:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
KMUs im Fadenkreuz von Cyberkriminellen Kann man Sicherheit sehen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Zu den Schattenseiten der Digitalisierung gehört, dass die Vernetzung die weltweite Wirtschaft zu einer gigantischen Angriffsfläche zusammenführt. Theoretisch ist jedes Unternehmen weltweit für Kriminelle auf digitalem Weg zugänglich. Wie einfach oder wie schwierig es für Cyberkriminelle ist, sich Zugang zu verschaffen, hängt davon ab, wie ausgereift die IT-Security-Maßnahmen der angegriffenen Unternehmen sind.
In noch früheren Stadien der Digitalisierung waren für Hacker vornehmlich Ziele, bei denen Angriffe für großes Aufsehen sorgen, interessant. In diese Kategorie fällt zum Beispiel der Angriff auf das Playstation Network im Jahr 2011. Der mehrwöchige Ausfall der Plattform sowie die Tatsache, dass die Hacker persönliche Daten aller 77 Millionen Nutzer entwenden konnten, sorgte weltweit für Schlagzeilen.
Populäre Fälle wie diese trugen dazu bei, dass Großunternehmen, die für Hacker prestigeträchtige Ziele darstellen, in den vergangenen Jahren ihre IT-Sicherheit massiv aufgerüstet haben. In die Infrastrukturen ihrer Ziele ein- und weiter vorzudringen ist im Lauf der Zeit für sie immer schwieriger geworden. Um mit einem Hack Chancen auf Erfolg zu haben, sind eingehende Planung und Koordination, anspruchsvolle Tools und mitunter auch eine Portion Insiderwissen erforderlich. Dies alles verlangt mehr finanzielle Ressourcen, welche nur bereit gestellt werden können, wenn ein Sponsor oder zahlungskräftiger Auftraggeber für den Hack existiert. Es lohnt sich für Cyberkriminelle nicht mehr, ihre Kapazitäten auf prominente Ziele zu konzentrieren. Die Angriffstaktiken, die sie in den vergangenen Jahren eingehend verfeinern konnten, können sie hingegen mit größeren Erfolgsaussichten auf kleine Betriebe und mittelgroße Unternehmen anwenden.
Digitalisierung macht KMUs zu beliebigen Zielen
KMUs stehen nun an dem Punkt, an denen Konzerne bereits vor zehn bis fünfzehn Jahren standen. Sie haben einen signifikanten Anteil ihrer alltäglichen Datenverarbeitung ins Digitale verlegt. Ihre IT-Sicherheitsmaßnahmen sind jedoch nicht vergleichbar mit denen von Konzernen. Hinzu kommt, dass sie es auf Grund ihrer Größe und geringerer Unternehmenspopularität eher für unwahrscheinlich halten, Ziel eines Angriffs zu werden.
Dies ist jedoch ein Trugschluss. Seit die organisierte Cyberkriminalität prominenten Zielen weitgehend den Rücken gekehrt hat, bestimmen nicht mehr Namen von Rang, sondern schlichtweg Zugänglichkeit eine Rolle für die Auswahl von Zielen. In der Mehrheit der Fälle werden Unternehmen noch nicht einmal bewusst ausgewählt. Dies liegt darin begründet, dass Cyberkriminelle ihre Angriffskampagnen nunmehr breit ausrollen. Derzeit mehren sich Angriffe auf die Software-Lieferkette. Supply Chain Attacks zielen auf bislang unentdeckte Schwachstellen in Software und Services ab. Um diese ausfindig zu machen, kommen Exploit Kits zum Einsatz, die automatisiert nach mehreren Schwachstellen im System suchen. Verbreitet werden Exploit Kits durch Phishing E-Mails, Drive-by Downloads und Malvertising. Sind sie erfolgreich, laden sie die hinterlegte Schadsoftware, beispielsweise Ransomware nach, die Hackern schnell weit reichenden Zugriff auf das IT-System ermöglichen soll. Mit derartigen Angriffskampagnen wählen Cyberkriminelle ihre Opfer beliebig aus und können ihren gesamten Instrumentenkasten auszuspielen, sofern ihre Falle zuschnappt.
Wie sicher kann und muss eine Infrastruktur sein?
