Status-Checks zeigen, wie es um die IT-Sicherheit im Unternehmen steht

Gerade kleine und mittelständische Unternehmen fallen immer wieder globalen Attacken wie Emotet zum Opfer. Ein Grund dafür ist, dass sie immer noch zu wenig in einen ganzheitlichen IT-Schutz und in zeitgemässe Sicherheitstechnologien investieren. Ein weiterer Grund: Bei vielen Firmen sind die Netzwerke in der Regel sehr organisch gewachsen. Dabei nimmt dann auch die Komplexität zu. Die Sicherheit wächst dabei aber meist nicht mit. Das beginnt damit, dass die Netzwerke sehr flach aufgebaut sind. Das heisst, dass sich unterschiedliche Bereiche des Unternehmens in ein und demselben Netzwerk befinden – ohne eine sinnvolle Abgrenzung der Bereiche. Dies erschwert die Eingrenzung von Sicherheitsvorfällen ganz erheblich. In der Realität sorgt eine über eine Schwachstelle verbreitete Malware im Sicherheitsmanagement für enormen Schaden. Dabei kann eine Infektion mit einem Erpressungstrojaner ein Unternehmen finanziell erheblich belasten und manchmal in den Konkurs treiben, wenn alle Daten verschlüsselt und zuvor die Backups gelöscht wurden.

Typische Fehler gefährden die Unternehmenssicherheit

Immer wieder stossen externe Sicherheitsexperten auf typische Fehler. Ein Beispiel sind veraltete Versionen der Verschlüsselungsstandards SSL oder TLS. Diese bieten Angreifern die einfache Möglichkeit, die gesamte Kommunikation abzugreifen und entschlüsselt mitzulesen. Auch unsichere Secure-Shell-Dienste oder aktivierte Remote Desktop Protocols finden die Sicherheitsexperten häufiger, als ihnen lieb ist.

Ganz oder gar nicht

Unternehmen müssen das Thema IT-Sicherheit verstärkt ganzheitlich betrachten. Dazu gehört es auch, den Ist-Zustand der IT und der IT-Prozesse aus der Sicherheitsperspektive zu checken. Viele Unternehmen denken bei dieser Problemstellung an einen vollumfänglichen Penetrationstest. Allerdings muss für die richtige Interpretation der Ergebnisse schon eine hohe Reife in Bezug auf IT-Sicherheit im Unternehmen vorherrschen. Hierzu bedarf es hochqualifizierter IT-Sicherheitsfachkräfte. Für kleine und mittelständische Firmen ist ein Penetrationstest aber kaum erschwinglich. Hinzu kommt das fehlende Know-how, um entsprechende Tipps zur Verbesserung der IT-Sicherheit umzusetzen.

Sicherheitscheck zeigen Schwachstellen

Cyber-Defense-Status-Checks geben Unternehmen einen ersten realistischen Eindruck von der IT-Sicherheit ihres Netzwerks sowie konkrete Hinweise, wo Handlungsbedarf besteht. Damit lassen sich vollautomatisiert potenzielle Lücken in der Abwehr erkennen. Ergänzend wird mittels Schwachstellenscan von aussen die vorhandene Infrastruktur geprüft. Bereits dieses Security Assessment liefert meist ein deutliches Bild vom Netzwerk und von potenziellen Schwachstellen – bei gleichzeitig geringem Aufwand und niedrigen Kosten. Die Firmen erhalten eine detaillierte Auswertung und Vorschläge, um die IT-Sicherheit gezielt zu verbessern.

Wer mehr über seinen Security-Status wissen will, kann etwa mit versierten Sicherheitsexperten in den direkten Dialog treten. Anhand eines Fragebogens erheben die Analysten den Status von zentralen IT-Themen wie Authentifikation, proaktiven Sicherheitsmassnahmen oder dem Umgang mit Virenfunden. Auch hier ergeben sich Ansatzpunkte, um die IT-Sicherheit zu verbessern. Zwischen "Glauben, was man hat" und "Wissen, was man hat" existieren oft gewaltige Unterschiede.

