Worauf sich Unternehmen einstellen müssen Risiken für die Cybersicherheit

Von Gerd Pflüger

Bitkom beziffert im Lagebericht der IT-Sicherheit für 2021, dass jedes zehnte Unternehmen in Deutschland seine Existenz durch Cyber-Angriffe als gefährdet betrachtet. Diese Entwicklung wird sich fortsetzen. Welche Angriffstaktiken von Cyber-Kriminellen auf die Wirtschaft zu erwarten sind und wie diese weiter optimiert werden, verraten die Prognosen zur Cybersicherheit von VMware.

Anbieter zum Thema

Die schnellste Reaktion auf neue Sicherheitsrisiken ist Zero Trust!
Die schnellste Reaktion auf neue Sicherheitsrisiken ist Zero Trust!
(Bild: ArtemisDiana - stock.adobe.com)

Kreativität ist nicht nur in der Kunst und Musik gefragt, auch bei der Cybersicherheit spielt sie eine wichtige Rolle. Zum einen suchen Angreifer immer neue Wege und Mittel, um sich unerlaubt Zugriff auf vertrauliche Informationen und Systeme zu verschaffen. Zum anderen werden Unternehmen und IT-Entscheider regelmäßig auf die Probe gestellt, wenn es darum geht, auf neuartige Angriffstaktiken zu reagieren. Denn die Konsequenzen eines erfolgreichen Angriffs können schwerwiegend ausfallen. Obwohl die Cyber-Sicherheitskonzepte über Jahrzehnte ausgefeilt wurden, sind für die kommenden Jahre weiterhin, skrupellose Cyber-Attacken auf Unternehmen zu erwarten.

Bitkom beziffert im Lagebericht der IT-Sicherheit für 2021, dass jedes zehnte Unternehmen in Deutschland seine Existenz durch Cyber-Angriffe als gefährdet betrachtet. So haben 86 Prozent aller angegriffenen Unternehmen Schaden durch Cyber-Kriminalität davongetragen. Dabei stieg die Dimension der Schäden durch Erpressung um mehr als 350 Prozent in den letzten drei Jahren. Diese besorgniserregende Entwicklung wird sich auch in diesem Jahr fortsetzen.

Ransomware bleibt ein Dauerbrenner bei den Cyberrisiken

Seit einem Jahrzehnt stellt Ransomware eine ernstzunehmende Bedrohung für Unternehmen dar. In den meisten Fällen gelingt der Angriff durch Phishing oder Clickjacking. Ist die Schadsoftware erst einmal installiert, können Daten nicht mehr abgerufen oder Computersysteme nicht mehr verwendet werden. Medial prominente Beispiele sind die Schadprogramme CryptoLocker, Reveton und WannaCry. Auch für die nächsten Jahre nimmt man an, dass die Zahl der Ransomware-Angriffe mit Insider-Bedrohungen zunehmen wird. Angreifer werden Mitarbeiter ins Visier nehmen, um Ransomware einzuschleusen.

Ahnungslose und ehemalige Mitarbeiter können zur Gefahr werden

Insider-Bedrohungen stellen nicht nur für Ransomware ein Einfallstor dar. Die Möglichkeiten des Missbrauchs werden sehr vielfältig, sobald ein Krimineller Zugriff auf das Unternehmensnetzwerk oder geschützte Daten über den Account eines Mitarbeiters hat. Im Worst Case stellt ein Mitarbeiter sogar wissentlich seinen Zugriff auf Unternehmensdaten für Cyber-Kriminelle zur Verfügung. Häufiger ermöglichen Mitarbeiter aber ahnungslos etwa über einen verseuchten, privaten USB-Stick am Arbeitsplatz oder durch das Öffnen eines gefährlichen Links eine Insider-Bedrohung. Auch die verwaisten Zugriffsrechte ehemaliger Mitarbeiter können zum Problem werden. Bei hoher Fluktuation im Unternehmen kann ergo das Sicherheitsrisiko deutlich steigen.

Supply-Chain-Angriffe haben erst begonnen

Unternehmen schenken nicht nur ihren Mitarbeitern Vertrauen, wenn es um die Cybersicherheit geht. Ebenso verlassen sie sich auf die Einhaltung aller Sicherheitsstandards bei ihren Software-Partnern oder beispielsweise bei der Einbindung von Programmbibliotheken in ihre Software. An diesem Punkt, an dem ein Unternehmen der Integrität von bereitgestellten, externen Komponenten vertraut, setzt die Supply-Chain-Angriffstaktik an. Auch ein Unternehmen, das sehr viele Sicherheitsmaßnahmen ergreift, kann durch die Manipulation eines schwächer geschützten Gliedes in der Lieferkette angegriffen werden. So ist zu erwarten, dass Cyber-Kriminelle weiterhin nach Möglichkeiten suchen, die digitale Transformation von Unternehmen zu missbrauchen, um bösartigen Code einzusetzen und Netzwerke zu infiltrieren.

