Die unterschätzte Gefahr: Strategien zur Stärkung Ihrer IT-Sicherheit gegen Cyberangriffe

Jedes Haus hat eine Haustür, abschließbare Fenster, manchmal sogar einen Zaun und eine Alarmanlage, um unerwünschte Eindringlinge und Einbrecher fernzuhalten. Bei der IT vieler Unternehmen sucht man solche Sicherheitsvorkehrungen oft vergeblich. In vielen Fällen besteht das Netzwerk aus einigen Servern, dem Router, Netzwerkgeräten und Computern. Der Zugang erfolgt über die Eingabe des persönlichen, 12-stelligen Passwortes - #Baerchen123, auf Daten und Ressourcen kann dann sofort und ohne weitere Legitimation zugegriffen werden. Das WLAN ist ungesichert und ohne Netzwerktrennung, so dass auf den Server und das restliche Netzwerk ohne Passwort zugegriffen werden kann.

Wachsende Bedrohung durch Cyberattacken und die Notwendigkeit der IT-Sicherheit

Täglich wird über Datenlecks, Hacks, Cyberattacken und Verschlüsselungstrojaner berichtet. Dennoch sind sich auch heute noch viele Unternehmer nicht bewusst, wie anfällig die Endgeräte oder Netzwerke des eigenen Unternehmens für Cyber-Angriffe sind.

Um eine Kompromittierung der eigenen IT zu verhindern, gibt es seit Anbeginn der IT die Disziplinen Cybersecurity bzw. IT-Sicherheit. Oberstes Ziel der IT-Sicherheit ist es, die Verfügbarkeit, Vertraulichkeit und Fehlerfreiheit der eigenen Daten und Informationen zu gewährleisten. Ein Eindringen in die Netzwerke soll unbedingt vermieden werden.

Verständnis gängiger Angriffsvektoren und Bedrohungen

Hierzu haben sich im Laufe der Jahre eine Vielzahl von Möglichkeiten und Strategien entwickelt. Bevor jedoch auf die Vermeidungsstrategien eingegangen wird, sollen zunächst die häufigsten Angriffsvektoren, Angriffswege und Bedrohungen kurz erläutert werden:

Phishing-Angriffe: Eine gängige Methode zur Infiltration der Systeme

Unter Phishing versteht man den Versand gefälschter oder manipulierter E-Mails. Dabei wird durch Verschleierung des wahren Absenders und Manipulation durch möglichst gute Anpassung (Social Engineering) der E-Mail an das sonstige Geschäftsgebaren von Absender und Empfänger der Eindruck erweckt, die Nachricht stamme aus einer bekannten Quelle. Der Angreifer nutzt dabei gezielt menschliche Schwächen oder das Vertrauen des Empfängers aus, um Informationen oder Zugang zu erhalten oder Schadsoftware einzuschleusen.

Häufig wird z.B. der Anzeigename der E-Mail-Adresse einer real existierenden Person nachgeahmt, um Vertraulichkeit vorzutäuschen. Im Anhang der E-Mail werden dann entweder manipulierte Anhänge versendet oder Hyperlinks zu externen Seiten angehängt, über die Schadsoftware auf das Endgerät eingeschleust werden soll.

Backdoor und Zero Day Exploit: Unerkannte Einfallstore für Angreifer

Eine Backdoor bezeichnet eine Lücke in einer Software, d.h. eine absichtlich (oder unabsichtlich durch Programmierfehler) eingebaute Hintertür, durch die der Täter unerkannt und unbemerkt Zugriff auf die eigentliche Anwendung oder das Endgerät erhält. Durch die Ausnutzung der Schwachstelle kann der Angreifer unbemerkt auf die Daten des infizierten Assets zugreifen.

Ein Zero Day Exploit ist eine unbeabsichtigte Hintertür, die den Entwicklern noch unbekannt ist. Der Angreifer kann die Schwachstelle so lange ausnutzen, bis sie vom Hersteller erkannt und behoben wird.

Trojaner : Versteckte Gefahren

Ähnlich wie das Trojanische Pferd tarnt sich ein sogenannter Trojaner vordergründig als nützliche Anwendung oder bereits erwartete Datei, die nach der Ausführung im Hintergrund unbemerkt eine andere Funktion erfüllt.  So kann entweder eine Spionagesoftware ausgeführt werden, die Informationen nach außen schmuggelt, oder die Ausführung des Trojaners verschlüsselt den gesamten Datenbestand des Empfängers.  Trojaner können über Phishing-E-Mails in ein Netzwerk eingeschleust werden, aber auch auf externen Datenträgern, die ahnungslosen Personen untergeschoben werden.

DoS-Angriffe: Überflutungsattacken

Bei der DoS (Denial of Service) wird ein Server, eine Website oder eine andere Netzwerkressource mit Traffic überflutet, wodurch diese nicht mehr betrieben werden kann und den Dienst einstellt. Durch den Angriff aus verschiedenen „Richtungen“ – DdoS (Distributed Denial of Service) kann der Angreifer nicht blockiert werden, was zu einem längerfristigen Ausfall der Ressource führt.

BruteForce und Kennwort Spraying Angriffe: Das Risiko einfacher Passwörter

Bei einem BruteForce- oder Kennwort-Spraying-Angriff werden einzelne Accounts eines Unternehmens algorithmisch angegriffen und mit einer Vielzahl von Passwörtern konfrontiert. In der Regel werden besonders einfache bzw. gängige Passwörter ausprobiert, um möglichst schnell in das Netzwerk zu gelangen.

Je einfacher das Passwort, desto schneller ist der Angreifer im Zielsystem.. Besteht das Passwort beispielsweise aus 8 Zahlen, dauert es nur 0,1 Sekunden, bis das Passwort geknackt ist.  Besteht das Passwort dagegen aus 8 Buchstaben, Zahlen und Sonderzeichen, dauert es theoretisch bis zu 84 Tage. Mit dem Fortschritt der Technik und immer leistungsstärkeren Systemen, reduziert sich diese Zeit natürlich immer weiter, sodass möglichst komplexe Passwörter wichtig sind.

Die Folgen von Cyberangriffen auf Unternehmen

Durch die Infiltrierung von Netzwerken oder Assets entstehen eine Vielzahl an Risiken. Die für Unternehmen wichtigsten sind die folgenden:

Durch die Offenlegung von Geschäftsgeheimnissen (Englisch: „Leak“) können Know-How, Patente oder sonstige Daten, wie z.B. Nutzerdaten und Passwörter, aus dem Netzwerk extrahiert werden. Diese können entweder von Wettbewerbern genutzt werden oder bei Bekanntwerden des Lecks einen massiven Reputationsschaden nach sich ziehen.

Auch die Unterbrechung des Geschäftsbetriebs durch Verschlüsselung oder Datenverlust im Anschluss an eine erfolgreiche Phishing-Attacke oder tagelange Downtime relevanter Systeme durch eine DDoS-Attacke sind häufige und äußerst kostenträchtige Folgen solcher Angriffe. 

Im Nachgang an eine erfolgreiche Cyberattacke kommt es oft zur Erpressung der betroffenen Unternehmen, um mittels einer Lösegeldzahlung wieder an die eigenen Daten heranzukommen oder die Offenlegung von Geschäftsgeheimnissen zu vermeiden.

Strategien zur Stärkung der IT-Resilienz

Damit es erst gar nicht zu einem Hack kommt, gilt es, die unternehmenseigene IT möglichst resilient aufzubauen. Wichtige Punkte hierfür sind:

1. Absicherung des Netzwerks mittels einer Firewall zur Kontrolle der Datenströme, Aufteilung der Netzwerkbereiche und Einschränken der Berechtigung der einzelnen Bereiche.
2. Bereitstellen eines Antivirensystems, um Malware und Trojaner frühzeitig zu erkennen oder noch vor dem Eindringen ins Netzwerk aus dem Verkehr zu ziehen. Hierfür gibt es auch immer mehr KI-Unterstützte Tools, die Schadsoftware noch schneller erkennen.
3. Durch den Einsatz einer Patch-Management-Lösung wird sichergestellt, dass alle relevanten Systeme stets auf dem aktuellen Stand sind und erkannte Sicherheitslücken zeitnah geschlossen werden.
4. Kein Backup, keine Gnade! Aufbau eines strukturierten Datensicherungskonzepts, um im Falle einer Verschlüsselung oder Kompromittierung der Daten schnell eine Wiederherstellung eines „sauberen“ Systems zu ermöglichen. Hierbei hat sich die 3-2-1 Regel als Industriestandard durchgesetzt. Grundsätzlich besagt die Regel, dass vom Datenbestand drei Kopien erzeugt werden, die auf zwei verschiedene Arten gespeichert werden soll. Die dritte Kopie soll an einem externen Standort, also georedundant, gespeichert werden. Da Hacker diese Regel und sonstige gängige Backupstrategien kennen, versuchen neueste Verschlüsselungsalgorithmen zuerst die Backups zu verschlüsseln, bevor der Angriff nach Verschlüsselung des Primärsystems offensichtlich wird. Dem kann mit entsprechender Software entgegengewirkt werden, welche ein Verschlüsseln der Sicherungen erschwert oder gar vermeidet.
5. Ein Großteil der erfolgreichen Phishing-Angriffe geht auf unaufmerksame Endanwender zurück. Hier bietet es sich an, regelmäßige Cybersecurity-Awarenesstrainings durchzuführen und die Benutzer kontinuierlich über die möglichen Phishing-Szenarien zu informieren. Hierfür gibt es mittlerweile viele verschiedene Schulungsangebote und automatisierte Phishing-Trainings für Unternehmen. 
   Beim Eingang von E-Mails ist immer auf Folgendes zu achten ( BSI – Wie erkenne ich Phishing-E-Mails und -Webseiten?):
   - Kenne ich den Absender bzw. stehe ich im Kontakt mit dem betreffenden Unternehmen?
   - Erwarte ich eine entsprechende E-Mail bzw. den gesendeten Anhang??
   - Ist die E-Mail-Adresse zum Anzeigenamen schlüssig, z.B. M.Mustermann@microsoft.com und nicht MaMuu@micro-soft-customercare.to?
   - Sind angefügte Links schlüssig hinsichtlich des darunterliegenden Aufbaus und enthalten keine ungewöhnlichen Zeichen?
6. Einführen von Multifaktorauthentifizierung, die neben dem Profil und richtigen Passwort noch einen zusätzlichen Faktor, wie die Freigabe per App oder durch einen Hardwaretoken, erfordert, um Zugriff auf das System oder spezielle Ressourcen zu erhalten.
7. Erstellen eines IT-Notfallplans, denn kein System ist unknackbar. Der Notfallplan sollte Informationen und Maßnahmen dazu enthalten, wie auf verschiedene Szenarien eines Cyberangriffs zu reagieren ist.
   Um im Falle einer Cyberattacke schnell relevante Informationen an den IT-Sicherheitsverantwortlichen weiterzugeben, ist eine sog. IT-Notfallkarte hilfreich. Ähnlich wie bei Unfällen sollten hier die 5-Ws abgearbeitet werden – Wer – Wie – Wann – Was und Wo (BSI -IT Notfallkarte (bund.de))
8. Durchführung regelmäßiger Penetrationstests, bei denen das interne System auf Schwachstellen und Sicherheitslücken überprüft wird. Hier gibt es die Möglichkeit entweder entsprechende Dienstleister zu buchen oder mittels Software wiederkehrende Penetrationstests durchzuführen.

Das Zero-Trust-Modell: Ein aktueller Ansatz zur Steigerung IT-Sicherheit

Ein zunehmend verbreiteter Ansatz, um ungebetenen Eindringlingen das Leben schwer zu machen, ist das Zero-Trust-Modell. Dieses besagt, dass im Gegensatz zur bisherigen Annahme, dass alle Devices im Netzwerk vertrauenswürdig sind, alle Assets als potenziell infiziert behandelt werden müssen. Dementsprechend sind fünf Grundprinzipien zu beachten, um dem einzelnen Nutzer bzw. Asset so wenig Rechte wie möglich einzuräumen:

1. Grundsätzliches Misstrauen gegenüber allen Assets im Netzwerk
2. Einschränkung der Zugriffsrechte: Jeder Nutzer oder Device erhält nur die Rechte, die er für seine Arbeit benötigt. Für den Zugriff auf die Systeme wird in jedem Fall eine Legitimation benötigt.
3. Dauerhafte Überwachung: Der Status und das Verhalten der Assets wird kontinuierlich auf Anomalien geprüft und überwacht.
4. Netzwerksegmentierung: Das Netz wird in möglichst kleine geschlossene Bereiche unterteilt, um ein Ausbreiten von Malware zu verlangsamen.
5. Zero Trust Access: Es kann nur nach erfolgreicher Authentifizierung auf Ressourcen im Netzwerk zugegriffen werden.

Durch den Einsatz der beschriebenen Maßnahmen im Rahmen eines strukturierten IT-Sicherheitskonzeptes reduzieren Unternehmen das Risiko, Opfer eines IT-Angriffs zu werden. Wie in allen Lebensbereichen gilt auch hier: „Gelegenheit macht Diebe“. Stellt ein potenzieller Angreifer bereits in der Vorbereitungsphase fest, dass die IT des potenziellen Ziels deutlich besser geschützt ist als erwartet, kann es sein, dass er weiterzieht und sich ein leichteres Opfer sucht.

Die Einführung gesetzlicher Vorgaben zur Verbesserung der IT-Sicherheit

Behörden und Regierung haben die Gefahr erkannt, die von vernachlässigter IT-Sicherheit ausgeht und im Laufe der Jahre verschiedene Gesetze und Vorschriften erlassen, die Unternehmen zur Umsetzung entsprechender Maßnahmen verpflichten. Dazu gehören u.a:

Die EU NIS 2.0 ist der europäische Mindeststandard für Cybersecurity innerhalb der EU, muss durch die EU-Mitgliedsstaaten jedoch noch durch nationale Gesetze  umgesetzt werden.

Das NIS 2 Umsetzungsgesetz ist das noch nicht final veröffentlichte Umsetzungsgesetz, das die EU NIS 2.0-Standards in nationale Regulierungen überführen soll.

Das IT-Sicherheitsgesetz 2.0 ist seit 2021 in Kraft und enthält u.a. Vorgaben zu den Themen Detektion und Abwehr, Sicherheit in Unternehmen und Cybersicherheit in den Mobilfunknetzen.

Die KRITIS-Verordnung tritt 2023 in Kraft und verpflichtet Betreiber kritischer Infrastruktur in Deutschland zu mehr IT-Security. Betroffen sind hiervon Unternehmen, welche in den Bereichen Grundversorgung der Bevölkerung, Versorgung oder z.B. kritischen Dienstleistungen zur Versorgung der Allgemeinheit im Bereich Datenübertragung und Datenverarbeitung tätig sind.

Zum Autor:

Benjamin Blattert ist Wirtschaftsingenieur und leitet in zweiter Generation zusammen mit seinem Bruder als Prokurist das IT-Systemhaus Jerg.

Weitere Beiträge zum Thema:

IT-Sicherheitsbeauftragter

Künftig mehr Kompetenzen für BKA und BSI?

Was ist bei der Wahl eines Passwords zu beachten?