----------

Unter Security-Experten heisst es: "Kein Backup? – Kein Mitleid!"

KMUs werden immer noch Opfer globaler Attacken wie Emotet. Wie sich Unternehmen davor schützen und erkennen können, wo und ob Handlungsbedarf besteht, erklärt Cornelia Lehle, Sales Director von G Data Schweiz. Interview: René Jaun

Angriffe durch Phishing-Mails sind schon seit Jahren ein Thema. Warum fallen Anwender noch immer so oft darauf herein?

Cornelia Lehle: Phishing-Mails sind heute immer schwerer zu erkennen. Sie werden heute längst nicht mehr im Namen angeblicher Prinzen, Diplomaten oder Geschäftsleute versendet. Sie sehen vielmehr wie ganz normale Geschäftsvorgänge aus, weil Cyberkriminelle ihre Angriffe von langer Hand planen und im Vorfeld wichtige Informationen sammeln. Darauf aufbauend passen sie dann die Phishing-Mails so an, dass Mitarbeiter diese nur schwer von legitimen Mails unterscheiden können. Aber auch die reine Neugierde treibt Menschen immer noch dazu, Links in Mails anzuklicken, wenn etwa ein Millionengewinn lockt oder ein vermeintlicher Onlineshop Luxusartikel zum Schnäppchenpreis anbietet.

Wie häufig sollten Unternehmen ihre Infrastruktur mittels Status-Checks überprüfen?

Mit einem Cyber-Defense-Status-Check erhalten Unternehmen einen ersten realistischen Eindruck von der IT-Sicherheit ihres Netzwerks sowie konkrete Hinweise, wo Handlungsbedarf besteht. Dabei handelt es sich stets um eine Momentaufnahme. Mit jedem neuen Gerät im Netzwerk, jeder Anwendung oder einem aktuellen Update verändert sich dieser Status. Nun ist aber nicht nach jedem Update ein neuer Check erforderlich. Wichtig ist vielmehr, dass Unternehmen die Empfehlungen aus dem Check umsetzen. Damit schaffen sie eine gute Basis. Wir empfehlen, den Check zu wiederholen, wenn sich grundlegende Dinge in der IT-Infrastruktur ändern wie etwa der Einsatz neuer Hardware.

Wie kann gerade ein kleines Unternehmen eine ganzheitliche Sicht auf seine IT-Sicherheit erlangen und langfristig behalten?

Gerade für KMUs ist die Absicherung gegen vermeidbare Schwachstellen ein wichtiges Thema. Denn KMUs werden immer noch Opfer globaler Cyberattacken. Dagegen können sie sich mit einem vergleichsweisen geringen Aufwand absichern. Bereits ein erstes Security Assessment liefert meist ein deutliches Bild vom Netzwerk und von potenziellen Schwachstellen – bei gleichzeitig geringem Aufwand und niedrigen Kosten. Mit einem Level-1-Test überprüfen Sicherheitsexperten vollautomatisiert potenzielle Lücken in der Abwehr und testen mittels Schwachstellenscan von aussen die vorhandene Infrastruktur. Die Firmen erhalten eine detaillierte Auswertung und Vorschläge, um die IT-Sicherheit gezielt zu verbessern.

Wie wichtig sind regelmässige Daten-Backups im IT-Sicherheitskonzept eines Unternehmens?

