicht mehr, ob ein Unternehmen gehackt wird, sondern nur noch wann. Neben der Abwehr von Cyberangriffen sollten Verantwortliche für die Informationssicherheit deshalb immer auch die Schadensbegrenzung und die Schadensbehebung im Blick behalten. Zu den Maßnahmen gehören beispielsweise Backup and Restore sowie Konzepte für Disaster Recovery und Business Continuity. Die Restrisiken lassen sich dann noch über eine Cyberversicherung abdecken. Eine solche Versicherung hat zusätzlich einen direkten positiven Einfluss auf das IT-Sicherheitsniveau, denn vor Abschluss der Police wird der Reifegrad des Unternehmens eingehend geprüft. Schließen die Verantwortlichen die in diesem Audit gefundenen Sicherheitslücken, erhöht das nicht nur die IT-Sicherheit, auch die Konditionen bei der Cyberversicherung können sich verbessern.