Thought Leadership
Vor gut einem Jahr trat in vielen Unternehmen der Worst Case ein: Auf den Bildschirmen ging nichts mehr, stattdessen war zu lesen: „Oops, your files have been encrypted“. In Deutschland war laut einer aktuellen Umfrage des Cybersecurity-Unternehmens Tanium knapp ein Drittel (31 Prozent) der Unternehmen, in denen die Befragten arbeiten, von WannaCry betroffen. Und die Lage hat sich seither nicht entspannt!
46 Prozent der Befragten halten ihr Unternehmen aktuell für stärker durch Cyber-Bedrohungen gefährdet als vor einem Jahr.
Ransomware und andere Cyber-Angriffe haben aber auch einen positiven Aspekt. Klingt erstmal seltsam, aber: Wenn IT-Sicherheitsexperten aus dem Worst Case die richtigen Erkenntnisse erzielen, sind sie beim nächsten Angriff, welcher definitiv kommen wird, besser aufgestellt.
Ransomware: Schließen Sie Sicherheitslücken und überarbeiten Sie Ihre Prozesse
Vor einem Jahr nutzte WannaCry eine Schwachstelle in Windows, die damals bereits seit Monaten bekannt war. Die entsprechenden Sicherheits-Updates hatten allerdings viel zu viele Nutzer noch nicht installiert. Leider könnte dieses Problem in vielen IT-Abteilungen heute noch genauso auftreten:
In der Umfrage von Tanium gaben 29 Prozent der deutschen Teilnehmer an, dass es in ihrem Unternehmen nach WannaCry zwar eine kurze Panik, aber dann keine Veränderungen gab. Bei 77 Prozent der Unternehmen, in denen die Befragten arbeiten, wurde der Patch-Management-Prozess nicht verbessert.
Gerade in größeren Unternehmen hat die IT-Abteilung häufig keinen Überblick darüber, wie viele Computer sich eigentlich genau im Netzwerk befinden und welche Sicherheits-Updates sie benötigen. Effizientes Patch-Management erfordert aber im ersten Schritt umfassende Transparenz und Einsicht über alle Endpoints – also Server, Desktop-PCs und Laptops – im Netzwerk. Endpoint-Management-Tools, wie zum Beispiel die Tanium Plattform, können beim Erlangen dieser Transparenz unterstützen, ebenso wie beim Patching-Prozess selbst.
Ein weiterer Aspekt, den IT-Teams adressieren sollten: Endnutzer haben oft zu viele administrative Rechte. Im Falle eines Ransomware-Angriffs kann deshalb das komplette System verschlüsselt werden und nicht nur die Dateien des jeweiligen Nutzers. Auch wenn dieser teils freizügige Umgang mit Administratoren-Rechten im Unternehmen schon seit Jahren besteht, sollten IT-Teams hier ebenfalls ihre Prozesse überdenken.
Meltdown/Spectre: Wägen Sie das Risiko ab
So viel wie in diesem Jahr über die Meltdown/Spectre-Sicherheitslücken zu lesen war, überrascht es umso mehr, dass bis jetzt noch kein Angriff bekannt wurde, der diese Lücken ausnutzte. Allerdings wird das nur eine Frage der Zeit sein.
Die Hintergründe dieser Sicherheitslücken sind folgende: Durch Schwachstellen in der Hardware-Architektur von AMD- oder Intel-Prozessoren können Angreifer Schad-Codes ausführen, welche die Isolation von Speicherbereichen der Applikationen von denen des Betriebssystems umgehen. Dadurch könnten Schadprogramme Daten lesen, auf die sie sonst keinen Zugriff haben. Aus diesen Lücken ergeben sich gleich ein gutes Dutzend verschiedene Angriffsmöglichkeiten. Meltdown und Spectre sind zwei dieser potenziellen Angriffsvarianten. Ryan Kazanciyan von Tanium hat in IT Daily dazu einen Gastbeitrag verfasst.
Für derartige Sicherheitslücken in der Hardware sind die Möglichkeiten, diese durch Software-Updates zu beheben, begrenzt. Hardware-Updates aber bergen Risiken – wenn etwas schiefläuft, kann der Computer nicht in seinen ursprünglichen Zustand zurückversetzt werden oder es kann zu gravierenden Leistungseinbußen durch diese Updates kommen. Ob das Update trotz dieser Risiken nötig ist – weil zum Beispiel die Gefahr eines Angriffs hoch ist – oder ob das Unternehmen lieber die Möglichkeit eines Angriffs in Kauf nehmen sollte, als das Wagnis eines Updates: Diese Frage lässt sich nur nach einer sorgfältigen Risiko-Abwägung beantworten. Dennoch sollten Unternehmen nicht alle kritischen Updates aus Unsicherheit herauszögern. Stattdessen sind genaue Informationen zur Kompatibilität und Stabilität von Updates nötig. Die Basis dafür ist ebenfalls ein Überblick über alle Endpoints und die darauf laufenden Betriebssystem-Versionen.
