Vom KMU bis zum Großkonzern:

Sicherheits-Tools werden häufig nicht oder falsch konfiguriert

Angesichts der vielen nun remote-arbeitenden Mitarbeitern in Organisationen sowie der aktuell unsicheren wirtschaftlichen Lage, ist Prävention wichtiger denn je. Denn Cyberangreifer versuchen, aus dem gegenwärtigen Klima Kapital zu schlagen und suchen gezielt nach Schwachstellen. 

Das CrowdStrike Service-Team verzeichnet eine Rekordzahl an Lösegeldforderungen, Datenlecks und gezielten Angriffen. Dabei ist ein beunruhigender Trend besonders auffällig: Unternehmen versäumen es häufig, wichtige Präventionsfunktionen zu aktivieren, die bösartige Aktivitäten stoppen könnten.

Anzeige

Wenn Sicherheits-Tools nicht richtig konfiguriert werden, ist das oft schlimmer, als sie gar nicht erst zu haben. Organisationen haben so ein falsches Sicherheitsgefühl und verschwenden Sicherheitsbudgets. Dies ist zwar kein neues Phänomen, aber die zunehmende Häufigkeit von Ransomware-Angriffen und anderen Cyberattacken erhöht die Bedrohung für Organisationen, denen es nicht gelingt, bösartige Aktivitäten wirksam zu blockieren.

Fehlkonfigurierte Sicherheitsprogramme

Es ist nicht ungewöhnlich, dass CrowdStrikes Service-Team zwar auf ein hochmodernes Sicherheits-Toolset stoßen, dieses jedoch nicht richtig eingesetzt oder effektiv verwaltet wird. Dazu gehören ungepatchte Verwundbarkeiten, schwerwiegende Fehlkonfigurationen, verpfuschte Implementierungen und ungeeignete Präventionseinstellungen, die es Angreifern ermöglichen können, Endpunkte zu infizieren und sich lateral durch die Systemumgebung zu bewegen. Auch große Unternehmen sind gegen diese Gefahr nicht gefeit – wir stellten sogar fest, dass sie ihre Sicherheitstools häufig nicht oder falsch konfigurieren.

Obwohl sie über wesentlich mehr Ressourcen verfügen als kleinere Organisationen, haben sie oft riesige Strukturen, komplexe Netzwerke und eine Vielzahl von Optimierungsprojekten zeitgleich laufen, sodass sie mitunter nicht immer alle Details im Auge behalten können. Und unglücklicherweise dürfte sich das Problem durch die Verlagerung der Arbeitsplätze ins Homeoffice oft nur noch weiter verschärfen.

Dieses Problem beschränkt sich nicht nur auf eingesetzte Endpoint-Detection-Tools. Das Team hat auch entscheidende Fehlkonfigurationen in Intrusion-Prevention-Systemen, Data-Loss-Prevention-Tools, Multi-Faktor-Authentifizierungsplattformen (MFA) und Cloud Access Security Brokern festgestellt. So hat das Team beispielsweise auf Vorfälle reagiert, bei denen Sicherheitsmaßnahmen – wie Next Generation Firewall, welche die Unternehmens- und Produktionsnetzwerke segmentieren – vorhanden waren, die Opfer aber keine effektiven Firewall-Regeln konfiguriert hatten. Dadurch konnte sich Malware schnell lateral auf geschäftskritische Produktionsanlagen ausbreiten.

Präventionsfähigkeiten maximieren

Obwohl Fehlkonfigurationen heute wahrscheinlich nicht wesentlich häufiger vorkommen als in den vergangenen Jahren, vergrößern aktuelle Bedrohungstrends die Abhängigkeit von Präventionsmaßnahmen, wodurch falsch konfigurierte oder nicht optimierte Instrumente noch problematischer werden. Es gibt jedoch Schritte, die Unternehmen ergreifen können, um die Wirksamkeit ihrer Tools zu maximieren, sowohl jetzt als auch in Zukunft:

