Von Menschen und Maschinen: Security-Schwachstellen in Unternehmen

Fragt man IT-Security-Fachleute, welches die grösste Schwachstelle eines Unternehmens ist, lautet die häufigste Antwort: "der Mensch". Diese Antwort ist korrekt, wobei jegliche Arroganz fehl am Platz ist. Am Ende kann jeder von uns betrogen werden. Die Frage ist nur, wie viel Arbeit ein Betrüger aufwenden muss, um erfolgreich zu sein. Diese Schwelle ist individuell und kann durch Training erhöht werden. Doch wir leben in der Welt der IT: Angreifer nutzen Technologie, um sich das Leben einfacher zu machen. Deshalb benötigen Unternehmen Technik und Taktiken, um sich zu schützen.

Fehlkonfigurationen

Die Cloud-Transformation bringt einen Kulturwandel mit sich – mit Herausforderungen für die IT-Sicherheit: Restriktionen werden beispielsweise häufig als Bevormundung abgelehnt und nicht selten wird das Security-Team über neue Infrastrukturen lediglich nachträglich informiert, wenn überhaupt. So verwundert es auch nicht, dass sich praktisch alle bekannten Zwischenfälle in der Cloud, zum Teil mit riesigen gestohlenen Datenmengen, auf einfachste menschliche Konfigurationsfehler zurückführen lassen. Dabei sind gerade hier oftmals gut ausgebildete Mitarbeiter am Werk, die sich eigentlich auskennen sollten. Doch da IT-Umgebungen zunehmend komplexer werden, fällt es auch Experten immer schwerer, alle Fehler zu erkennen. Technische Lösungen wie ein "Cloud Security Posture Management"-System können zumindest in der Cloud helfen, solche Fehler zu vermeiden.

Fehlende Übersicht

In den meisten Unternehmen ist IT-Sicherheit organisch gewachsen. Dem "Best of Breed"-Ansatz aus früheren Tagen folgend, wurden für einzelne Lösungsbereiche unterschiedliche Hersteller eingesetzt. Man versuchte so, eine möglichst komplexe Umgebung zu schaffen, um ein Eindringen zu erschweren. Leider sind die Cyberkriminellen inzwischen darauf eingestellt und nutzen die Komplexität sogar gezielt aus. Vielmehr kämpfen Unternehmen heute damit, ihre Security-Architektur zu administrieren. Oft ist nicht klar, wo die eine Lösung aufhört und eine andere beginnt und damit in grösseren Unternehmen auch, wer zuständig ist. Geschickte Angreifer navigieren währenddessen praktisch ungehindert durch komplexe Infrastrukturen. Unternehmen benötigen deshalb eine Übersicht über mögliche Anomalien und deren Kritikalität in allen Bereichen. Dies fällt umso schwerer, je mehr Daten von verschiedenen Systemen erzeugt und dann verarbeitet werden müssen. XDR-Lösungen (Extended Detection & Response) und SIEMs (Security Information & Event Management) unterstützen dabei. Der Unterschied der Ansätze liegt im Grad der möglichen Automatisierung von Aufgaben, sie können sich auch ergänzen.

Das Patch-Problem

Auch im Jahr 2021 ist Patching noch immer ein Thema: Fehlende Sicherheitsupdates spielen praktisch bei jedem erfolgreichen Angriff eine Rolle. Eher selten ermöglichen diese Schwachstellen den initialen Angriff. Sie werden vorwiegend zum sogenanntem "lateral movement", also der Verbreitung innerhalb eines Netzwerkes, ausgenutzt. Das liegt daran, dass sich viele Firmen nach aussen ziemlich gut mit IPS-Technologie (Intrusion Prevention Systeme) verteidigen, im Innenverhältnis aber relativ offen sind, weil Sicherheitsupdates nicht oder nicht vollständig durchgeführt werden.

Dabei spielt wieder die Komplexität von IT-Landschaften eine grosse Rolle. Auch der beste automatisierbare Patch-Prozess hat im Zusammenspiel mit tausenden Applikationen und ungezählten Konfigurationsmöglichkeiten kaum eine Chance. Verschärft wird das Problem noch durch die Anbindung von (Industrial-) Internet-of-Things-Geräten, die in der Aktualisierungsstrategie nicht berücksichtigt werden (können). Das hat nicht nur Auswirkung auf die Anzahl der Systeme, die gepatcht werden müssen, sondern auch auf die tatsächliche Patching-Möglichkeit. Folgerichtig sind die meisten Umgebungen verwundbar, vor allem, wenn sich ein Angreifer bereits innerhalb der Infrastruktur befindet. Hier helfen host- oder netzwerkbasierte IPS-Ansätze ("Virtual Patching").

