Neue und unvorhersehbare Cyber-Bedrohungen: Proben für den Ernstfall statt reiner Präventivmaßnahmen

Security_xy

Wie sich die Investition in ein Privileged Access Management auszahlt  

Sicherheits- und Risikomanagementverantwortliche können künftige Bedrohungen zwar nicht vorhersagen, aber sie können aus der Vergangenheit lernen, wie sie sich vorbereiten müssen. Zu diesem Schluss kommen die Analysten von Gartner in ihrem Bericht „Prepare for New and Unpredictable Cyberthreats“. Die Zukunft ist unvorhersehbar, und Sicherheitsverletzungen sind unvermeidlich. Was sollten Führungskräfte im Bereich Cybersicherheit also tun?  

Im Gartner-Bericht heißt es: „Bis 2026 werden Unternehmen, die mindestens 20 % ihrer Sicherheitsmittel in Resilienz- und flexible Designprogramme investieren, die Gesamtwiederherstellungszeit bei einem großen Angriff halbieren.“ In der Praxis bedeutet das, Unternehmen sollten sie sich darauf konzentrieren, Sicherheitsprogrammen zu entwickeln, die auf gemeinsamer Risikoverantwortung, Widerstandsfähigkeit und flexibleren Reaktionsmöglichkeiten gegenüber neuen, unvorhersehbaren Bedrohungen der Cybersicherheit beruhen. Denn sie können nicht vorhersagen, wann der nächste Großangriff erfolgen wird und verschwenden daher oft wertvolle Ressourcen.  

Aus der Vergangenheit lernen  

Die digitale Transformation erobert die Geschäftswelt im Sturm. Intelligente Umgebungen, das Internet der Dinge (IoT), Schlüsseltechnologien (Industrial Internet of Things (IIoT)) und eine Vielzahl von Apps und Geräten sind häufige Ursachen für erweiterte Angriffsflächen durch Hacker. Dies erfordert keinen völlig neuen Sicherheitsansatz, sondern neue verbesserte Anforderungen an die Sicherheitskontrolle.  

Unternehmen neigen jedoch dazu, drastische Änderungen der Sicherheitslage nur dann zu erörtern, wenn ein aktueller oder gezielter Angriff Schlagzeilen macht. Dies führt zu übertriebenen und oftmals zu eng gefassten Reaktionen. Sobald die Krise überstanden ist, verlagern sich die Prioritäten wieder auf taktische Präventivmaßnahmen. Es ist jedoch ratsam, die Cyber-Angriffe, ihre Auswirkungen, die getroffenen Maßnahmen sowie deren Wirksamkeit im Anschluss zu bewerten. Denn eine Überprüfung der aktuellen Sicherheitslage kann Aufschluss darüber geben, was gut läuft und wo es im Unternehmen noch Verbesserungsbedarf gibt.  

Leider gibt es genügend Beispiele, von denen man lernen kann: Die Bedrohungslandschaft wird nachweislich immer gefährlicher. Zwischen 2019 und 2020 gab es einen Anstieg der Ransomware-Angriffe um 800 Prozent, wie 2021 der Sicherheitsreport von Deep Instinct herausfand und für das Folgejahr nochmals einen Anstieg von 125 Prozent beklagte.  

Etwa drei Viertel der Opfer zahlten im Regelfall an die Cyberkriminellen, um wieder Zugang zu ihren Daten zu erhalten oder zu verhindern, dass die Daten ins Darkweb gelangen. Nicht nur der finanzielle Verlust ist beträchtlich, sondern auch auch der Imageschaden für ein Unternehmen. 

Zwar haben sich seitdem die Sicherheitsmaßnahmen erhöht, um Angreifer in die Schranken zu weisen. Doch Cyberkriminelle reagieren darauf, indem sie sich nun verstärkt auf Techniken zur Umgehung dieser verstärkten Sicherheitsmaßnahmen konzentrieren. Bei der Überprüfung der acht wichtigsten Taktiken und Techniken von Cyberkriminellen für den Threat Landscape Report stellte FortiGuard fest, dass die Umgehung der Schutzmaßnahmen der Unternehmen die Liste anführt. Viele Malware-Entwickler nutzen die Ausführung von System-Binary-Proxys, um ihre Ziele zu erreichen. Malware-Entwickler haben es sich auch zur Aufgabe gemacht, ihre Bedrohung als legitim erscheinen zu lassen, um möglichst lange von Sicherheitsanalysten unentdeckt zu bleiben.  