Ein prominentes und aktuelles Beispiel für Supply-Chain-Angriffe ist die Log4j-Schwachstelle in den Apache Logging Services. Die Hauptaufgabe der Bibliothek besteht darin, sicherheits- und leistungsbezogene Informationen zu protokollieren, um Fehlersuchen zu erleichtern und einen reibungslosen Ablauf der Anwendungen zu ermöglichen. Log4j ist Open Source und weitverbreitet, sodass die Cyber-Angriffe, bei denen drei Sicherheitslücken in der Library ausgenutzt wurden, besonders schwerwiegend waren. Seit der Bekanntgabe der Log4j-Schwachstelle durch die Apache Software Foundation am 9. Dezember 2021 gab es bereits einige Patches, um die kritischen Sicherheitslücken zu schließen. Allerdings ist davon auszugehen, dass es lange dauern wird, bis alle Stellen, an denen die Log4j-Bibliothek zum Einsatz kommt, erkannt und gepatcht sind. IT-Verantwortliche müssen weiterhin ein wachsames Auge haben.

Die schnellste Reaktion auf neue Sicherheitsrisiken: Zero Trust

Bei allen drei genannten Risiken gibt es die Möglichkeit, sie effizient nach dem Zero Trust-Modell zu entdecken und abzuwehren. In einer Zero-Trust-Architektur wird kein vertrauenswürdiges Netzwerk erstellt. Stattdessen wird das Konzept des Vertrauens vollständig abgelöst. Sobald die Schutzoberfläche festgelegt ist, muss ermittelt werden, wie der Netzwerkdatenverkehr die Oberfläche durchläuft, welche Anwender auf geschützte Ressourcen zugreifen und welche Anwendungen und Verbindungsmethoden genutzt werden, um sichere Zugriffsrichtlinien für geschützte Daten zu erstellen und durchzusetzen. Wenn diese Abhängigkeiten erkannt werden, können Kontrollen in der Nähe der Schutzoberfläche platziert werden, um einen Mikroperimeter zu erstellen. Dabei werden Zugriffsrichtlinien auf Basis der W-Fragen „Wer?“, „Was?“, „Wann?“, „Wo?“, „Warum?“ und „Wie?“ definiert. Auf diese Weise lässt sich ermitteln, welcher Datenverkehr den Mikroperimeter passieren kann. Nicht autorisierte Anwender und Anwendungen kommen nicht hindurch und sensible Daten bleiben geschützt. Ungewöhnliches Verhalten wird ebenfalls KI-gestützt erkannt und ruft entsprechende Abwehrreaktionen hervor.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

QUIC ist den Sicherheitsverantwortlichen einen Schritt voraus

Das Zero Trust-Sicherheitsmodell findet zwar kontinuierlich Verbreitung in der Unternehmenslandschaft, doch ein neuartiges Übertragungsprotokoll macht es schwieriger. Die Rede ist von QUIC, das ursprünglich von Alphabet Inc. entwickelt wurde, um das Internet schneller und effizienter zu machen. Es ist in Google Chrome standardmäßig aktiviert und wird von immer mehr Webseiten unterstützt. Das große Problem ist dabei, dass die meisten, wenn nicht sogar alle, Firewalls den QUIC-Verkehr nicht als "Web"-Verkehr erkennen. Dadurch wird der Datenverkehr nicht untersucht, protokolliert oder gemeldet. Hier eröffnen sich neue Angriffsflächen für die Cyberkriminalität. Es bleibt also für alle Sicherheitsverantwortlichen spannend, wenn es darum geht, auf solch eine neue Herausforderung wie QUIC kreativ zu reagieren.

Über den Autor: Gerd Pflüger ist seit März 2016 NSX Systems Engineer für die Region EMEA bei VMware. Innerhalb des Geschäftsbereichs Networking und Security (NSBU) verantwortet er die Themen Enterprise und Internet of Things sowie die Weiterentwicklung von Software-Defined Networking (SDN) und Network Function Virtualization (NFV) in seiner Region.

(ID:48146033)