Wie viel Sicherheit ist ausreichend?

Das Datenvolumen in den Unternehmen wächst weiter ungebremst. So halten Firmen heute im Schnitt fast 40 Prozent mehr Daten vor als noch im vergangenen Jahr. Dieses Datenwachstum geht einher mit grossen Herausforderungen in Bezug auf Datensicherheit und -schutz. Es gilt, sensible Daten vor unbefugten Dritten, aber auch vor fahrlässigem oder absichtlichem Missbrauch durch Insider zu schützen. Soweit herrscht weitgehend Einigkeit.

Doch wie weit dieser Schutz gehen muss, beziehungsweise was als ausreichende Sicherheit angesehen werden kann, ist oftmals Thema kontroverser Diskussionen. Sind gute Sicherheitsvorkehrungen tatsächlich ausreichend, wenn das Ziel darin besteht, Cyberkriminelle fernzuhalten und geschäftskritische Daten abzusichern? Ist gut also wirklich gut genug?

Dazu zunächst eine Betrachtung des Bedrohungsumfelds, in dem sich Unternehmen gegenwärtig befinden. Externe Angriffe richten sich heutzutage primär gegen die Mitarbeitenden in Unternehmen, nicht mehr gegen Schwachstellen der technischen Infrastruktur. Während technische Lösungen und Zugriffskontrollen beim Aufbau einer nachhaltigen Cyberabwehr nach wie vor unabdingbar sind, stellen sie doch nur einen Teilaspekt einer breit aufgestellten Abwehrstrategie dar. Ob mittels schadhafter Links, komprimierter Accounts oder Social Engineering - Cyberkriminelle nehmen die letzte Verteidigungslinie vieler Unternehmen ins Visier. Eine letzte Abwehrkette, die oft nur mangelhaft geschützt ist: die eigenen Mitarbeitenden.

Cybersicherheit in Zeiten einer neuen Normalität

Seitdem Millionen Angestellte vermehrt von zuhause aus arbeiten, hat sich die Angriffsfläche vieler Organisationen erheblich vergrössert. Sie sind deshalb stärker als je zuvor von Cyberbedrohungen gefährdet. Auch die Cyberkriminellen sind sich dieser Tatsache wohl bewusst und haben in der Folge keine Zeit verschwendet, um diese Situation in ihrem Sinne auszunutzen. Noch bevor die WHO das neue Coronavirus offiziell als globale Pandemie klassifiziert hatte, deckte das Threat Intelligence Team von Proofpoint bereits eine grosse Anzahl von Phishing-Versuchen mit Bezug zu Covid-19 auf.

Mit der Verteidigung von morgen bereits heute beginnen

Mit Social-Engineering-Angriffen tricksen Cyberkriminelle Mitarbeitende aus, um Login-Daten zu stehlen, vertrauliche Daten abzugreifen, Gehaltszahlungen oder Zahlungen anderer Art umzuleiten. Eine Methode sticht dabei hervor. Sie wird auch als die teuerste Gefahr der Cybersicherheit bezeichnet und gewinnt in den letzten Jahren immer mehr an Bedeutung: die Rede ist von Business E-Mail Compromise (BEC), dem sogenannten CEO-Betrug. Bei der Abwehr von BEC zeigt sich, dass die Cyberabwehr vieler Organisationen vielleicht gut, aber sicherlich nicht gut genug ist.

Menschen via E-Mail zu attackieren ist für Cyberkriminelle heutzutage die Angriffsmethode der Wahl. Die überwiegende Anzahl der Verteidigungsstrategien tragen diesem Umstand aber keineswegs Rechnung. Obwohl mehr als 90 Prozent der aktuellen Bedrohungen von E-Mails ausgehen, werden nur 10 Prozent der Cybersecurity-Ausgaben in diesen Bereich investiert. Hier besteht dringender Handlungsbedarf. Es gilt, einen umfassenden Sicherheitsansatz zu verfolgen, der alle Angriffsvektoren und -taktiken abdeckt. Abgesehen von den heute bereits eingesetzten, guten Lösungen gilt es, gefälschte E-Mails zu stoppen und der betrügerischen Nutzung vertrauenswürdiger Domains Einhalt zu gebieten sowie kompromittierte Cloud-Konten schnell zu erkennen. Erst die Kombination aller Massnahmen bedeutet eine nachhaltige Verbesserung der Cybersecurity einer Organisation. Erfolgt dies nicht, bleibt die Sicherheit der Mitarbeitenden und damit der Daten sowie des geistigen Eigentums des Unternehmens auf der Strecke.