Was bedeutet dies für KMUs? Sie müssen sich bewusst machen, dass es mittlerweile zu den Alltagsrisiken gehört, Ziel eines ausgereiften digitalen Angriffs zu werden. Daraus folgt die Konsequenz, die für ihre IT-Infrastruktur geeigneten Schutzmaßnahmen ergreifen zu müssen. Da es zahlreiche Angriffsvektoren gibt, die Cyberkriminelle ausnutzen können, stellt dies eine große Herausforderung dar. Auf dem Markt existiert eine Vielzahl an Security-Lösungen, die jegliche Bereiche der IT-Infrastruktur abdecken können. Welche davon für die spezifischen Anforderungen ihrer Infrastruktur ausreichend sind, ist für Unternehmen nur schwer zu durchschauen. Sich regelmäßig vergewissern zu müssen, inwieweit ihre Kunden anfällig für Bedrohungen sind, bedeutet einen überaus zeitintensiven Betreuungsaufwand, der nicht selten den vereinbarten Serviceumfang, beziehungsweise Kostenrahmen, übersteigen würde. Bezahlbare IT-Security ist damit mit einem gewissen Restrisiko verbunden.
In Großunternehmen, die wöchentlich hunderte Cyberangriffe erleben, wird dieses Restrisiko ermittelt: In regelmäßigen Abständen lassen sie von Security-Experten mit Pentests auswerten, wie belastbar ihre Sicherheitsmaßnahmen sind. Tauchen in der Auswertung Schwachstellen auf, können diese anschließend behoben werden. Derartige Security-Audits sind für KMUs jedoch
- meist nicht verfügbar, da nicht alle IT-Security-Dienstleister die Expertise besitzen, diese durchzuführen
- in der Regel nicht, oder nur selten erschwinglich
- schwer verständlich, was das Schließen entdeckter Sicherheitslücken erschwert
Inwieweit ihre IT-Sicherheitsmaßnahmen ausreichend sind, bleibt für die Mehrheit kleiner und mittelständischer Betriebe damit unklar. Ihnen fehlt damit die Möglichkeit, ihre IT-Security zielgerichtet und kosteneffizient zu verbessern und ihr Sicherheitsrisiko möglichst gering zu halten. Einfach ausgedrückt handelt es sich um folgende Entwicklung: Seit Cyberkriminelle ihre Angriffsfläche massiv vergrößert haben, besteht auch ein großflächiger Bedarf an ausgereiften, individuellen IT-Security-Maßnahmen. Ein Erfordernis, das der Markt gegenwärtig nicht zufriedenstellend bedienen kann. Der Fachkräftemangel in der IT-Security macht es auch Dienstleistern schwer, neue, passende Angebote zu entwickeln.
Automatisierung schafft Sichtbarkeit
Der technologische Fortschritt kann diese Lücke indes schließen. IT-Security-Audits, als Grundlage zielgerichteter Security-Maßnahmen, können automatisiert durchgeführt werden. Derartige SaaS-Lösungen durchsuchen eigenständig interne und externe Ressourcen einer Infrastruktur. Großen Mehrwert schaffen Lösungen mit hoher Benutzerfreundlichkeit, die neben der Überprüfung zusätzliche Funktionen bieten: Anstatt einen langen, detailreichen Prüfbericht zu generieren, dessen Auswertung vertiefte Fachkenntnisse und zusätzlichen Zeitaufwand erfordern, liefern sie für Anwender unmittelbar verwertbare Ergebnisse. Sie erstellen eigenständig einen Maßnahmenplan mit konkreten Handlungsanweisungen, beispielsweise die Durchführung eines Softwareupdates oder das Aktivieren eines Add-Ons, um entdeckte Schwachstellen zu schließen. Sofern erforderlich, geben sie konkrete Produktvorschläge. Der detaillierte Prüfbericht bleibt zusätzlich in einer separaten Ansicht verfügbar. Dies bietet insbesondere für IT-Dienstleister Vorteile: Sie können ihren Kunden Security-Audits zu einem erschwinglichen Preis anbieten und auf effiziente Weise deren Sicherheitsmaßnahmen verbessern. Die vollständige Automatisierung von Security-Audits trägt schließlich dazu bei, die Anfälligkeit von KMUs für Cyberangriffe sichtbar und maßgeschneiderte IT-Security-Maßnahmen auf breiter Ebene unmittelbar verfügbar zu machen.
Über den Autor: Tom Haak verfügt über jahrzehntelange Management- und Vertriebserfahrung in der IT-Security-Branche. Als CEO und Mitgründer von Lywand Software arbeitet er zusammen mit seinem Team daran, zuverlässige IT-Sicherheit auf breiter Ebene verfügbar zu machen und IT-Dienstleister in ihrer Beratungsarbeit zu unterstützen.
(ID:49054666)
:quality(80)/p7i.vogel.de/wcms/fe/d5/fed5d18fa97b568e660905a710625477/0113761260.jpeg "Die neue DIN SPEC 27076 bietet eine wertvolle Unterstützung für deutsche KMUs, um ihre Cybersicherheit zu einem bezahlbaren Preis zu verbessern. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")