Euro SecurityEuro Security InternationalMiddle East Security
Banner
Aktuelle Ausgabe




(titel, termin, news)

Suchen Sie ein Produkt? Dann geben Sie die Branche ein




IT-Sicherheit hört nicht bei der Technologie auf | Print |  E-mail
Der Branchenverband Bitkom schätzt die jährlichen Schäden durch IT-Sicherheitsvorfälle in Deutschland auf rund 51 Milliarden Euro. Verlässliche Technische Abwehrmechanismen helfen Unternehmen sich vor Bedrohungen aus dem Internet zu schützen. Doch das alleine reicht nicht, denn sogenannte Social Hacker oder Social Engineers greifen persönlich an. Firmen müssen ihre Mitarbeiter für Risiken sensibilisieren und brauchen ein umfassendes Sicherheitskonzept.

Die meisten Unternehmen sehen sich heute gut gegen Gefahren aus dem Internet geschützt. Sie haben ausgefeilte Sicherheitssysteme installiert, nutzen Firewalls, Proxies sowie Intrusion Detection- und Prevention-Systeme. Doch je besser technische Schutzmaßnahmen werden, desto eher suchen sich Cyberkriminelle leichter zu erreichende Ziele. Das schwächste Glied in der Kette sind leider oft die Angestellten im Unternehmen. Denn Menschen sind menschlich, machen Fehler und sind empfänglich für Täuschungsmanöver. Genau das nutzen die Angreifer beim Social Engineering aus. Sie treten per Mail, Telefon oder persönlich mit ihren Opfern in Kontakt und manipulieren sie so, dass sie sensible Informationen preisgeben.

Beliebte Social-Engineering-Tricks

Ein beliebtes Manöver unter Hackern ist, sich als Service-Techniker auszugeben und sich so Zugang zum Unternehmen zu erschleichen. Zunächst überhäufen sie Mitarbeiter mit Fachbegriffen und blenden mit bekannten Unternehmensinformationen. Dann fragen sie nach Zugangsdaten oder anderen vertraulichen Informationen. Oft sind die Mitarbeiter am Ende so überrumpelt, dass sie sensible Daten preisgeben.

Für Furore sorgte in diesem Jahr auch der Fake-President-Trick. Dabei gibt sich ein Cyberkrimineller telefonisch oder per E-Mail als vermeintlicher Chef aus und erteilt einem Buchhalter im Unternehmen die Anweisung, eine größere Summe auf ein bestimmtes Konto zu überweisen. Der Auftrag sei streng vertraulich, Nachfragen nicht erwünscht. Meist befindet sich das Konto irgendwo in Asien oder Osteuropa und wird sofort leergeräumt, sobald das Geld eingetroffen ist. Gerade in großen internationalen Unternehmen, in denen der Mitarbeiter den Chef nicht persönlich kennt, ist diese Masche oft erfolgreich.

Bei einem anderen Täuschungsmanöver tarnen sich Hacker als Besucher und lassen schicke USB-Sticks auf den Schreibtischen liegen. Dabei spekulieren sie auf die menschliche Neugier, einfach mal so einen Stick an einen Rechner anzustecken. So ist das Unternehmensnetz im Handumdrehen mit Schadcode oder Spionage-Software infiziert.

Gefahren durch opferspezifische Malware

Auch für die Verbreitung von opferspezifischer Malware setzen Angreifer auf die Schwachstelle Mensch. Solche Schadcodes sind häufig als unschuldiger E-Mail-Anhang getarnt und landen im Postfach der Opfer. Öffnet man sie, nimmt das Unheil seinen Lauf. Ein bekanntes Beispiel ist der Krypto-Trojaner Locky. Die Schadsoftware schleicht sich auf die Computer der Opfer und verschlüsselte unbemerkt Dateien – auch auf Netzwerk- und Cloud-Speichern. Danach erhalten Betroffene eine Erpressernachricht, in der sie zur Lösegeldzahlung aufgefordert werden. Nur wenn sie den Forderungen nachkommen, erhalten sie den Schlüssel, der ihre eigenen Dateien wieder freigibt. Betroffen sind oft Privatanwender, aber auch öffentliche Einrichtungen, Behörden und Firmennetze. In Los Angeles beispielsweise kaufte ein Krankenhaus seine IT-Systeme notgedrungen mit rund 15.000 Euro frei, nachdem die Patientenverwaltung durch Ransomware lahmgelegt war. Ähnliches passierte auch einem Krankenhaus in Neuss, das Anfang 2016 Opfer eines Erpressertrojaners wurde.

Sandboxing, SIEM und proaktives Vulnerability Management

Vor solchen Angriffen kann ein noch recht junges Sicherheitsverfahren helfen: Beim sogenannten Sandboxing gelangen eingehende Inhalte, wie E-Mail-Anhänge oder Downloads nicht direkt zum Empfänger, sondern werden in separate virtuelle Umgebungen, die „Sandboxen“ umgeleitet. Sie werden zunächst nur dort ausgeführt und dabei genau unter die Lupe genommen. Verhalten sich die betroffenen Dateien verdächtigt, werden sie nicht an die Empfänger weitergeleitet, stattdessen kann die IT-Abteilung sofort Gegenmaßnahmen einleiten. Sandboxing-Systeme sind keine Standard-Virtualisierungen. Sie sind speziell für die Aufdeckung von Schadcodes konzipiert und mit den relevanten Betriebssystemversionen konfiguriert. Da sie sehr ressourcenhungrig sind, stehen sie häufig als Cloud-Services bereit.