_______________________________________

Interview

Heutige cyberkriminelle Gruppen sind straff organisiert

Eine Kette ist nur so stark wie das schwächste Glied. Und in der IT-Sicherheit von Firmen sind dies oftmals die Mitarbeitenden. Wie Cyberkriminelle diese Schwachstelle ausnutzen und wie Unternehmen sich wappnen können, erklärt Irene Marx, Country Managerin für Österreich und die Schweiz bei Proofpoint.

Wie erklären Sie sich den Wandel im Angriffs­verhalten der Cyberkriminellen?

Irene Marx: IT-Sicherheitsabteilungen haben ganze Arbeit geleistet. Bei den allermeisten Unternehmen bietet der Netzwerkschutz kaum Lücken, und sollte einmal eine technische Schwachstelle auftreten, so wird diese umgehend gepatcht. Für die gravierendste Schwachstelle aber gibt es keinen funktionierenden Patch - denn das sind die Mitarbeitenden. Insofern ist es für Cyberkriminelle deutlich einfacher und auch profitabler, betrügerische E-Mails an Nutzer zu senden, ihre Anmeldeinformationen zu stehlen und sie mittels ausgefeilter Social-Engineering-Techniken hinters Licht zu führen. Angriffe sind mittlerweile deutlich zielgerichteter und professioneller als noch vor einigen Jahren. Damals konnte man anhand von Tipp- und Grammatikfehlern oder dubioser Absender relativ einfach auf eine Phishing-Mail schliessen. Heutige cyberkriminelle Gruppen sind straff organisiert - einem modernen legitimen Unternehmen nicht unähnlich aufgebaut -, und sie gehen weitaus zielgerichteter vor als früher.

Inwiefern hat sich die Angriffsfläche von Organisationen seit Beginn der Coronakrise vergrössert?

Hier kommen primär zwei Faktoren zum Tragen: Erstens wurden relativ schnell Social-Engineering-Köder eingesetzt, die einen Bezug zur Pandemie hatten. Bereits im März 2020 konnten wir eine Phishing-Kampagne beobachten, bei der als Köder vorgeblich eine Anleitung der Weltgesundheitsorganisation zur Vorbereitung auf Covid-19 verbreitet wurde. Zweitens arbeiteten gros­se Teile der Belegschaft im Homeoffice. Dieser Trend hat die Digitalisierung sicherlich beschleunigt. Wir hören aber vielfach, dass nach der Bereitstellung der Tools jetzt auch noch in puncto Compliance und Sicherheit nachgezogen werden muss. Insofern ist es sicherlich zutreffend, dass die Angriffsfläche momentan noch etwas vergrössert ist.

Wie können Menschen Phishing-Versuche erkennen?

Sicherheitsexperten müssen unter den Anwendern ein Bewusstsein dafür schaffen, dass die E-Mail auf technischer Ebene viele Möglichkeiten für Betrugsversuche bietet. Für den Absender­namen kann man relativ einfach jeden beliebigen Text verwenden. Das heisst, dem Absender sollte man nie trauen und immer auf die Mail-from-Adresse im Header der E-Mail achten. Auch die kann gefälscht werden, das bedarf aber mehr technischer Finesse. Beliebt sind auch Doppelgänger-Domänen - die sogenannten Lookalike Domains - wenn also in der URL ein "m" etwa durch ein "rn" ersetzt wird. Das fällt auf den ersten Blick den wenigsten Nutzern auf. Aber genau auf so etwas sollte man achten.

Worauf müssen Angestellte in puncto Sicherheit besonders achten, wenn sie im Homeoffice arbeiten?

Zuerst einmal möchte ich herausstellen, dass es durchaus auch aus dem Homeoffice heraus sehr gute technische Möglichkeiten gibt, die Mitarbeitenden abzusichern. Statt nur das Böse abzuwenden ist es so etwa möglich, das Gute zu legitimieren, etwa die Nutzung der eigenen Domains. Damit haben E-Mails mit fingierten Domains keine Angriffsmöglichkeiten mehr und man schützt damit letztlich nicht nur die eigenen Mitarbeitenden, sondern auch seine Geschäftspartner. Zu kurz kommen darf aber keinesfalls ein angemessenes Training. Es geht dabei aber nicht nur um die reine Wissensvermittlung. Eine umfassende Sensibilisierung für das Thema ist stattdessen das Gebot der Stunde. Letztlich sollte es das Ziel sein, das Verhalten der Nutzer nachhaltig zu ändern und sie zu einer starken letzten Verteidigungslinie für die Security im Unternehmen zu machen.

Interview: Colin Wallace