Um ein effektives Sicherheitsniveau zu gewährleisten, ist eine ganzheitliche IT- und Datensicherheitsstrategie notwendig, inklusive privater bzw. im privaten Umfeld genutzte Hardware. Nachfolgend werden wesentliche Handlungsfelder aufgezeigt, die berücksichtigt werden sollten, um ein Mindestmaß an Sicherheit für die Organisation zu gewährleisten.
1) Neue Realität erkennen und verstehen: Erhöhte Bedrohungslage.
Sicherheitsbehörden (5) warnen vor der erhöhten Bedrohungslage und davor, dass die Cyberrisiken über Geschäftspartner und Dritte zunehmen. Um resilient zu bleiben, ist es wichtig, die Position des Unternehmens im Cyber-Ökosystem sowie die potenziellen Angriffsvektoren zu identifizieren und zu bewerten. Ein häufiges Ziel sind dabei Kommunikationsdaten mit externen Empfängern.
Organisationen müssen ihre Sicherheitsmaßnahmen der gegebenen Situation anpassen und u. a. auf die neue Arbeitssituation im Homeoffice ausweiten. Hacker zielen weiterhin auf Kritische Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie die Bereiche Gesundheit, das Finanz- und Versicherungswesen und staatliche Verwaltungseinrichtungen. Infrastrukturen sollen nicht nur sabotiert, sondern auch vertrauliche Daten gestohlen und ggfs. Lösegelder erpresst werden.
Von Februar bis April 2020 nahmen beispielsweise die Cyberangriffe auf den Finanzsektor inmitten der SARS-CoV-2 Verbreitung um 238 Prozent zu. Neben der enormen Zunahme von Cyberangriffen, gaben die meisten befragten Finanzinstituten an, dass Cyberkriminelle ausgefeilter geworden sind und gezielte Social-Engineering-Angriffe und fortschrittliche Taktiken, Techniken und Verfahren einsetzen, um böswillige/schädliche Aktivitäten zu verbergen. Diese Kriminellen nutzen das Vertrauen von Endverbraucherinnen und Endverbrauchern sowie Fehler und Schwächen der Prozesse und Technologie aus, um sich Informationen für den unberechtigten Zugriff zu vertraulichen Informationen zu verschaffen. Â
Auch wenn die Anzahl der Angriffe stetig steigt sind die Angriffsmuster gleichgeblieben.
Trojaner wie Kryptik und Schadprogramme wie Emotet gehören weiterhin zu den Top-Angriffen in verschiedenen Sektoren, einschließlich der Finanzbranche (6). Ausgeklügelte, hybride Angriffe, wie die toxische Mischung aus Social Engineering, Emotet, Trickbot und Ryuk-Ransomware, bilden nur die Spitze des Eisbergs der Bedrohungslage im Cyberraum. Im Fokus der Angriffe stehen nicht nur die Infrastrukturen und Technik, sondern insbesondere auch die Beschäftigten. Ziel sind Datendiebstahl, Industriespionage oder Sabotage.
Die geänderte Arbeitsweise hat die Angriffsvektoren erhöht, da nun u. a. auch Teile der privaten Infrastruktur verstärkt genutzt werden. Die Nutzung privater Endgeräte für Unternehmenszwecke erfolgt meist unkontrolliert. Vertrauliche und unternehmenskritische Daten werden auf privaten Endgeräten geteilt und abgelegt. Das heimische WLAN ist dabei nicht immer mit einem starken Passwort gesichert. Dabei werden die Risiken nicht angemessen gesteuert und überwacht.
Die Sicherheitsmaßnahmen sollten insbesondere folgende Dinge im Fokus haben:
- Die kritischen Prozesse und Systeme sowie Informationen müssen identifiziert und besonders geschützt werden vor unberechtigten Zugriffen und ungewollter Veränderung.
- Relevante Services und Daten müssen stets verfügbar sein. Im Rahmen einer Business Continuity Strategie müssen relevante Handlungsfelder im Vorfeld identifiziert und Umsetzungspläne für den Ernstfall vorgehalten werden. Jeder muss im Falle des Falls wissen, was konkret zu tun ist.
- Beschäftigte müssen für Risiken sensibilisiert und trainiert werden. Machen Sie die Mitarbeiter auf eine erwartete Zunahme von Phishing-Versuchen aufmerksam.
- Unmissverständliche und verbindliche Regelungen zum Einsatz und der Nutzung der IT- und Datensicherheit sind notwendig.
- Die mobilen und Heimarbeitsplätze (Endgeräte, Zubehör und Router) sind auch ausreichend zu schützen, mit technischen und organisatorischen Maßnahmen. Der Einsatz von privaten Endgeräten (Laptops, Tablets, oder Smartphones) sollte nur in Sonderfällen und im Sinne eines Business Continuity Managements gestattet sein. Es sollten Sicherheitsrisiken evaluiert, einheitliche Regelungen kommuniziert und die Nutzungsnotwendigkeit privater mobiler Endgeräte eingeschränkt werden.
- Sicherheitsmaßnahmen sollten nicht nur effektiv, sondern auch sinnvoll und für die Beschäftigten verständlich sein.
2) Absicherung der Infrastrukturen: Sicherheit der Systeme kontinuierlich gewährleisten.
Die intensivere Nutzung des Homeoffice führte jüngst bei einer Vielzahl von Unternehmen zur spontanen Erweiterung der genutzten IT-Landschaft. Pandemiebedingte Neuerungen folgen zwar meist dem pragmatischen Ansatz der Sicherstellung der Aufgabenerfüllung, allerdings werden bei spontanen Lösungen für mobiles Arbeiten in der Regel nicht alle Anforderungen der IT-Sicherheit konsequent beleuchtet und vollständig umgesetzt.
Obwohl die Auswahl der richtigen Technologie von entscheidender Bedeutung ist, ist auch eine entsprechende Härtung und die Nutzung von verschiedenen Sicherheitsfunktionalitäten auf der Netzwerk-, Server- und Application-Ebene relevant. Die Übernahme von Hersteller-Default-Einstellungen bietet keinen ausreichenden Schutz.
Organisationen sollten zentral gesteuerte Cloud-Lösungen als Schnittstelle zwischen dem privaten Endgerät und der Unternehmensinfrastruktur implementieren, um eine Direktanbindung zu vermeiden und die Sicherheit aufrechtzuerhalten.
Durch Unachtsamkeit entstehen Fehler: Schnellere und stabile Netzanschlüsse, der Aufbau von VPN-Lösungen sowie die Anschaffung geeigneter Hardware können nur im Idealfall ad-hoc aufgebaut oder integritätssicher bewerkstelligt werden. So kann beispielsweise die Umstellung auf neue Infrastrukturen und begleitende Prozesse dazu führen, dass Schwachstellen in vorhandenen Remote-Work-Technologien unentdeckt ausgenutzt werden.
Trotz der herausfordernden Situation sollte auch bei der Einrichtung von Homeoffice-Arbeitsplätzen die IT-Sicherheit angemessen berücksichtigt werden. Idealerweise greifen Sie aus Ihrem Heimarbeitsplatz über einen kryptografisch abgesicherten Kommunikationskanal (Virtual Private Network, VPN) auf interne Ressourcen Ihres Unternehmens zu. Da VPNs rund um die Uhr verfügbar sein müssen, ist es weniger wahrscheinlich, dass diese regelmäßig mit Sicherheitsupdates und Patches auf dem neuesten Stand gehalten werden.
VPNs, Netzwerkinfrastruktur und Geräte, die zum Remote-Zugriff eingesetzt werden, müssen mit den aktuellen Sicherheitspatches und -konfigurationen versehen sein. Es sollte geprüft werden, inwieweit die VPN-Infrastruktur skalierbar und für die Massenverwendung tauglich ist. Bei verringerter Verfügbarkeit können kritische Geschäftsvorgänge beeinträchtigt werden, einschließlich der Fähigkeit des IT-Sicherheitspersonals, Sicherheitsaufgaben auszuführen.
Es ist schwierig genug, sich intern auf eine mobile Arbeitsumgebung vorzubereiten, aber noch schwieriger, die Sicherheitsfeatures von Anbietern zu überprüfen, die von IT-Dienstleistern über Outsourcing-Unternehmen für Geschäftsprozesse bis hin zu Partnerunternehmen reichen.
Um diese Risiken zu verringern, sollten folgenden Aspekte berücksichtigt werden:
- Der Zugriff auf die Systeme und Daten sollte ausschließlich über eine entsprechende Infrastruktur bzw. ein skalierbares VPN unter Nutzung einer Multi-Faktor-Authentisierung erfolgen.
- Die eingesetzte Technik und eingekaufte Services müssen abgesichert und stets beobachtet werden. Das regelmäßige Einspielen sicherheitsrelevanter Patches und Updates, die Durchführung von Tests und die Prüfung der Sicherheitsstandards sind wichtig, um bspw. Konfigurationsabweichungen zu identifizieren und dokumentieren.
- Unzureichend getestete neue Technologien und digitale Produkte, die schnell eingesetzt werden, um die Kundenanforderungen während der Pandemie zu erfüllen, wie z. B. Chatbots für den Kundendienst und Anwendungen zur Durchführung von Videokonferenzen.
- Die Infrastruktur sollte ständig beobachtet werden, um ungewöhnliches Verhalten und Datenflüsse frühzeitig zu erkennen und zu melden. Der Zugriff auf Informationen sollte restriktiv und ausschließlich nach dem Need-to-Know-Prinzip erfolgen. Auch sollte geprüft werden, inwieweit zentrale Schutzmaßnahmen, wie z. B. eine Data Leakage Prevention (DLP) Lösung, implementiert werden sollte, um zu klassifizieren und ein Abfließen vertraulicher Daten zu erkennen.
- Datensicherungs- und Backup-Konzepte sind wichtig, um im Falle eines Datenverlusts oder -verfälschung stets auf belastbare Kopien zurückgreifen zu können. Die Trennung von der Produktivumgebung ist dabei wichtig und der Adminstratorenzugriff auf den Wirkbetrieb sollte auf das absolute Mindestmaß beschränkt sein.