E-Mail-Hygiene

Dieser Punkt ist ebenfalls nicht gerade neu. Unter E-Mail-Hygiene verstehen wir das Blocken von gefährdenden Anhängen wie ausführbare Dateien oder Makros. Weltweit erreichen etwa 91 Prozent aller Angriffe die Unternehmen per E-Mail. Das Blocken von gefährlichen Anhängen ist eine relativ simple Methode, diese fernzuhalten. Natürlich bietet auch das keinen 100-prozentigen Schutz, denn Angreifer können noch immer über Filesharing-Dienste oder andere Links ausweichen. Hier helfen Sandboxing-Technologien und andere Techniken, die URLs in E-Mails prüfen. Diese Funktionen müssen allerdings oft genug in den Mail-Security-Optionen explizit aktiviert werden. Auch ist es herstellerabhängig, ob URLs in E-Mails überhaupt überprüft werden können. Mitarbeitende sollten deshalb ebenfalls dahingehend sensibilisiert werden.

Powershell und Skriptsprachen

Moderne Cyberangriffe funktionieren gerne "dateilos". Der Begriff ist etwas irreführend: Gemeint ist, dass die Malware im Opfersystem keine Datei ablegt, sondern über Skriptsprachen beispielsweise auf die Powershell zugreift und darüber ihren Schadcode im System festigt. So werden unter anderem Registry-Schlüssel hinterlegt, Einstellungen geändert, Autostart-Dateien editiert. Ziel ist, das System auf die Übernahme durch den eigentlichen Schadcode vorzubereiten. Die Herausforderung dabei besteht darin, dass bestimmte Verteidigungstechnologien, wie Antiviren-Pattern oder auch bestimmte Arten von künstlicher Intelligenz, mit dieser Angriffstechnik nicht umgehen können. Fortschrittlichere verhaltensbasierte Analysen, die in vielen Security-Lösungen enthalten sind, können helfen. Hier lohnt es sich zu kontrollieren, ob die entsprechenden Funktionen in der Software aktiviert sind. Falls Powershell nicht benötigt wird, gibt es zudem die Möglichkeit, diese von Systemen zu entfernen, um die Angriffsoberfläche zu verringern.

Authentifizierung

Im Jahr 2020 stieg die Zahl der Cyberbedrohungen im Vergleich zum Vorjahr um etwas über 20 Prozent (Daten aus Trend Micros Jahresbericht zur Cybersicherheit 2020). Besonders eine Methode stach dabei zahlenmässig heraus: "Credential Phishing", also der Diebstahl von Zugangsdaten. Durch die grosse Menge an neuen Homeoffice-Arbeitsplätzen und die Notwendigkeit, diese oft schnell einzurichten, erlaubten viele Firmen den Zugriff auf ihre Daten nach einfacher Authentifizierung mittels Username und Passwort. Da sich Mitarbeitende zudem daran gewöhnten, ihre Passwörter häufig eingeben zu müssen, fielen gut getarnte Phishing-Kampagnen oft gar nicht auf. Besonders häufig waren Angriffe auf Collaboration-Tools wie Microsoft 365. Deren Einwahldaten wurden in der Folge genutzt, um in Unternehmenssysteme zu gelangen und sich darin auszubreiten. Dank entsprechender Schwachstellen gelang das in der Regel auch mit einfachen Benutzerkonten ohne Admin-Rechte. Mit einer Zwei-Faktor-Authentifizierung könnten Unternehmen Angreifern an dieser Stelle den Zugang zumindest erschweren.

Die unbequeme Wahrheit: Vom Worst Case ausgehen

Seit vielen Jahren, verfolgt IT-Security das Ziel, möglichst alle Attacken abzuwehren. Es hält sich zudem die Idee, es für die Angreifer so kompliziert wie möglich zu machen, damit sie sich anderen Opfern zuwenden. Die Erfahrung zeigt allerdings, dass diese Taktik nicht mehr aufgeht. Die Cyberkriminalität hat sich zu einem globalen Geschäft entwickelt und unterliegt der Dynamik des Marktes: Die Akteure suchen immer mehr "Kunden" und erschliessen neue "Geschäftsfelder".

Unternehmen müssen deshalb davon ausgehen, früher oder später mit einem erfolgreichen Angriff konfrontiert zu sein. Sie sollten deshalb in Tools und Prozesse investieren, die es ihnen ermöglichen, den Ernstfall zu erkennen und zu bewältigen. Analysiert man aktuelle Angriffe, gibt es einen umgekehrten Zusammenhang zwischen der Fähigkeit eines Unternehmens, mit diesem Worst Case umzugehen und dem Schaden, den eine Attacke verursacht.