ADMIN

2023

10

2023-09-28T12:00:00

Proaktive IT-Sicherheit

AKTUELL

010

Sicherheit

Interview

Interview

»KMU vernachlässigen den Faktor Mensch«

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 10/2023 - AKTUELL

Unternehmen, ob klein oder groß, stehen unter Dauerfeuer seitens Hackern. Doch haben besonders kleine Firmen oft nicht genügend Personal und Budget zur Verfügung, um mit den immer dynamischeren Angriffen mitzuhalten. Wir haben Alexander Werkmann, Director IBM Security DACH, gefragt, wo KMU in Sachen proaktiver Sicherheit ansetzen können.

IT-Administrator: Herr Werkmann, welches sind wesentliche Elemente einer proaktiven IT-Sicherheit?
Alexander Werkmann: Im Kern sind es sechs Elemente, die sich den drei wesentlichen Dimensionen Mensch samt Unternehmenskultur, Prozess und Technologie unterordnen – die meisten davon ganz unabhängig von der Größe einer Unternehmung. Den Anfang macht eine Bewertung der Sicherheitsrisiken und Bedrohungen für das IT-System. Verantwortliche müssen Schwachstellen identifizieren und die potenziellen Angriffsvektoren kennen. Als Zweites sollte jedes Unternehmen präventive Maßnahmen einleiten, sei es eine Firewall und Antivirussoftware oder auch Intrusion-Detection und -Prevention-Systeme. Ebenso wichtig ist die Überwachung und Erkennung von Angriffen, beispielsweise mit Security-Incident-and-Event-Management-Systemen (SIEM). Diese erkennen verdächtige Aktivitäten, Anomalien oder Sicherheitsverletzungen frühzeitig, zum Beispiel bei der Überwachung des Netzwerkverkehrs oder über die Auswertung von Logdateien. Zu diesem dritten Aspekt gehört das Thema Incident Response, also ein gut durchdachter Plan und Prozess, um bei einer Sicherheitslücke schnell und effektiv reagieren zu können. Ein gern genutztes Einfallstor für Hacker sind veraltete Systeme. Das macht ein gutes Patchmanagement unumgänglich. Ist ein Angriff dennoch erfolgreich, geht es im nächsten Schritt um die Schadensbegrenzung. Ein Cyber-Resilience-Plan hilft, alle Abteilungen schnell wieder handlungsfähig zu machen und den Betrieb aufrechtzuerhalten. Die besten Technologien und Pläne sind allerdings wertlos, wenn der Faktor Mensch außen vorgelassen wird. Deshalb gilt es, Mitarbeiter in allen Abteilungen und Positionen für das Thema IT-Sicherheit zu sensibilisieren und sie regelmäßig zu schulen.
Wo tun sich hier insbesondere KMU im Vergleich zu großen Unternehmen schwer?
IT-Administrator: Herr Werkmann, welches sind wesentliche Elemente einer proaktiven IT-Sicherheit?
Alexander Werkmann: Im Kern sind es sechs Elemente, die sich den drei wesentlichen Dimensionen Mensch samt Unternehmenskultur, Prozess und Technologie unterordnen – die meisten davon ganz unabhängig von der Größe einer Unternehmung. Den Anfang macht eine Bewertung der Sicherheitsrisiken und Bedrohungen für das IT-System. Verantwortliche müssen Schwachstellen identifizieren und die potenziellen Angriffsvektoren kennen. Als Zweites sollte jedes Unternehmen präventive Maßnahmen einleiten, sei es eine Firewall und Antivirussoftware oder auch Intrusion-Detection und -Prevention-Systeme. Ebenso wichtig ist die Überwachung und Erkennung von Angriffen, beispielsweise mit Security-Incident-and-Event-Management-Systemen (SIEM). Diese erkennen verdächtige Aktivitäten, Anomalien oder Sicherheitsverletzungen frühzeitig, zum Beispiel bei der Überwachung des Netzwerkverkehrs oder über die Auswertung von Logdateien. Zu diesem dritten Aspekt gehört das Thema Incident Response, also ein gut durchdachter Plan und Prozess, um bei einer Sicherheitslücke schnell und effektiv reagieren zu können. Ein gern genutztes Einfallstor für Hacker sind veraltete Systeme. Das macht ein gutes Patchmanagement unumgänglich. Ist ein Angriff dennoch erfolgreich, geht es im nächsten Schritt um die Schadensbegrenzung. Ein Cyber-Resilience-Plan hilft, alle Abteilungen schnell wieder handlungsfähig zu machen und den Betrieb aufrechtzuerhalten. Die besten Technologien und Pläne sind allerdings wertlos, wenn der Faktor Mensch außen vorgelassen wird. Deshalb gilt es, Mitarbeiter in allen Abteilungen und Positionen für das Thema IT-Sicherheit zu sensibilisieren und sie regelmäßig zu schulen.