Unter Security-Experten heisst es: "Kein Backup? – Kein Mitleid!" Soll heissen: Backups sind die letzte und oft genug auch einzige Rettung, wenn Ransomware die Daten im Netzwerk verschlüsselt hat. Sie helfen aber nur, wenn Backups strikt vom Produktivsystem getrennt sind. Nur so lässt sich ein Ransomware-Befall des Backups verhindern. Leider erleben wir in der Praxis immer wieder Fälle, in denen Firmen ihre Backup-Systeme nicht sauber vom Produktionsnetz trennen. Solche Backups verschlüsseln Cyberkriminelle gleich mit. Unternehmen bleibt im schlimmsten Fall als allerletzter Ausweg nur, einer Lösegeldforderung nachzukommen. Garantien gibt es dabei jedoch keine. Aus diesem Grund verdient der Entwurf einer soliden Backup-Strategie besondere Aufmerksamkeit. Denn wenn es hart auf hart kommt, entscheidet das Backup darüber, ob das Unternehmen überlebt oder nicht.

Die Anzahl an Geräten in Unternehmen wächst rasant, auch dank IoT, Wearables und weiteren neuen Technologien. Wie behält die IT-Abteilung eines kleinen KMU die Sicherheit aller Geräte im Blick?

Hier bedarf es einer umfassenden Policy, die solche Themen regelt. Ein gutes Beispiel ist etwa der Einsatz von Smartphones im Firmenumfeld. Viele Berufstätige wollen auch in der Firma nicht auf ihr privates Mobilgerät verzichten und nutzen dieses auch für berufliche Zwecke. Bring your own Device, kurz BYOD nennt sich dieser Trend, der für Unternehmen und Mitarbeiter belegbare Vorteile hat. Die Schattenseite von BYOD: Die technische Komplexität im Unternehmen steigt durch unterschiedliche Gerätetypen mit verschiedenen Betriebssystemen und -versionen. Zudem hat die IT-Abteilung keinen Überblick darüber, welche Geräte Zugriff auf Unternehmensdaten haben. Die IT-Sicherheit darf daher nicht zu kurz kommen. Das Verbot privater Endgeräte ist für Unternehmen keine wirkliche Alternative. Ein Ausweg aus diesem Dilemma bietet eine eindeutige Firmen-Policy, die auch die Nutzung der privaten Mobilgeräte im Firmennetzwerk klar regelt. Auch eine Mobile-Device-Management-Lösung trägt dazu bei, die Vorteile von mobilen Geräten zu nutzen und gleichzeitig deren Risiken für die IT-Infrastruktur zu begrenzen.

Mit zunehmender Rechenleistung wird es auch für Hacker einfacher, Verschlüsselungssysteme zu knacken. Wie alt darf der SSL- und TLS-Standard in einem Unternehmen sein, um noch als sicher zu gelten?

Selbstverständlich sollten die Standards stets dem aktuellen Stand entsprechen. Heute würde ja auch kein Mensch auf die Idee kommen, ein Auto ohne Sicherheitsgurt zu fahren. Diesem Wunsch stehen aber häufig Kompatibilitätsprobleme entgegen, die sich aus mangelnder Unterstützung auf Hard- oder Softwareseite ergeben. Hier müssen die IT-Verantwortlichen also den schmalen Grat zwischen möglichst aktuellen Sicherheitsstandards und grösstmöglicher Kompatibilität wählen. Hier gewinnt in der Regel der kleinste gemeinsame Nenner. Sprich: Je grösser die Zahl der Parteien, die einen bestimmten Verschlüsselungsstandard unterstützt, desto älter (und somit schwächer) ist meist der Standard. Ein Beispiel ist der TLS-Standard für die Browser-Verschlüsselung. Die von den meisten Browsern unterstützten Standards sind SSLv3 und TLS 1.0. Diese sind allerdings aus verschiedenen Gründen mittlerweile unsicher. Die aktuelle TLS-Version (1.3) bietet derzeit eine bessere Sicherheit, wird allerdings nicht von allen Browsern durchgängig unterstützt. Ein "harter Schnitt" und das Erzwingen von TLS 1.3 würde jedoch bedeuten, potenziell eine gewisse Anzahl von Nutzern aussen vor zu lassen. Grundsätzlich gilt: Je aktueller die Standards sind, desto schwieriger ist es für Cyberkriminelle, vertrauliche Daten zu entschlüsseln oder ins Netzwerk einzudringen.