In der Gegenwart handeln  

Eine der häufigsten Fragen, die den Analysten von Gartner gestellt wird, wenn es um die Bedrohungslandschaft geht, lautet: „Wie kann ich verhindern, dass ich in fünf Jahren von dem nächsten großen Angriff betroffen bin?“ Dies ist jedoch der falsche Ansatz. Die Frage sollte lauten: „Wie kann ich die Auswirkungen unvermeidlicher schwerer Angriffe durch solide Verfahren verringern?“  

Wenn eine Organisation Opfer eines Hackerangriffs ist, muss sie umgehend und schnell handeln. Wichtig ist es, Ruhe zu bewahren und Maßnahmen zu ergreifen. Dies sollte immer in Abhängigkeit von der Art des Angriffs und den gestohlenen oder gehackten Daten geschehen.  

  • Ermitteln Sie die Vorgehensweise der Eindringlinge: Sie müssen herauszufinden, wie der Angriff stattgefunden hat und welche Daten offengelegt wurden. Dann können Sie die notwendigen Maßnahmen ergreifen, um die Folgen des Angriffs einzudämmen und weitere zu verhindern. 
  • Suchen Sie nach Beweisen: Wenn möglich, sollten Sie die Beweise für den Angriff aufzeichnen. Die sicherste Art, dies zu tun, sind spezielle Lösungen, die die Aufzeichnung aller in der Umgebung durchgeführten Aktionen ermöglichen. Dies kann sogar bei der Behebung des Vorfalls helfen und die Betriebs- und Ausfallkosten reduzieren. 
  • Ändern Sie sofort Ihre Passwörter: Ändern Sie die Passwörter aller Benutzer und insbesondere die Anmeldedaten privilegierter Benutzer für E-Mails, den Netzwerkzugang und die Systemverwaltung. So verhindern Sie, dass Kriminelle gestohlene Zugangsdaten für weitere schädliche Angriffe missbrauchen. 
  • Überprüfen Sie das Backup: Die Verwendung von Software, die Ihre Informationen und Daten automatisch und effizient sichert, ist eine vorbeugende Maßnahme, die in solchen Fällen entscheidend sein kann. Sie erhöht die Chance der Wiederherstellung Ihrer Informationen sowie den Zugang zu ihnen erheblich. Überprüfen Sie daher nicht nur die Datensicherung, sondern auch regelmäßig, ob der Wiederherstellungsprozess wie erwartet funktioniert. 
  • Kommunizieren Sie über Datenlecks: Wenn die durchgesickerten Informationen andere Personen betreffen, wie etwa Mitarbeiter oder Verbraucher, müssen sie über den Vorfall und die getroffenen Maßnahmen informiert werden. Das ist nicht nur eine gute Geschäftspraxis, sondern auch gesetzlich vorgeschrieben. Sobald Unternehmen eine Datenschutzverletzung entdecken, müssen sie diese unverzüglich an die Behörde für personenbezogene Daten melden. 
  • Analysieren Sie die Schwachstellen: Neben der Suche nach den Verantwortlichen für die Datenlecks ist es wichtig, die Einschränkungen und Schwachstellen zu erkennen, die den Hackern den Zugang zu Ihrem System ermöglicht haben. Wenn Sie diese erkennen, müssen Sie geeignete Maßnahmen ergreifen, um künftige Vorfälle zu vermeiden

Auf die Zukunft vorbereiten  

Da unvorhersehbare Hackerangriffe immer häufiger vorkommen, müssen Führungskräfte im Bereich der Cybersicherheit die Widerstandsfähigkeit ihrer Unternehmen verbessern. Allein durch Investitionen in präventive Kontrollen kann dies jedoch nicht erreicht werden.  

Investieren Sie in Privileged Access Management 

Wenn Unternehmen die Behebung von Schwachstellen in IT-Umgebungen in Angriff nehmen, denken sie in der Regel zuerst an Patches, Updates und die Sicherstellung der richtigen Konfigurationseinstellungen. Aber auch die Zugriffsrechteverwaltung stellt eine Schwachstelle dar, insbesondere wenn es um privilegierte Benutzerkonten geht.  