Gelangen trotzdem Bedrohungen ins Unternehmensnetzwerk, lassen sie sich mit Security Information and Event Management-Lösungen (SIEM) schnell identifizieren und analysieren. Die IT-Sicherheit kann zeitnah reagieren. SIEM-Lösungen arbeiten auf Basis von Data Analytics. Sie sammeln im gesamten Unternehmensnetz sicherheitsrelevante Daten, Protokolle und andere Dokumente und analysieren diese in Echtzeit. In der Regel ist die Einführung eines SIEM-Systems sehr kostenintensiv. Für kleinere Unternehmen empfiehlt sich ein Managed Security Service von einem externen Dienstleister.

Als vorbeugende Schutzmaßnahme sollten Unternehmen zudem ein proaktives Vulnerability Management betreiben. Dabei analysieren Firmen regelmäßig, wo ihre größten Schwachstellen liegen und führen unter anderem Penetrationstests durch, um direkt Gegenmaßnahmen zu ergreifen. Für Unternehmen, die nicht über genügend Ressourcen für ein eigenes Vulnerability Management verfügen, empfiehlt sich eine regelmäßige Sicherheitsüberprüfung und Beratung durch externe Experten.

Ein umfassendes Sicherheitskonzept erstellen

Um sich bestmöglich sowohl vor opferspezifischer Malware als auch Social Engineering zu schützen, brauchen Unternehmen ein Sicherheitskonzept, das technische und organisatorische Maßnahmen verbindet und vor allem den „Faktor Mensch“ mit einbezieht. Mitarbeiter müssen geschult und für Gefahrensituationen sensibilisiert werden, sodass sie Betrügern nicht auf den Leim gehen und im Ernstfall richtig reagieren. Prozesse, Policies und Notfallhandbücher müssen festgeschrieben sein, sodass jeder Mitarbeiter im Unternehmen darauf zugreifen kann. Dafür ist der Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) Pflicht. Es stellt sicher, dass im Ernstfall alle relevanten Informationen schnell zugänglich sind, und versetzt die Mitarbeiter in die Lage, zeitnah und zielgerichtet zu reagieren.

Für den Aufbau eines Sicherheitskonzepts gilt es zunächst, eine detaillierte Analyse zu erstellen. Sie klärt, welche Systeme wo im Einsatz sind und wo besondere Risiken liegen. Je nach Unternehmen gibt es unter Umständen Funktionen, auf die Mitarbeiter nicht verzichten können, obwohl sie möglicherweise Gefahren bergen. Firmen, die viel mit Partnern oder Kunden in Ländern kommunizieren, in denen das Telefonnetz unzuverlässig ist, nutzen zum Beispiel häufig Skype oder Whatsapp. In solchen Fällen ist es nicht zielführend, diese Applikationen per se zu sperren. Denn die Mitarbeiter würden sich nur nach Schlupflöchern umsehen und Apps nutzen, von denen die IT-Abteilung nichts weiß und die sie nicht überprüft hat. So entsteht eine gefährliche Schatten-IT, die Angreifern Tür und Tor öffnet. Statt kritische Anwendungen einfach zu sperren, sollten IT-Abteilungen sichere Alternativen anbieten oder Apps auskoppeln, sodass sie die eigene IT sicherheitstechnisch nicht belasten.

Auf Basis der Analyse wird ein Konzept entwickelt, das die technische und die organisatorische Seite der IT-Sicherheit einschließt. Auf technischer Seite geht es darum, für das Unternehmen geeignete Hard- und Software-Komponenten auszuwählen, die optimal zueinander passen und auf dem aktuellen Stand sind. Auf organisatorischer Seite steht der Aufbau von Sicherheitsprozessen, Richtlinien und einem Rechtemanagement inklusive Kontrollprozessen im Fokus. Dazu gehören Notfallhandbücher, Handlungsanweisungen für die Mitarbeiter und Schulungen. Auch für Lieferanten, Dienstleister und Besucher legt ein gutes Sicherheitskonzept Richtlinien fest. Dazu gehören beispielsweise Anweisungen für den sicheren Datenaustausch, Zugangskontrollen für die Systeme und Zugriffsrechte.

Die Mischung macht’s

IT-Sicherheit ist heute keine Kür mehr, sondern Pflicht. Unternehmen können es sich nicht leisten, dass ihre Systeme stillstehen oder sensible Daten in falsche Hände geraten. Hacker greifen zunehmend auf der menschlichen Ebene an. Sie nutzen Social-Engineering-Techniken, um sich vertrauliche Informationen zu erschleichen. Oder verführen Mitarbeiter dazu, E-Mail-Anhänge mit Schadcode zu öffnen. Unternehmen müssen deshalb ein Sicherheitskonzept entwickeln, das sowohl technische als auch organisatorische Maßnahmen umfasst. Ein proaktives Schwachstellen-Management, ein SIEM oder innovative Sandboxing-Verfahren sind dabei ebenso wichtig wie Mitarbeiterschulungen, die Etablierung von Sicherheits-Prozessen und der Aufbau eines ISMS. Ein spezialisiertes externes Beratungsunternehmen kann bei dieser Mammut-Aufgabe unterstützen.

Der Autor Olaf Niemeitz ist Geschäftsführer des Security-Spezialisten Axians IT Security und verantwortet den gesamten Vertrieb des herstellerunabhängigen IT-Hauses Axians IT Solutions. Das Unternehmen gehört zu Axians, der Marke für ICT-Lösungen von Vinci Energies.

 
 




Banner

Banner
     
   
Subscribe to our newsletter to receive the latest news/updates: