Anzeige

Angesichts der vielen nun remote-arbeitenden Mitarbeitern in Organisationen sowie der aktuell unsicheren wirtschaftlichen Lage, ist Prävention wichtiger denn je. Denn Cyberangreifer versuchen, aus dem gegenwärtigen Klima Kapital zu schlagen und suchen gezielt nach Schwachstellen. 

Das CrowdStrike Service-Team verzeichnet eine Rekordzahl an Lösegeldforderungen, Datenlecks und gezielten Angriffen. Dabei ist ein beunruhigender Trend besonders auffällig: Unternehmen versäumen es häufig, wichtige Präventionsfunktionen zu aktivieren, die bösartige Aktivitäten stoppen könnten.

Wenn Sicherheits-Tools nicht richtig konfiguriert werden, ist das oft schlimmer, als sie gar nicht erst zu haben. Organisationen haben so ein falsches Sicherheitsgefühl und verschwenden Sicherheitsbudgets. Dies ist zwar kein neues Phänomen, aber die zunehmende Häufigkeit von Ransomware-Angriffen und anderen Cyberattacken erhöht die Bedrohung für Organisationen, denen es nicht gelingt, bösartige Aktivitäten wirksam zu blockieren.

Fehlkonfigurierte Sicherheitsprogramme

Es ist nicht ungewöhnlich, dass CrowdStrikes Service-Team zwar auf ein hochmodernes Sicherheits-Toolset stoßen, dieses jedoch nicht richtig eingesetzt oder effektiv verwaltet wird. Dazu gehören ungepatchte Verwundbarkeiten, schwerwiegende Fehlkonfigurationen, verpfuschte Implementierungen und ungeeignete Präventionseinstellungen, die es Angreifern ermöglichen können, Endpunkte zu infizieren und sich lateral durch die Systemumgebung zu bewegen. Auch große Unternehmen sind gegen diese Gefahr nicht gefeit - wir stellten sogar fest, dass sie ihre Sicherheitstools häufig nicht oder falsch konfigurieren.

Obwohl sie über wesentlich mehr Ressourcen verfügen als kleinere Organisationen, haben sie oft riesige Strukturen, komplexe Netzwerke und eine Vielzahl von Optimierungsprojekten zeitgleich laufen, sodass sie mitunter nicht immer alle Details im Auge behalten können. Und unglücklicherweise dürfte sich das Problem durch die Verlagerung der Arbeitsplätze ins Homeoffice oft nur noch weiter verschärfen.

Dieses Problem beschränkt sich nicht nur auf eingesetzte Endpoint-Detection-Tools. Das Team hat auch entscheidende Fehlkonfigurationen in Intrusion-Prevention-Systemen, Data-Loss-Prevention-Tools, Multi-Faktor-Authentifizierungsplattformen (MFA) und Cloud Access Security Brokern festgestellt. So hat das Team beispielsweise auf Vorfälle reagiert, bei denen Sicherheitsmaßnahmen - wie Next Generation Firewall, welche die Unternehmens- und Produktionsnetzwerke segmentieren - vorhanden waren, die Opfer aber keine effektiven Firewall-Regeln konfiguriert hatten. Dadurch konnte sich Malware schnell lateral auf geschäftskritische Produktionsanlagen ausbreiten.

Präventionsfähigkeiten maximieren

Obwohl Fehlkonfigurationen heute wahrscheinlich nicht wesentlich häufiger vorkommen als in den vergangenen Jahren, vergrößern aktuelle Bedrohungstrends die Abhängigkeit von Präventionsmaßnahmen, wodurch falsch konfigurierte oder nicht optimierte Instrumente noch problematischer werden. Es gibt jedoch Schritte, die Unternehmen ergreifen können, um die Wirksamkeit ihrer Tools zu maximieren, sowohl jetzt als auch in Zukunft:

  • Beschaffen Sie niemals ein Tool alleine aus Compliance-Gründen. Es ist in Ordnung, dass die Einhaltung von Vorschriften eine treibende Kraft bei einem Technologiekauf ist, aber es muss Mitarbeiter geben, die mit der wirksamen Nutzung und Optimierung der Tools und Prozesse betraut sind.
  • Entwickeln Sie Implementierungspläne für alle neuen Tools. An diesen Plänen sollten sowohl die IT- als auch die Informationssicherheitsteams beteiligt sein, um sicherzustellen, dass sich die Beteiligten über den Zweck und die beabsichtigte Nutzung des Tools im Klaren sind. Dieser Planungsprozess sollte auch die operativen Auswirkungen des Tools auf das Geschäft und den Grad, zu dem dies toleriert werden kann, identifizieren.
  • Richten Sie eine regelmäßige Überprüfung der Sicherheits-Tools ein. Es gibt häufig neue Features, Möglichkeiten und Funktionen für die Lösungen. Sobald neue Funktionen auf den Markt kommen, sollten Ihre Teams Implementierungspläne auswerten, testen und umsetzen. „Einrichten und Vergessen" ist ein Patentrezept zum Scheitern, denn die Bedrohungen, Taktiken und Techniken ändern sich schneller, als sich die meisten Tools anpassen können.
  • Legen Sie Richtlinien für das Change Management fest. Die vereinbarte Konfiguration eines Tools sollte dokumentiert und dann mehrmals im Jahr überprüft werden. Informationssicherheitsteams sollten Konfigurationen und neue Funktionen häufig mit Anbietern und Support-Teams besprechen, um den Wert des Tools zu maximieren und seinen Einsatz in der Umgebung der Organisation zu validieren.
  • Entwickeln Sie ein gebündeltes Erkennungs- und Präventionssystem. Nicht jedes Tool muss mit der strengsten Präventionskonfiguration eingesetzt werden, insbesondere wenn kompensierende Maßnahmen vorhanden sind. Aber die Implementierung eines Framework zur Erkennung und Prävention sollte genau die Bedrohungen und Anwendungsfälle identifizieren, die eine Organisation angehen möchte. Außerdem muss feststehen, welche Werkzeuge welchen Anwendungsfällen zugeordnet sind. Dies bietet eine ausgezeichnete Grundlage, um zu bestimmen, mit welchen Werkzeugen welche Anwendungsfälle zu verhindern sind und welche zu entdecken sind. Es bietet auch eine hervorragende Quelle, um Metriken zur effektiven Sicherheit abzuleiten.
  • Testen Sie! Regelmäßige Prüfungen und Simulationsübungen sollen sicherstellen, dass die Tools wie beabsichtigt funktionieren. Prüfen Sie, ob Ihre Maßnahmen auch wirksam sind – und nicht nur, ob deren Existenz einen Haken in Compliance-Katalogen bedeutet.
  • Wählen Sie einen risikobasierten Ansatz. Im Idealfall würden Organisationen ihr Instrumentarium im Streben nach optimaler Sicherheit endlos abstimmen. Das ist ideal, wenn man denn die Zeit und die Ressourcen hat, aber das ist für die meisten Organisationen nicht machbar. Wenn Sie nicht alles absichern können, dann priorisieren Sie Ihre Problembereiche. Identifizieren Sie die Angriffe, die Sie am dringendsten verhindern wollen, und konzentrieren Sie sich zuerst auf diese.

Wenn Unternehmen diese Tipps beherzigen, haben sie schon einen wichtigen Schritt dazu getan, Angriffe nicht erst zu erkennen, wenn diese bereits stattgefunden haben. Stattdessen können Angriffe so bereits frühzeitig erkannt und verhindert werden. 

Sascha Dubbel, Enterprise Sales Engineer
Sascha Dubbel
Enterprise Sales Engineer, CrowdStrike Deutschland GmbH
Sascha Dubbel ist Enterprise Sales Engineer bei CrowdStrike und zuständig für das Gebiet Deutschland, Österreich sowie die Schweiz. Seit mehr als 20 Jahren arbeitet er auf Lösungsanbieterseite im IT-Sicherheitsumfeld bei Unternehmen wie Secure Computing, McAfee oder Palo Alto Networks. Er hat ein breites Wissen in den Domänen der angewandten Sicherheit am Endpunkt, im Netzwerk und am Perimeter aufgebaut und die direkte Arbeit mit Unternehmen aus allen Marktbereichen haben sein Verständnis für die Anforderungen, Regularien und Herausforderungen von IT-Sicherheitsabteilungen geprägt. Des Weiteren bringt er sich in die Arbeit von IT-Sicherheitsverbänden ein.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!