Suchen

Die IT-Sicherheit im Krisenjahr 2020 Oktober – der Cybersecurity-Monat

| Autor / Redakteur: Sascha Giese / Peter Schmitz

Der Oktober steht als „National Cybersecurity Awareness Month“ in den USA und „European Cybersecurity Month“ in Europa ganz im Zeichen der Cybersicherheit, bevor er dann in der Nacht zum 1. November in Halloween endet. Bevor wir uns also als Geister, Vampire oder sonstiges verkleiden, wirft Sascha Giese, Head Geek bei SolarWinds einen Blick auf ein paar alte wie neue Bedrohungen des Alltags in der IT und zeigt Lösungsvorschläge auf.

Firmen zum Thema

Der Oktober steht ganz im Zeichen der IT-Sicherheit – und von Halloween.
Der Oktober steht ganz im Zeichen der IT-Sicherheit – und von Halloween.
(Bild: gemeinfrei / Pixabay )

Im diesjährigen Cybersecurity-Aktionsmonat stehen die Themen „Digital Skills“ und „Cyber Scam“ im Fokus. Denn während Covid-19 der Digitalisierung einen unverhofften Anschub gegeben hat, müssen nun die Sensibilisierung und Kenntnisse der Anwender sowie das Bewusstsein für Cybersicherheit mit dieser raschen Entwicklung Schritt halten.

Sensibilisierung und Benutzer-Schulung. Immer aktuell!

Der heilige Gral in der IT-Sicherheit. Hier geht es nicht um die bösartigen Mitarbeiter, die kommen weiter unten, sondern um die Sorglosen. Sie klicken den ganzen Tag auf Katzenbilder. Sie klicken auf seltsame E-Mails. Sie laden sich Bildschirmhintergründe herunter, die als ausführbare Dateien geliefert werden. Die Wurzel allen Übels? Schon irgendwie.

In den vergangenen Wochen haben wir einen Anstieg bei Versuchen von Social Engineering und Phishing bemerkt. Es fängt harmlos an mit einer E-Mail an, die scheinbar von einem Kollegen gesendet wurde, allerdings von einem unbekannten, privaten E-Mail-Konto. Dort steht dann etwas wie „Ich muss dringend das Projekt fertig bekommen, aber mir fehlt ein wichtiges Dokument, kannst du mir das kurz senden?“ Aber sicher doch!

Ransomware-Schaden lässt sich einfach vorbeugen

Es passiert schnell, und wenn man es bemerkt, ist es schon zu spät. Die Daten sind weg, die Maschine nicht länger benutzbar. Was macht man jetzt? Format C:\ und das Backup wiederherstellen. Oh, es gibt kein Backup? Tja…

Endgeräte von Benutzern sind leichte Beute für solche Attacken. Um das Desaster zu vermeiden, sollten die Home- und Benutzer-Ordner der Mitarbeiter entweder auf einem entfernten Server gesichert oder permanent mit SaaS-Anwendungen synchronisiert werden.

Entscheidend ist hierbei aber auch, den Mitarbeitern zu verdeutlichen, dass Dateien außerhalb dieser Ordner nicht gesichert sind.

Die Gefahr vom Staubsauger-Roboter im Home Office

Seit März arbeiten viele von uns von zuhause aus. Aus dem Blickwinkel der Unternehmenssicherheit ist das eine gewaltige Herausforderung, die mit vielen Variablen einhergeht. Sicherlich hat die IT nach wie vor die Kontrolle über das Endgerät, aber nicht über die Umgebung, in der es sich befindet. Von unsicheren Wi-Fi-Verbindungen, bis zu IOT-Geräten, die wir nutzen – ohne tiefergehende Untersuchungen kann niemand wissen, ob und welche Daten ein solches Gerät vom lokalen Netz mitschneidet und wohin sie gesendet werden.