3) „Das menschliche Element“: Nutzeraktivitäten als Cyberbedrohung
Die Zeiten sind vorbei, in denen die Cybersicherheit ausschließlich in der Verantwortung der IT-Abteilung liegt. Als Querschnittsaufgabe ist Cybersicherheit heute jedermanns Sache. Häufiger Schwachpunkt in der operativen Sicherheit bilden die Nutzer bzw. Endverbraucher. Eine große Anzahl erfolgreicher Cyberangriffe wird durch menschliches Versagen verursacht. Heute sind Phishing-Attacken der gängigste soziale Angriff.
Mit Blick auf bestehende präventive Mechanismen kann Sicherheitssoftware allein keine Lösung sein. Beschäftigte sollten durch Schulungen auch insbesondere für die Gefahren von nicht-technischen Angriffen sensibilisiert werden.
Die Nutzer sind zu Hause wahrscheinlich sogar anfälliger für Cyber-Angriffe aus dem Bereich „Social Engineering“. Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, so dass die angerufene Person Login-Daten preisgibt.
Die gängigsten Bedrohungsszenarien für Beschäftigte sind:
- Phishing-Angriffe: Eine Form des Social-Engineering-Angriffs, bei dem sich ein Angreifer als vertrauenswürdigen Absender ausgibt und den Empfänger auffordert, Malware-Anhänge zu öffnen oder kompromittierte URLs zu besuchen. In der Vergangenheit erfolgten viele Phishing-Angriffe in Form von Massennachrichten. Heutige Attacken sind personalisiert.
- Spoofing: Die häufigsten Arten des Spoofings sind Displaynamen-Spoofing und Cousin-Domains. Beim Displaynamen-Spoofing, auch Namensverschleierung genannt, verwendet der Phisher einen legitimen Unternehmensnamen als E-Mail-Absender. Eine Cousin-Domain gleicht äußerlich einer legitimen E-Mail-Adresse, wurde jedoch leicht verändert. (7)
- Man-in-the-Middle (MITM)-Angriffe: Ist eine Angriffsform, bei dem ein Angreifer unbemerkt zwischen zwei Kommunikationspartnern steht und Datenverkehr abfängt. Dabei haben Cyberkriminelle meist vollständige Kontrolle über den Netzverkehr der Netzwerkteilnehmer und kann die Informationen nach Belieben einsehen und verfälschen. (8)
- Business-E-Mail Compromise (BEC)-Angriffe: Eine gezielte Form des E-Mail-Betrugs, der Personen im Unternehmen nachahmt, um betrügerische Überweisungen zu erbitten, Unternehmensdaten, Anmeldedaten und andere vertrauliche Daten zu stehlen.
- Malware-Angriffe: Zielen darauf ab, mit Hilfe von Schadprogramme Endgeräte von Betroffenen zu beschädigen, auszuspionieren oder zu bestehlen. Zu den verschiedenen Arten von Malware gehören u.a. Trojaner, Ransomware, Spyware, aber auch Crypto-Miner. Ransomware wird unter anderem via E-Mail-Anhänge, infizierte Programme und kompromittierte Websites verteilt. (9)
Um gängige Angriffsszenarien im Rahmen neuer Arbeitsmodelle erfolgreich abzuwehren, muss eine Organisation auch Resilienz gegen nicht-technische Angriffe entwickeln. Maßgeblich ist dabei die Sensibilisierung der Beschäftigten und die Unterstützung durch einfache Regelungen. Nachfolgende Maßnahmen sollten umgesetzt werden:Â
- Einfache Maßnahmen (z. B. Durchführung regelmäßiger Backups), die sofort umgesetzt werden können und direkte Wirkung haben, sollten zuerst bearbeitet werden.
- Alle Angriffsvektoren in der Organisation sollten gesamthaft analysiert werden und die relevanten Bereiche und Themen, wo Vorgaben und Abläufe den Beschäftigten helfen, sollten identifiziert werden.
- Bestehende Regelungen sollten überprüft und ggfs. überarbeitet werden. Die Regelungen müssen in Zielsetzung und Umsetzung verständlich sein.
- Zielgruppenspezifische Angebote sollten ausgearbeitet werden, um die Vorgaben und Abläufe allen auf einfache Art und Weise näher zu bringen, und um für die Zielsetzung der Maßnahmen zu werben.
- Eine offene Feedbackkultur sollte etabliert werden. Führungskräfte und Beschäftigte sollten aktiv in die Etablierung der Sicherheitsmaßnahmen involviert werden, um ein Höchstmaß an Akzeptanz zu erlangen.
- Während strukturierte jährliche oder halbjährliche Schulungen zu empfehlen sind, sollten Beschäftigte auch spontanes Training erhalten, wenn ein Angriff erfolgt ist. Personen müssen über Risiken informiert und an ihre Rolle bei der wirksamen Verhinderung, Erkennung, Reaktion auf und Wiederherstellung von Cyber-Angriffen erinnert werden.