:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsrisiko Mensch oder System? Wo interne Schwachstellen wirklich liegen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Durch die zunehmende Digitalisierung steigen die Ansprüche an die IT-Sicherheit. Eine sicherheitstechnisch unvollständig durchgeführte Digitalisierung von Abläufen führt jedoch dazu, dass sich die ständig wachsenden Bedrohungen direkt auf die Informationssicherheit und auf die Prozesse in Unternehmen durchschlagen. Durch eine ausgeprägte Security Awareness in Verbindung mit sicheren automatisierten Prozessen und Lösungen können Unternehmen jedoch ihre Sicherheit quasi von innen aufbauen. Auf diese Weise lassen sich Gefahren, die durch menschliche Fehler entstehen, weitestgehend vermeiden.
Angriffe kommen häufig von außen. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) geht für das Jahr 2021 von rund 144 Millionen Schadprogrammen aus, die sich im Umlauf befinden. Das sind 394.000 neue Schadprogramm-Varianten pro Tag. Unzureichend abgesicherte Systeme, fehlende oder sicherheitstechnisch mangelhafte Lösungen für kollaboratives Arbeiten und eine zu lange vernachlässigte Security Awareness sind in den meisten Fällen die Ursache, dass Schadprogramme mit vielen Unternehmens-Infrastrukturen ein extrem leichtes Spiel haben.
Viele Sicherheitslücken sind bereits in den Abläufen und der genutzten Technologie angelegt. Sie entstehen durch fehlende Sicherheitssoftware, nachlässig konfigurierte Firewalls oder aufgrund von Programmierfehlern in Betriebssystemen, Webbrowsern oder anderer verwendeter Software. Kommen dann noch unklar definierte oder nicht sauber strukturierte Prozesse hinzu oder ein Corona-bedingtes Homeoffice mit seinen meist unsicheren VPN-Zugängen, verwundert es nicht, dass Unternehmen und Organisationen verstärkt Opfer von Phishing-Angriffen, Datenlecks und anderen Cyber-Attacken werden.
In vielen Fällen sind es auch die Mitarbeitenden selbst, die das Einfallstor für Bedrohungen öffnen. Denn Menschen machen Fehler. Nicht aus Böswilligkeit, eher aus Gutgläubigkeit oder Unachtsamkeit klicken sie den infizierten Anhang einer Phishing-E-Mail an, der beim Öffnen den verwendeten Computer oder auch das gesamte Unternehmensnetzwerk mit Malware infiziert. Oder sie werden von Hackern zu einer gefälschten, aber vertrauenswürdig scheinenden Website geleitet, wo sie arglos vertrauliche Informationen wie Anmeldedaten, Kreditkartennummern oder andere sensible Informationen preisgeben. Mit einem breit gefächerten, ständig wechselnden Repertoire an Angriffsvektoren, das von Social Engineering und Phishing über Drive-Download reicht, sind Cyberkriminelle zunehmend erfolgreich unterwegs. Gelingt es einem Angreifer, nur einen einzigen Mitarbeitenden hinters Licht zu führen, gefährdet er bereits die Sicherheit des gesamten Unternehmens. Tritt dann der Sicherheitsvorfall ein, trifft es die Mitarbeitenden unvorbereitet. Sie reagieren zu langsam, falsch oder verschweigen den Vorfall aus Angst vor Konsequenzen gänzlich und vergrößern den Schaden damit unnötig.
Sicherheitsbewusstsein schaffen
Um eine sichere Unternehmensstruktur quasi von innen heraus aufzubauen, müssen Organisationen ihre Mitarbeitenden vermehrt für Sicherheitsthemen sensibilisieren und eine Security-Awareness schaffen. Mitarbeitende sollten wissen, woran sie beispielsweise eine gefälschte Phishing-E-Mail erkennen und informiert sein, dass Ransomware einen Rechner sperrt und die darauf befindlichen Dateien verschlüsselt, um das Opfer zu erpressen.