Privilegierte Benutzerkonten habe Zugriff auf alle Systeme, Anwendungen und Daten und sorgen dafür, dass diese ordnungsgemäß funktionieren. Zu dieser Nutzergruppe gehören allgemeine IT-Administratoren, Systemmitarbeiter, Netzwerkspezialisten, DevOps-Spezialisten sowie die Geschäftsleitung. Heutzutage werden aber auch oft Automatisierungssysteme, APIs und andere Softwarelösungen dazu gezählt.  

Cyberkriminelle sind ständig auf der Suche nach Schwachstellen in Unternehmenssystemen. Daher ist es wichtig, diese privilegierten Benutzerkonten vor internen und besonders externen Angriffen zu schützen. Dies erfordert eine Software-Lösung, die den Zugriff von Mitarbeitern auf IT-Ressourcen und -Daten ordnungsgemäß kontrolliert, verfolgt und auswertet.  

Mit einer Privileged Access Management (PAM)-Lösung können Unternehmen alle aktiven Berechtigungsnachweise verwalten und die Berechtigungsstufe für jeden einzelnen bestätigen. Dadurch wird sichergestellt, dass Benutzer auf bestimmte Umgebungen zugreifen dürfen, aber auch, dass Berechtigungsnachweise widerrufen werden können, wenn sie nicht mehr benötigt werden, etwa von ehemaligen Mitarbeitern. Gleichzeitig bietet PAM:  

  • Starke Backups und Passwörter. Für eine effektive Verwaltung von Anmeldeinformationen braucht es einen Prozess für die Zuweisung und den Schutz von Passwörtern. Dadurch wird sichergestellt, dass privilegierte Zugangsdaten mit starken Passwörtern versehen sind, die schwer zu knacken sind und regelmäßig geändert werden. Darüber hinaus garantieren automatisierte Sicherungsverfahren selbst die Wiederherstellung von durchgesickerten und/oder gelöschten Informationen. 
  • Zwei-Faktor-Authentifizierung. Die wichtigsten auf dem Markt erhältlichen Lösungen erfordern eine Zwei-Faktor-Authentifizierung durch den Benutzer, in der Regel durch ein OTP (One-Time Password). Eine SMS oder eine E-Mail mit einem Bestätigungscode kann auch gesendet werden, um die privilegierten Zugangsdaten verwenden zu können.  
  • Notfall-Zugang. Wenn ein Sicherheitsvorfall eintritt, muss es eine einzige Maßnahme geben, um alle Zugriffe sofort stoppen zu können (vergleichbar mit einem Feueralarm). Die für die Datensicherheit verantwortliche Person muss die Befugnis haben, privilegierte Zugangsdaten über eine spezielle Sicherungsdatei entfernen zu können.

Gartner ist der Ansicht, dass die korrekte Verwaltung von privilegierten Zugangsdaten Unternehmen dabei hilft, den Zugang zu kritischen Ressourcen sicher zu gestalten und die Compliance-Anforderungen zu erfüllen, indem privilegierte Zugriffe und Konten verwaltet und überwacht werden.  

Betrachtet man die jüngsten Ereignisse – von weit verbreiteten Schwachstellen wie Log4j bis hin zur gefährlichen geopolitischen Lage, die nicht zuletzt durch den Krieg in der Ukraine befeuert wurde, wird deutlich, dass Sicherheitsteams Systembeeinträchtigungen und Unterbrechungen nicht vermeiden können. CISOs und ihre Teams können jedoch die Widerstandsfähigkeit ihrer Organisationen angesichts neuer, unvorhersehbarer Cyber-Bedrohungen optimieren, indem sie sich aktiv auf sie vorbereiten sowie für den Ernstfall proben und sich nicht nur auf die Prävention konzentrieren. 

 

Zum Autor:
Marcus Scharra ist Mitbegründer und CEO von senhasegura, einem führenden Anbieter von Privileged Access Management (PAM) Lösungen, die in mehr als 52 Ländern angeboten werden und 2020 von Gartner als Challenger-Technologie in den Magic Quadrant Report 2020 für PAM aufgenommen worden sind. Der Autor ist Elektroingenieur und Experte für Mustererkennung in Unternehmensumgebungen unter Verwendung künstlicher neuronaler Netze.