Security-Kolumne
Datum:
Dieser Artikel wurde verfasst von
Senior Manager, Incident Response
Jeder Vorfall hat seine eigene Geschichte – doch hinter vielen Cyberangriffen verbirgt sich derselbe rote Faden: kleine Schwachstellen, die in Kombination zum Einfallstor werden. Aus mehr als einem Jahrzehnt Incident Response wissen wir, dass nicht allein die technisch ausgefeilten Angriffe gefährlich sind, sondern oft einfache Fehler in Prozessen, Konfigurationen und Awareness. In diesem Beitrag zeigen wir die typischen Ursachen, illustriert mit anonymisierten Beispielen aus unserer Praxis, und erklären, wie Sie sich wirkungsvoll schützen können.
Fehler machen ist menschlich. Und doch kann ein kleiner Fehler in der IT, den Stein ins Rollen bringen, der am Ende zum Stillstand eines Unternehmens führt. Und so haben wir schon häufiger als Ursache von großen Cyberangriffen Probleme im Zusammenhang mit der Durchführung von Updates bei Software und IT-Systemen festgestellt. Und zwar auch solche von denen man der Meinung ist, dass sie eigentlich nicht passieren: Anstelle eines Updates auf eine neue Version wurde fälschlicherweise eine veraltete Version eingespielt und somit ein Downgrade durchgeführt. Oder auch: Beim Neuaufsetzen von IT-Systemen wird einfach eine alte Version aufgesetzt, weil das dazugehörige Image gerade verfügbar war und im üblichen Zeitmangel des Arbeitsalltages auf den Download der aktuellen Version verzichtet wird. Die alte Version verfügt oftmals über eine Vielzahl von Schwachstellen, was besonders schwerwiegende Auswirkungen für aus dem Internet erreichbare Systeme hat. Innerhalb von kurzer Zeit identifiziert einer der tausenden automatisiert durchgeführten Scans
(z. B. durch Anbieter wie Shodan.io) das System mit der Lücke und gleich mehrere Angreifer-Gruppen liefern sich einen Wettkampf darum, wer das System als erstes erfolgreich kompromittieren kann. Ausgehend von diesem
Einfallsvektor – dem sogenannten „Patient Zero“ - verschaffen sich Angreifer dann einen Überblick über die Infrastruktur und greifen weitere Systeme an, was bei unzureichenden weiteren Sicherheitsmaßnahmen schnell zur Verschlüsselung der gesamten IT-Landschaft führt.
Was den betroffenen Unternehmen oftmals fehlt, ist ein ausgereiftes Change- bzw. Patchmanagement, welches den Prozess für die Veränderung von IT-Systemen und das regelmäßige Durchführen von Updates regelt und dabei Aspekte der IT-Sicherheit nicht vernachlässigt. Des Weiteren fehlt es an Kontrollmechanismen, um menschliche Fehler, wie das manuelle Einspielen einer falschen Version, abzufangen. Durch eine zentrale Softwareverwaltung und ein effektives Schwachstellenmanagement, welches den Einsatz von Systemen mit Sicherheitslücken erkennt, kann diesem Szenario entgegengewirkt werden.
Ein weiteres Problem, was sich häufig bei unseren Vorfällen beobachten lässt ist, dass den für die IT / IT-Sicherheit zuständigen Personen zu wenig personelle und/ oder auch finanzielle Ressourcen zur Verfügung stehen. Die Bereiche sind oftmals unterbesetzt oder können geplante Modernisierungen und Anpassungen aufgrund von fehlenden Mitteln nicht umsetzen.
Zu wenig Personal oder fehlende Kompetenzen, führen oft dazu, dass die Mitarbeiterinnen und Mitarbeiter allein schon durch das normale Tagesgeschäft vollkommen aus- oder überlastet sind. Maßnahmen zur Erhöhung oder Verbesserung der IT-Sicherheit werden vernachlässigt, denn es bleibt oftmals keine Zeit, dass eigene Sicherheitsniveau regelmäßig zu überprüfen, notwendige Maßnahmen zu identifizieren – oder diese überhaupt umzusetzen. So passiert es, dass bestehende Infrastrukturen über Jahre hinweg unverändert betrieben werden, während die Bedrohungslage rasant wächst. Geplante Modernisierungen von veralteten Systemen, oder das Einführen von Sicherheitssoftware, erstreckt sich über Jahre oder macht kaum Fortschritte, weil es am Personal oder an den monetären Mitteln mangelt. Irgendwann sind die Systeme und Abwehrmaßnahmen aus der Zeit gefallen und können aktuellen Angriffen nicht mehr standhalten. Solche sogenannte
„Low-Hanging Fruits“ sind ein einfaches Angriffsziel, da sie modernen Angriffstechniken keine Hürden in den Weg stellen. Ist der initiale Zugang in das interne Netzwerk überwunden, können sich Angreifer schnell ausbreiten und ihre Schadwirkung entfalten. Denn aufgrund der oben genannten Probleme gibt es oftmals keine Separierung von Netzen, keine Multifaktor Authentifizierung zum Absichern von sensiblen Zugängen, kein zentrales Monitoring oder Sicherheitssoftware, die einen über die Kompromittierung alarmiert oder eingreift.
Dieses Problem trat in vergangenen Projekten auch dann auf, wenn der IT-Betrieb durch das betroffene Unternehmen nicht selbst erbracht, sondern an externe IT-Dienstleister ausgelagert wurde. Auch hier kann es passieren, dass der Vertrag für die Bedürfnisse des Unternehmens inzwischen zu klein dimensioniert ist und der Dienstleister mit zu wenig Personal oder zu wenig Stunden im Monat zur Verfügung steht. Gerade wenn Verträge schon sehr lange bestehen und selten an neue Anforderungen angepasst werden oder wenn ausschließlich die günstigsten Anbieter gewählt werden, kann es sein, dass der Dienstleister den Anforderungen nicht gerecht wird und Best Practices bezüglich IT-Sicherheit beim Härten, Aufsetzen und Betreiben von Systemen nicht beachtet werden.
Zumindest hat ein Cyberangriff den folgenden positiven Nebeneffekt: Ist erstmal etwas passiert, ist Geld oftmals keine Hürde mehr und die Notwendigkeit zur Investition lässt sich nicht von der Hand weisen. Und wenn die Infrastruktur einmal still liegt, weil Systeme verschlüsselt wurden, wird das veraltete System häufig grundlegend überarbeitet und neu aufgesetzt. Im Besten Fall begleitet von kompetenten Dienstleistern sowie Beraterinnen und Beratern, um moderne Sicherheitskonzepte in die neue Infrastruktur einzuarbeiten. Letztendlich kann ein Sicherheitsvorfall in Summe jedoch höhere Kosten aufwerfen, als wenn bereits präventiv in die Absicherung der Infrastruktur investiert wird.
Das Problem muss auf mehreren Schichten angegangen werden, um es zu vermeiden. Zunächst müssen sich Personen in einer Entscheider Rolle darüber bewusst sein, dass IT-Sicherheit eine Managementaufgabe ist und sie dafür die Verantwortung tragen. Neue Regularien, wie die NIS-2 Richtlinie legen dies sogar in Form von Gesetzen fest. Bei Nichteinhaltung drohen hohe Bußgelder, oder in Folge von Cyberangriffen, Ausfall des Geschäftsbetriebes oder Imageschäden. Der Verantwortung bewusst, muss diese auch umgesetzt werden, indem zum Beispiel der Reifegrad der Informationssicherheit bestimmt wird (siehe Reifegrad Assessment), Budgets und Kapazitäten für Stellen und Verträge an aktuelle Bedarfe angepasst oder die Umsetzung von Normen wie der BSI IT-Grundschutz, NIS-2 oder ISO27001 forciert wird. Und auch die Fachbereiche sind in der Verantwortung Missstände transparent zu machen, durch Weiterbildung Kompetenzen im Bereich der IT-Sicherheit aufzubauen und das höhere Management auf ihre Bedarfe hinzuweisen.
Fazit
Im Beitrag konnten wir zeigen, dass nicht nur technische Fehler, sondern auch organisatorische Probleme zu Cyberangriffen führen können. Zudem wurden Mittel und Wege aufgezeigt, um das Risiko von Angriffen zu minimieren. Die Erhöhung der eigenen Cyberresilienz über die genannten Ansätze ist erfahrungsgemäß ein erster Schritt zur Abkehr von rein reaktiven Maßnahmen hin zu einem strukturierten, präventiven Sicherheitsansatz.
Doch bei den hier aufgelisteten Problemen handelt es sich nur um einen Bruchteil, der Ursachen, die sich uns Tat für Tag bei der Behandlung von IT-Sicherheitsvorfällen zeigen. Deshalb werden wir diese Serie fortführen und auf weitere Risiken, wie mangelnde Awareness und Social Engineering, hinweisen, sowie Tipps für den Umgang geben.
Sollen Sie bei der Einschätzung Ihres Sicherheitsniveaus, der Planung und Umsetzung von Sicherheitsmaßnahmen oder akute Unterstützung in einem Notfall benötigen, zögern Sie nicht uns zu kontaktieren.
Unsere Expertinnen und Experten für Cyber Sicherheit stehen Ihnen gerne zur Verfügung.