Wo tun sich hier insbesondere KMU im Vergleich zu großen Unternehmen schwer?
Alle bereits genannten Punkte sind relevantvant, doch KMU vernachlässigen den Faktor Mensch gerne einmal. Laut aktuellen Studien glaubt beispielsweise ein Drittel der Mitarbeiter, sie würden für die Aufrechterhaltung der IT-Sicherheit keine Rolle spielen. Nur 39 Prozent würden einen Vorfall überhaupt melden. Hier sollten KMU also in jedem Fall ansetzen. Sind alle – vom Vorstand bis zum Fachangestellten – im Unternehmen richtig geschult, reduziert sich das Risiko für erfolgreiche Cyberattacken um ein Vielfaches. Schon ein aufmerksamer Blick auf E-Mails von unbekannten Absendern und besonnener Umgang mit verdächtigen Links oder Anhängen kann ein Einfallstor schließen. Und das ganz ohne großen technischen Aufwand oder hohe Investitionen.
»Sinnvolle und gezielte Investitionen in Sicherheit können sich schnell lohnen«
Was sind technisch gesehen die dringendsten Sicherheitslücken, die Firmen schließen müssen?
Die häufigsten Angriffsmethoden mit dem schwerwiegendsten Impact sind Backdoors, Ransomware- und DDoS-Attacken. Gegen solche Attacken sollten sich KMU also besonders gut wappnen. Laut unserem aktuellen IBM Security X-Force Threat Intelligence Index waren Backdoors in 21 Prozent der Fälle die Angriffsmethode der Hacker. Hier greifen die Akteure von außen über offene Stellen, die sogenannten Backdoors, auf Unternehmensdaten zu und ziehen sie unverschlüsselt ab. Solche Hintertüren im System können vom Anbieter vorgesehen sein – meist, um Masterpasswörter zurücksetzen zu können, sofern nötig – oder sind das Resultat eines Trojaners, der zum Beispiel über eine E-Mail eingeschleust wurde. Was also tun? Hier gilt es, die Belegschaft zu schulen. Zeitgleich muss die IT-Mannschaft einen Überblick über mögliche Hintertüren in den genutzten Systemen haben. Ransomware war mit 17 Prozent der Angriffe auf Platz zwei. Und die Angriffe, bei denen Unternehmensdaten verschlüsselt werden und dann ein Erpressungsversuch gestartet wird, laufen immer schneller ab. Betrug die Zeit zwischen dem ersten Zugriff und der Bereitstellung der Ransomware 2019 noch zwei Monate, waren es 2022 nur noch knapp vier Tage. Entsprechend groß ist das Risiko für Unternehmen. Sie müssen Angriffe beispielsweise mithilfe eines SIEM noch schneller entdecken, um sie rechtzeitig abwehren zu können. Bei DDoS-Attacken werden die Server von den Angreifern mit Anfragen überschüttet, um den gesamten Server lahmzulegen. Solche Angriffe gehen vielmals mit Erpressung einher, damit die Opfer zahlen, um den Angriff zu stoppen. Die kontinuierliche Analyse des Netzwerktraffic, die Verwendung von Lastverteilung auch durch Einsatz von Loadbalancer oder DDoS-Schutzfunktionen bei der Nutzung von Cloud können sinnvolle Maßnahmen sein, um diesen Angriffen zu begegnen.
Viele Schwachstellen und Einfallstore schlummern jedoch über längere Zeit unerkannt. Auch Fehlkonfigurationen gehören dazu. Was tun?
Nehmen wir an, das Unternehmen ist ein Organismus – dann ist das Netzwerk im Kontext von Cybersicherheit die Aorta, die die notwendigen Informationen transportiert. Treten an der Aorta Anomalien auf, hakt es schnell im ganzen Organismus. Daher brauchen KMU eine Lösung, die den Datenverkehr und die Systemaktivitäten stets überwacht. Auch das Patchmanagement kommt hier zum Tragen, um Schwachstellen zu erkennen und sie durch Updates zu beseitigen. Spezielle Systeme wie das Randori Surface Management setzen auf dem äußersten Layer der IT-Umgebung an und liefern den IT-Fachkräften wertvolle Hinweise