Beliebtes Home Office bringt erhöhtes Sicherheitsrisiko mit sich
Die Bedrohungslage in der IT hat sich im letzten Jahr dramatisch zugespitzt. Durch den Ausbruch der Corona-Pandemie haben sich die Unternehmensnetzwerke von einem Tag auf den anderen massiv verändert. Erstreckte sich das Netzwerk bisher hauptsächlich innerhalb der vier Wände des Firmengebäudes, erweiterte es sich nun schlagartig um eine Vielzahl von privaten Netzwerken. Durch den erhöhten Zeitdruck, alle Mitarbeiter:innen sofort ins Home Office zu schicken, Remote Work zu ermöglichen und durch den mangelnden Vorrat an Hardware wurde teilweise auch die Nutzung von privaten Endgeräten genehmigt. Somit hat sich die Angriffsfläche um ein Vielfaches vergrößert. Angreifer:innen bietet sich so die Möglichkeit, über private Netzwerke und Endgeräte, die nicht den Sicherheitsstandards des Unternehmens entsprechen, Zugriff auf Unternehmensressourcen zu bekommen. Und wir sind noch mittendrin: Über ein Jahr später ist Remote Work bzw. hybrides Arbeiten für die meisten Unternehmen Standard geworden und wird auch zukünftig bestehen bleiben.
Mehr hilft mehr. Das Mindestmaß an Security muss erhöht werden!
Jede:r ist das Ziel. Das Mindset „Das passiert nur den anderen, aber nicht mir“ gilt in IT-Security-Angelegenheiten nicht, vor allem seit 2020 nicht mehr.
Täglich finden so beispielsweise Spionageangriffe statt, die nur darauf abzielen, Zugriff auf Daten und Wissen der Konkurrenz zu bekommen. Doch wie kommen Angreifer:innen ins Netzwerk? Die Antwort lautet: Schwachstellen im System. In der Regel gibt es zwei Arten von Schwachstellen: erstens die Technik und zweites den Menschen.
Technische Schwachstellen entstehen dann, wenn Sicherheitslücken nicht rechtzeitig identifiziert und z. B. durch das Einspielen von Updates und Patches geschlossen werden. Oft werden auch veraltete Systeme und Software eingesetzt, für die keine Sicherheitsupdates mehr bereitgestellt werden oder die aus unterschiedlichen Gründen nicht gepatcht werden können. Angreifer:innen nutzen diese Gelegenheiten, um sich Zugriff auf das Unternehmensnetzwerk zu verschaffen. Die andere, oftmals unterschätzte Schwachstelle, nämlich der Mensch, ist komplexer: Oft versuchen Angreifer:innen über Social Engineering an unternehmensinterne Informationen und Daten zu gelangen. So wird z. B. per Email oder Telefon versucht Mitarbeiter:innen zur Preisgabe von Zugangsdaten oder zum Tätigen einer Überweisung zu bringen. Die Schwachstelle Mensch zu minimieren gestaltet sich schwierig, da jeder Mensch verschieden ist und mehr oder weniger anfällig für Manipulationen.
Wir beobachten die Bedrohungslage stetig und sind überzeugt davon: Basic Security reicht nicht mehr aus. Endpoint-Lösungen sowie eine leistungsstarke Perimeter-Security-Lösung sind zwar immer noch unabdingbar, doch muss das Mindestmaß um ein schnelles und agiles Schwachstellenmanagement erhöht werden. Auch ein regelmäßiges Monitoring der Security-Logs auf den Sicherheitssystemen muss zum Standard werden.
Wie kriegt man Schwachstellen in den Griff?
Schwachstellen im Netzwerk zu haben ist normal und kann auch nicht vollständig verhindert werden. Wichtig ist allerdings, diese Sicherheitslücken zu (er)kennen, sie bestenfalls zu schließen oder mindestens im Auge zu behalten. Hier kann ein Schwachstellenscan hilfreich sein. Dieser wird aber in der Regel nur einmal im Jahr, Quartal oder Monat durchgeführt. Diese Momentaufnahme der vorhandenen Schwachstellen ist aber nur bedingt aussagekräftig. Allein durch das vermeintliche Schließen einer Schwachstelle durch Einspielen eines Patches können neue Schwachstellen entstehen. Auch durch das regelmäßige Durchführen von Systemupdates oder dem Installieren neuer Software können neue Schwachstellen entstehen. Diese Sicherheitslücken werden dann oft erst wieder beim nächsten manuellen Schwachstellescan erkannt. Dann kann es allerdings schon zu spät sein. Das Stichwort heißt: Automatisierung. Mit einem dauerhaften Schwachstellenmanagement können Sicherheitsrisiken erkannt, dokumentiert, qualifiziert, priorisiert und gelöst werden. Manuell ist dies so nur sehr schwer abbildbar und vor allem fehleranfällig. – Tools müssen und können hier unterstützen. Beispielsweise kann ein automatisiertes Reporting erstellt werden, welches die IT-Verantwortlichen oder die Geschäftsführung verständlich und komprimiert darüber informiert, an welchen Stellen gerade ein erhöhtes Sicherheitsrisiko besteht. So können rechtzeitig Maßnahmen eingeleitet werden, wie z. B. das Einspielen von Updates oder das Anpassen von Konfigurationen. Der Vorteil hierbei ist, dass durch das dauerhafte Überprüfen der Schwachstellen der Erfolg der eingeleiteten Maßnahmen direkt ersichtlich wird ist.
Doch nicht nur die Security-Tools entwickeln sich stetig weiter und werden immer mächtiger, auch die Angreifer:innen werden immer einfallsreicher und perfektionieren ihre Methoden. Immer häufiger rückt die Schwachstelle Mensch in den Fokus der Angriffe. Durch immer ausgefeiltere Taktiken werden Mitarbeiter zu überlisten versucht. Phishing-Mails sind kaum noch von validen Emails zu unterscheiden. Bei gezielten Angriffen wird oftmals über lange Zeit der Emailverkehr oder Chatverlauf des Opfers beobachtet, um genau angepasste Nachrichten zum richtigen Zeitpunkt nachzuahmen. Hier helfen zwar intelligente Security-Systeme dabei, verdächtige Nachrichten zu filtern, allerdings erreichen trotzdem immer wieder gefälschte Emails ihren Empfänger.
Deshalb gehören Awareness-Trainings der Mitarbeiter:innen in ein ganzheitliches Securitykonzept. Egal ob im Büro, im Home Office oder der Produktion: alle Mitarbeiter, die mit Unternehmensdaten arbeiten, müssen verstehen, wieso Security-Maßnahmen wichtig sind und wie sie selbst Teil der Abwehr werden können. Die IT-Verantwortlichen müssen hier person of contact sein.
Ein Blick muss genügen
Alle Tools, die im Rahmen der IT-Sicherheit im Einsatz sind, müssen zentral einsehbar sein. So können IT-Verantwortliche auf einen Blick sehen, wo ein Bedrohungspotenzial besteht und über Sicherheitsvorfälle informiert werden. Umsetzbar ist dies durch zentrales Monitoring: Stellt man einen Bildschirm auf, auf dem alle Statusmeldung aller Tools mit einem Ampelsystem visualisiert sind, gelingt der Überblick: Leuchten die Tafeln grün, läuft alles reibungslos. Blinkt nur ein Feld gelb oder rot, muss gehandelt werden. Wichtig ist, dass das Monitoring zum Handeln animiert. Diese Awareness muss bei Mitarbeiter:innen geschaffen werden, um im Anschluss zu klären, ob es sich um einen kleinen Software-Bug, einen defekten Speicher oder tatsächlich um einen Sicherheitsvorfall handelt.
Gleichzeitig unterstützt ein zentrales Logmanagement bzw. ein SIEM (Security Information and Event Management) dabei, Bedrohungen schnell zu erkennen und präzise reagieren zu können. SIEM ist ein auf Security reduziertes Logmanagement, das auch Schnittstellen zu Endpoints und Firewalls bietet. Die Implementierung ist komplexer und langwieriger als bei einem reinen Logmanagement. Allerdings bietet ein SIEM ein präziseres Reporting, in dem es Bedrohungen sammelt, korreliert, analysiert und priorisiert. Mittlerweile gibt es für den Mittelstand SIEM-Lösungen, die bereits nach zwei Tagen erste Ergebnisse anzeigen. Standardmäßig dauert die Implementierung je nach Unternehmensgröße bis zu sechs Monate. Ob für Unternehmen ein SIEM oder ein Logmanagement sinnvoll ist, muss individuell betrachtet werden.
FAZIT: Mit 5 Schritten zu mehr Transparenz und dadurch mehr Sicherheit in Ihrem Netzwerk
1. Awareness im Management
Entscheider:innen müssen verstehen, dass jede:r das Ziel ist. Durch das mobile Arbeiten erweitert sich die Angriffsfläche auf Unternehmensdaten um ein Vielfaches. Lassen Sie die Konkurrenz nicht von Ihnen abschreiben.
2. Man ist nur so sicher wie das schwächste Glied
Auch alle Mitarbeiter:innen müssen verstehen, dass sie eine mögliche Sicherheitslücke darstellen. Zeigen Sie an echten Beispielen, wie hauseigene Phishing-Attacken, wie leicht man zum Opfer wird, um die Awareness zu steigern.
3. Vom Suchen und Finden
Dokumentieren, Qualifizieren, Priorisieren und Lösen Sie Ihre Schwachstellen. Sie müssen täglich wissen, welche Sicherheitslücken in Ihrem System existieren, um diese unterbinden zu können. Installieren Sie Tools, die Ihnen dabei helfen.
4. Alles an Ort und Stelle
Sie müssen auf einen Blick sehen, welches Bedrohungspotential besteht. Ungereimtheiten müssen sofort erkannt werden und zum Handeln auffordern. Zentrales Monitoring und SIEM sammeln alle relevanten Informationen, priorisieren diese und sagen Ihnen, was zu tun ist.
5. Lassen Sie die Systeme für Sie arbeiten
Verringern Sie manuellen Aufwand und minimieren Sie dadurch das Fehlerrisiko, Bedrohungen und Schwachstellen zu finden und zu beheben. Software-Programme sind so intelligent, dass sie mithilfe von Automationen die Arbeit für Sie erledigen. Nutzen Sie diesen Luxus.
Remote Work wird nicht komplett verschwinden, es ist Zeit für #newwork. Im Rahmen von mobilem Arbeiten bedeutet es gestiegene Sicherheitsanforderungen. Nun müssen Verantwortliche handeln, um Angreifer:innen das Spiel nicht leicht zu machen. Grundsätzlich sind IT-Security-Systeme wie z. B. Microsoft PowerPoint: Die meisten Mitarbeiter:innen arbeiten mit den Basics, um eine solide Präsentation zu erstellen. Doch PowerPoint kann so viel mehr, wenn man die Funktionen kennt und bedienen kann. Man spart Zeit und Geld, wenn man Programme effizient und vollumfänglich bedient. Hoffentlich haben Sie bereits Anwendungen installiert, die Ihre Sicherheit erhöhen können.
Ich freue mich über Ihre Kontaktaufnahme
Johannes Ulbrich
Head of Cyber Security & Services
T: +49 931 250993-10
M: ulbrich@bitbone.de
Connect auf LinkedIn
Mehr aus dem bitbone Blog gibt’s hier