In regelmäßigen internen Schulungen und Trainings sollten Unternehmen ihren Angestellten Grundwissen zum Thema IT-Sicherheit vermitteln und Antworten auf dringende Fragen liefern. Beispielsweise: „Wen muss ich informieren, wenn ich einen verdächtigen Anhang geöffnet habe?“ oder „Wie verhalte ich mich nach einem Incident richtig?“ Auf diese Weise können Mitarbeitende mögliche Cyber-Gefahren besser einschätzen und bei einem Sicherheitsvorfall schnell und korrekt reagieren. Außerdem steigern Schulungen bei der Belegschaft das Bewusstsein, dass Datendiebstahl den Unternehmenserfolg ernsthaft gefährden kann. Immerhin stellen Cybergefahren laut dem „Allianz Risk Barometer 2022“ für Unternehmen weltweit das größte Risiko dar. Damit rangiert Internetkriminalität noch vor Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder der Covid-19-Pandemie.
Verschlüsselung schließt die Sicherheitslücke Datenaustausch
Viele Unternehmen nutzen beispielsweise zum Versenden ihrer internen und externen Informationen immer noch ungesicherte Kanäle, sodass Cyberkriminelle die Daten ohne großen Aufwand abfangen können. Da ungeschützte Systeme nur in Ausnahmefällen eine Benutzer-Authentifizierung verwenden, kann sich der Sender nicht sicher sein, ob seine Nachricht den gewünschten Empfänger tatsächlich erreicht hat oder ob sie vorher abgegriffen wurde. Angreifer verwenden die erlangten Informationen häufig für gezielte Spear-Phishing-Angriffe und nutzen die abgefangene Kommunikation, um möglichst authentisch wirkende E-Mails und Nachrichten zu verfassen. Spear-Phishing-Attacken sind in der Regel nur schwer zu erkennen und zählen deswegen zu den größten Einfallstoren. Wie bei gewöhnlichen E-Mail-Phishing-Attacken gelangt auch hier durch das Öffnen von manipulierten Anhängen oder Links Schadsoftware direkt auf den verwendeten Rechner und wird von dort in das Gesamtsystem gespeist. Wegen des personalisierten Anschreibens wird der Empfänger jedoch leichter hinters Licht geführt.
Unternehmen und Behörden sollten deswegen zum Senden von E-Mails und zum Übertragen von Dateien Kommunikationskanäle nutzen, die über eine sichere Ende-zu-Ende-Verschlüsselung (E2EE) verfügen. Diese beginnt auf dem Endgerät des Versenders und erstreckt sich über den gesamten Übertragungsweg bis hin zum Empfänger, wo die Daten verschlüsselt abgelegt und gespeichert werden. Zusätzlich versieht E2EE jede einzelne Nachricht mit einem individuellen kryptografischen, elektronischen Schloss, zu dem ausschließlich der Empfänger den Schlüssel besitzt. Auf diese Weise sind Daten und Anhänge jederzeit geschützt. Anhänge sollten beim Versenden grundsätzlich automatisiert verschlüsselt werden, sodass es nicht möglich ist, sie nachträglich zu manipulieren.
Allerdings stößt die Speicherkapazität von E-Mail-Postfächern insbesondere beim Versand großer Dateien schnell an ihre Grenzen. Da sehr viele Unternehmen keine DSVGO-konformen Plattformen zum sicheren Datenaustausch bereitstellen, nutzen Mitarbeitende stattdessen häufig kostenlose Cloud-Lösungen, die sie aus dem privaten Umfeld kennen und schaffen damit eine gefährliche Schatten-IT. Zusätzlich zu der verschlüsselten E-Mail-Kommunikation sollten Unternehmen ihren Mitarbeitenden deswegen auch sichere Datenräume anbieten. Diese schaffen eine geschützte Umgebung, in der die Nutzer Daten sicher ablegen und gemeinsam mit Kunden oder Partnern DSVGO-konform nutzen können.