zur Verwundbarkeit der Außenhaut eines Unternehmens aus Blickrichtung eines potenziellen Angreifers. Und dann folgen IT-Verantwortliche am besten einem Credo, das auch bei der Absicherung des Eigenheims gelten sollte: "Machen Sie Ihre Schwachstelle zu der eines Dritten". Soll heißen: Sinnvolle und gezielte Investitionen in Sicherheit können sich schnell lohnen. Zwar bleiben gewisse Schwachstellen vorhanden, doch Unternehmen, die sich auf den ersten Blick oft schon mit kleinen Maßnahmen sehr gut schützen, warnen einen potenziellen Angreifer und er zieht vielleicht lieber weiter zu einem Opfer, das sich leichter darstellt. Der Effizienzgedanke auf Angreiferseite hat sich die letzten Jahre stark weiterentwickelt, sollten Angriffe nicht aus politischem Interesse erfolgen. Vor allem bei kleinen IT-Teams kann es sich außerdem lohnen, gewisse Aufgaben auszulagern und einen Managed Security Service Provider mit bestimmten Securityaufgaben zu betrauen.
Eine Frage in Sachen Ransomware lautet oft: Zahlen oder nicht zahlen. Wie stehen Sie dazu?
Das lässt sich so pauschal nicht beantworten. Zum einen müssen sich Firmen über die Gesetzeslage im Klaren sein. Es gibt Länder, in denen es strafbar ist, Lösegeld zu zahlen. Ob es auch sinnvoll ist, ist eine andere Frage. Wie steht es um die Geschäftskontinuität? Muss ich ohne die Daten um den Fortbestand meiner Firma bangen? Was sind alternative Lösungen? Wie sicher kann ich sein, dass die Angreifer ihr Wort halten und die Daten wieder freigeben? Das Thema ist also komplex. Aus dem jüngsten IBM Report "Cost of a Data Breach" lässt sich dennoch eine klare Empfehlung ableiten: Es ist besser, nicht zu zahlen. Unternehmen, die bei Ransomware-Attacken die Strafverfolgungsbehörden eingeschaltet haben, konnten die Angriffsdauer im Schnitt um 33 Tage reduzieren und sparten 470.000 Euro.
Die Dauer zwischen einer initialen Ransomware-Infektion und dem Datenabfluss sowie der Verschlüsselung wird immer geringer. Wie ist hier ein effektiverer Schutz möglich?
Patchmanagement und mehr Sensibilisierung der Belegschaft habe ich schon angesprochen. Aber KMU haben noch mehr Möglichkeiten: Der Einsatz von intelligenten EDR-Systemen wie ReaQta, einer Antivirensoftware, kann viele Attacken im Keim ersticken, da sie Viren und schädliche Programme erkennen, bevor sie im Postfach der Mitarbeiter landen. Mit der zunehmenden Verlagerung von Workloads in die Cloud gewinnt auch die Authentifizierung an Bedeutung. Ein mehrstufiges Verfahren erhöht die Sicherheit und macht es Angreifern schwerer, Zugriff auf die Systeme zu bekommen. Zero Trust ist hier das Gebot der Stunde. Ein weiteres Plus an Sicherheit schafft die Netzwerk-Segmentierung. In segmentierten Umgebungen kann sich Ransomware schlechter verbreiten und KMU verhindern, dass ein infizierter Rechner gleich das ganze System gefährdet. Durch den Einsatz von Verhaltensanalyse-Tools lassen sich zudem verdächtige Aktivitäten in Echtzeit erkennen und potenzielle Angriffe frühzeitig identifizieren.
Welche Rolle spielt künstliche Intelligenz in dieser Gemengelage eigentlich?
Künstliche Intelligenz ist auch im Bereich der IT-Sicherheit eines der Trendthemen – sowohl bei den gutwilligen als auch bei den böswilligen Akteuren. So werden Phishing-Mails durch den Einsatz von künstlicher Intelligenz glaubhafter und sehen vertrauenswürdiger aus. Dem entgegen steht der Einsatz von KI und Machine Learning auf Unternehmensseite, mit deren Hilfe die IT-Teams die große Masse an Daten vorfiltern. So kann beispielsweise ein Analyst im Security Operations Center die Logdaten wesentlich schneller überprüfen, wenn eine KI alle als sicher eingestuften Logs bereits herausgefiltert hat. Dennoch wird eine KI den Analysten kaum ersetzen können – denn die Entscheidungshoheit, was für das Unternehmen eine Gefahr darstellt, hat am Ende immer der Mensch.
Vielen Dank für das Gespräch.