Hilfe ist hier nicht ganz trivial, aber eine Kombination aus erzwungener VPN-Benutzung sowie Multifaktor-Authentifizierung beim Zugriff auf kritische Anwendungen sollte als erforderlich gelten.

Kostenlose Tools und Dienste. Warum sind die wohl kostenlos?

Obwohl die Thematik nicht neu ist, sind wir uns meistens der Bedrohung nicht bewusst. Es gibt viele kostenlose Tools und Dienste im Internet, die großartig und nützlich klingen. Eine automatisierte Übersetzung von ganzen Texten in irgendeine Sprache? Ein Werkzeug, um mehrere PDF-Dateien zu verbinden? Ein Tool, um Flowcharts zu erstellen oder Geschäftsprozesse zu visualisieren? Sowas nutzen wir doch alle, oder?

Wir können nicht mit Sicherheit sagen was mit den ganzen Daten passiert, die wir dort vollkommen freiwillig eintragen. Daher braucht eine Organisation eine mehrschichtige Strategie, um Risiken zu vermeiden, angefangen von einer strikten Richtlinie, dem Blockieren des Zugriffs, aber am besten dadurch, ähnliche Dienste sicher bereitzustellen. PDF-Editoren und Werkzeuge zum Erstellen von Flussdiagrammen kosten nicht mehr die Welt.

Eingefrorene oder gar gekürzte IT-Budgets

Bis Ende 2019 zählten die IT-Budgets nicht gerade zu den üppigsten in einer Organisation, aber IT-Manager haben gelernt, mit dem zur Verfügung stehenden Geld auszukommen. Größer war das Problem, passende Mitarbeiter zu finden und zu halten.

Jetzt, im letzten Quartal von 2020, kann man sagen, dass sich die Situation weiter verschärft hat. Vielleicht ist es aktuell einfacher, gut ausgebildete Technikexperten zu finden, nachdem leider manche ihren Job verloren haben, vermutlich ist jedoch kein Geld vorhanden, um sie einzustellen. Also ist die Personaldecke noch genauso, wenn nicht sogar dünner als zuvor. Was nun? Die einfache Antwort ist, auf Technologie zurückzugreifen, aber ein Großteil der Technologie kostet Geld. In vielen Fällen kann Freeware oder Open Source eine Alternative sein. Aber manchmal ist es einfach eine gute Idee, sich nun endlich mit der Automation von Routine-Aufgaben zu befassen. Am besten heute schon damit anfangen.

Schlussendlich, der Evergreen: Bedrohungen von innen, der bösartige Mitarbeiter

Frustration als Resultat von sechs Monaten „Isolation“, die Unwahrscheinlichkeit von Bonuszahlungen oder Gehaltserhöhungen aus offensichtlichen Gründen – all das kann Mitarbeiter verärgern, und diese stellen das höchste Risiko für jedes Unternehmen dar.

Ein Mitarbeiter gilt solange als vertrauenswürdig, bis etwas geschieht. Dann gibt es keine Warnung, und es ist nahezu unmöglich einen Vorfall zu stoppen, sobald er gestartet ist. Die Weitergabe von vertraulichen Informationen, Zerstörung von Daten, Zerstörung von Firmeneigentum, und andere kreative Ideen.

Trotzdem müssen Anstrengungen unternommen werden, um diese Fälle und deren Auswirkungen einzudämmen. Hier helfen Systeme wie Dataloss-Prevention, und natürlich ein funktionsfähiges Konzept des Prinzips der geringsten Privilegien. Daher - immer ein Auge auf die Berechtigungen haben!

Und was machen wir jetzt an Halloween? Vielleicht als Ransomware verkleiden? Schwierig, weil niemand wirklich weiß wie eine aussieht. Als Virus verkleiden? Nee, besser nicht in 2020. Aber vielleicht als Log? Doch das versteht vermutlich niemand. Guter alter „UDP (User Data Protokoll)-Witz“.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:46898398)