  • Beschaffen Sie niemals ein Tool alleine aus Compliance-Gründen. Es ist in Ordnung, dass die Einhaltung von Vorschriften eine treibende Kraft bei einem Technologiekauf ist, aber es muss Mitarbeiter geben, die mit der wirksamen Nutzung und Optimierung der Tools und Prozesse betraut sind.
  • Entwickeln Sie Implementierungspläne für alle neuen Tools. An diesen Plänen sollten sowohl die IT- als auch die Informationssicherheitsteams beteiligt sein, um sicherzustellen, dass sich die Beteiligten über den Zweck und die beabsichtigte Nutzung des Tools im Klaren sind. Dieser Planungsprozess sollte auch die operativen Auswirkungen des Tools auf das Geschäft und den Grad, zu dem dies toleriert werden kann, identifizieren.
  • Richten Sie eine regelmäßige Überprüfung der Sicherheits-Tools ein. Es gibt häufig neue Features, Möglichkeiten und Funktionen für die Lösungen. Sobald neue Funktionen auf den Markt kommen, sollten Ihre Teams Implementierungspläne auswerten, testen und umsetzen. „Einrichten und Vergessen” ist ein Patentrezept zum Scheitern, denn die Bedrohungen, Taktiken und Techniken ändern sich schneller, als sich die meisten Tools anpassen können.
  • Legen Sie Richtlinien für das Change Management fest. Die vereinbarte Konfiguration eines Tools sollte dokumentiert und dann mehrmals im Jahr überprüft werden. Informationssicherheitsteams sollten Konfigurationen und neue Funktionen häufig mit Anbietern und Support-Teams besprechen, um den Wert des Tools zu maximieren und seinen Einsatz in der Umgebung der Organisation zu validieren.
  • Entwickeln Sie ein gebündeltes Erkennungs- und Präventionssystem. Nicht jedes Tool muss mit der strengsten Präventionskonfiguration eingesetzt werden, insbesondere wenn kompensierende Maßnahmen vorhanden sind. Aber die Implementierung eines Framework zur Erkennung und Prävention sollte genau die Bedrohungen und Anwendungsfälle identifizieren, die eine Organisation angehen möchte. Außerdem muss feststehen, welche Werkzeuge welchen Anwendungsfällen zugeordnet sind. Dies bietet eine ausgezeichnete Grundlage, um zu bestimmen, mit welchen Werkzeugen welche Anwendungsfälle zu verhindern sind und welche zu entdecken sind. Es bietet auch eine hervorragende Quelle, um Metriken zur effektiven Sicherheit abzuleiten.
  • Testen Sie! Regelmäßige Prüfungen und Simulationsübungen sollen sicherstellen, dass die Tools wie beabsichtigt funktionieren. Prüfen Sie, ob Ihre Maßnahmen auch wirksam sind – und nicht nur, ob deren Existenz einen Haken in Compliance-Katalogen bedeutet.
  • Wählen Sie einen risikobasierten Ansatz. Im Idealfall würden Organisationen ihr Instrumentarium im Streben nach optimaler Sicherheit endlos abstimmen. Das ist ideal, wenn man denn die Zeit und die Ressourcen hat, aber das ist für die meisten Organisationen nicht machbar. Wenn Sie nicht alles absichern können, dann priorisieren Sie Ihre Problembereiche. Identifizieren Sie die Angriffe, die Sie am dringendsten verhindern wollen, und konzentrieren Sie sich zuerst auf diese.

Wenn Unternehmen diese Tipps beherzigen, haben sie schon einen wichtigen Schritt dazu getan, Angriffe nicht erst zu erkennen, wenn diese bereits stattgefunden haben. Stattdessen können Angriffe so bereits frühzeitig erkannt und verhindert werden. 

Sascha Dubbel

CrowdStrike Deutschland GmbH -

Enterprise Sales Engineer

Sascha Dubbel ist Enterprise Sales Engineer bei CrowdStrike und zuständig für das Gebiet Deutschland, Österreich sowie die Schweiz. Seit mehr als 20 Jahren arbeitet er auf Lösungsanbieterseite im IT-Sicherheitsumfeld bei Unternehmen wie Secure Computing, McAfee oder Palo Alto Networks. Er hat ein breites Wissen in den Domänen der angewandten
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.