Phishing und Spear-Phishing: Der Email-Nutzer als wichtigster Teil des Sicherheits-Konzepts
Phishing-Emails sind eine oft unterschätzte Gefahr – gerade in letzter Zeit entwickeln die Betrüger immer ausgefeiltere Methoden. Dies gilt besonders für Spear-Phishing-Kampagnen – die man quasi als Phishing 2.0 bezeichnen könnte. Während beim klassischen Phishing Emails wahllos und massenhaft versendet werden, erhalten beim Spear-Phishing vorab recherchierte Empfänger genau auf sie zugeschnittene Emails. Diese Taktik zielt besonders auf Zugangsdaten und Identitätsdiebstahl ab, beispielsweise wenn ein Unternehmensmitarbeiter – scheinbar von der Personalabteilung – die Aufforderung erhält, seine persönlichen Daten zu aktualisieren. Klickt der Nutzer auf den entsprechenden Link, könnten die Angreifer Zugriff auf Log-in-Daten erhalten. Ab diesem Moment sind die Angreifer als berechtigte Nutzer getarnt im System unterwegs, was die Abwehr und Erkennung schwierig gestaltet.
Maßnahmen wie 2-Faktor-Authentifizierung erschweren den Identitätsdiebstahl erheblich. Außerdem können Sicherheitslösungen dabei helfen, Email-Absender als externe oder interne Sender zu klassifizieren. Ein gewisser Teil der Malware wird es jedoch trotz größter Sorgfalt immer auf die Computer schaffen, weshalb Anti-Viren-Software weiterhin notwendig ist. Zusätzlich müssen alle Endpunkte im gesamten Netzwerk regelmäßig auf Anzeichen für Angriffe, verdächtige Prozesse und schadhafte Dateien untersucht werden. Auch dabei können Endpunkt-Lösungen von Tanium unterstützen.
Um Malware idealerweise erst gar nicht ins System zu lassen, ist jeder einzelne Nutzer gefragt. Die Arbeitgeber sollten das Bewusstsein der Nutzer in regelmäßigen Schulungen schärfen, so dass sie Anzeichen dieser raffinierten neuen Phishing-Methoden frühzeitig erkennen. Darüber hinaus sollten IT-Abteilungen in Unternehmen verstärkt zusammenarbeiten und vom gemeinsamen Wissen profitieren, indem sie ihre Erfahrungen mit aktuellen Phishing-Kampagnen in entsprechenden Communities teilen.
Vollständige Sicherheit gibt es nicht – deshalb ist Business Resilience Management so wichtig
In der IT gibt es keine hundertprozentige Sicherheit. Auch wenn noch so viele Maßnahmen getroffen werden – der nächste Angriff wird kommen oder die nächste weit verbreitete Schwachstelle wird entdeckt werden. Die Frage ist nicht, ob es dazu kommt, sondern nur wann es passiert. Unternehmen müssen deshalb widerstandsfähiger werden, um zumindest die Häufigkeit und die Auswirkungen von erfolgreichen Cyber-Angriffen zu minimieren. Business Resilience Management ist hierfür die entscheidende Erfolgsstrategie.
Tanium definiert Business Resilience als einen umfassenden Ansatz, der die Widerstandsfähigkeit von Unternehmen gegen Angriffe stärkt. Dies bedeutet: Auch wenn ein Nutzer einen Fehler macht, sollte das nicht gleich die Sicherheit des ganzen Unternehmens gefährden. Zudem betrachtet Business Resilience die Aspekte „Cyber“ und „Business“ nicht getrennt – denn praktisch sind diese längst nicht mehr voneinander zu trennen. Die Auswirkungen größerer IT-Ausfälle auf das Unternehmen können dramatisch sein.
Deshalb muss ein Umdenken stattfinden: Notfallpläne für Disaster Recovery sind weiterhin wichtig und sollten erstellt und regelmäßig getestet werden. Gleichzeitig müssen aber alle Mitarbeiter eines Unternehmens gemeinsam an der Business Resilience arbeiten: Jeder – vom Buchhalter bis zum Vorstand – kann durch umsichtiges Verhalten dazu beitragen, dass das Unternehmen widerstandsfähiger gegen Angriffe wird. Die IT-Abteilungen analysieren die Endpunkte des Unternehmens, halten sie auf dem aktuellen Stand und suchen nach Anzeichen für Eindringlinge. Anstatt hierfür eine Vielzahl verschiedenster Tools zu verwenden und so gleich doppelt den Überblick zu verlieren, bietet die Tanium Plattform für all diese Zwecke integrierte Lösungen.
Marko Kirschner, Technical Account Manager, https://www.tanium.com