Mehr Sicherheit durch strukturiertes Input Management
Ein weiteres Einfallstor, das Cyberkriminelle gerne angreifen, ist das sogenannte Input-Management, die Art also, wie sensible Daten im Unternehmen aufgenommen, verarbeitet und verteilt werden. Dazu zählen geschäftsrelevante Informationen wie Rechnungen oder Mahnungen oder außergewöhnlich schützenswerte Dokumente wie Bewerbungen oder Krankmeldungen. Besonders groß ist die Gefahr von Sicherheitslücken, wenn die Daten unstrukturiert eingehen und beispielsweise in einem Funktionspostfach mit nicht definierten Zuständigkeiten gespeichert werden, auf das viele Personen zugreifen können. Je größer der Empfängerkreis, desto wahrscheinlicher ist es, dass auch wenig oder gar nicht geschulte Personen darunter sind, die verdächtige Anhänge nicht erkennen und mögliche Risiken falsch einschätzen.
Der Empfängerkreis sollte daher möglichst klein bleiben. Hier empfiehlt sich der Einsatz von digitalen Formularen, bei denen Zuständigkeitsbereiche und Ansprechpartner genau festgelegt sind, sodass nur berechtigte Mitarbeitende eine Eingangsinformation erhalten. Dieser sorgfältig ausgewählte Personenkreis ist in der Regel entsprechend gebrieft und kann zwischen geschäftlichen Anhängen und Risiken unterscheiden. Bei Bedarf untersucht ein zwischengeschalteter Virenscanner die Anhänge vor dem Versand auf Schadprogramme.
Sicherheit durch Automatisierung
Ein weiteres, weit verbreitetes Sicherheitsrisiko in Unternehmen und Behörden sind manuell ausgeführte Prozesse, bei denen Fehler häufig durch Unachtsamkeit oder Unwissenheit der Mitarbeitenden entstehen. Durch das Automatisieren von Arbeitsprozessen lassen sich diese vom Faktor Mensch verursachten Schwachstellen weitgehend abstellen und die Effizienz der Abläufe erhöhen. Die Automatisierungs-Software übersetzt dabei Prozessschritte in Code. Auf diese Weise werden Daten automatisch erfasst und passgenau an das weiterverarbeitende System übertragen. Damit das funktioniert, ist jedoch ein strukturierter Dateneingang unerlässlich. Unternehmen sollten sich auch nicht gleich sämtliche Prozesse auf einmal vornehmen, sondern diejenigen herauspicken, die sich leicht automatisieren lassen. In der Regel sind das sehr repetitive Abläufe mit vielen kleinteiligen Arbeitsschritten.
Schwachstellen lassen sich minimieren
Um ihre innere Sicherheit zu stärken, können Unternehmen also verschiedenste Maßnahmen ergreifen. Denn festzuhalten bleibt: Fehler passieren - sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und auf Basis einer gelebten Security Awareness ist es möglich, interne Schwachstellen zu minimieren und damit die Sicherheit von Systemen dauerhaft zu erhöhen.
Über den Autor: Ari Albertini ist Chief Operating Officer des Spezialisten für sichere Datenflows FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI. Als Wirtschaftsinformatiker (M.Sc.) und Alumni der TU München verfügt er über mehr als 10 Jahre Erfahrung im Bereich der Strategieentwicklung, IT-Beratung, Software-Development sowie Produktkonzipierungen. Bei FTAPI kümmert er sich zudem um Themen wie agiles Arbeiten und Innovationen und ist regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.
(ID:48481059)
:quality(80)/p7i.vogel.de/wcms/fa/c9/fac9372d4b52f35aa0501c06cdfd0f13/0109965455.jpeg "Über eine Netzwerksegmentierung, beispielsweise durch die Separation von Servern, Clients und Produktionsnetzen, lassen sich bereits in 80 – 90 Prozent aller Fälle verhindern, dass sich Ransomware auf weitere Systeme ausbreitet. (Bild: Suttipun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/89/eb8909249735b66b69dba3fa0e02339c/0109002265.jpeg "Die Cyberabwehr eines Unternehmens ist nur dann voll funktionstüchtig, wenn alle Mitarbeitenden dazu beitragen. (Bild: REDPIXEL - stock.adobe.com)")