Kriminelle Hacker – Einloggen ist einfacher als das System zu hacken

Ganz einfach: Die Hacker spionieren über die geheime Hintertür erstmal aus, was der Anwender oder die Anwenderin überhaupt für Rechte hat. Möglicherweise ist es ja jemand, der nahezu – unternehmenstechnisch betrachtet – keine Kompetenzen oder Rechte hat. Ransomware auf diesem einen PC auszuspielen ist aus Sicht der Angreifer einfach nur Zeitverschwendung. 

Bleiben wir mal in den Gedanken der Kriminellen: Aber vielleicht lässt sich dieser kompromittierte Account (auf den sich dann die Hacker auch einloggen können) ja dazu nutzen, sich in die E-Mail-Kommunikation mit anderen einzuklinken. Also, vielleicht könnte man ja über das Mitlesen von E-Mails einen Empfänger mit mehr Rechten im Unternehmen identifizieren, der sich als unfreiwilliger Multiplikator besser für kriminelle Machenschaften missbrauchen ließe?

Auf diese Weise können die Angreifer im Laufe der Zeit ein immer genaueres Bild von Personen und Kompetenzen im Unternehmen zeichnen und ihre Attacken sehr zielgerichtet „optimieren“. Diese eine Person wird dann möglicherweise im Laufe einiger Wochen oder gar Monate so manipuliert, dass sie zum Beispiel irgendwann eine gefälschte E-Mail mit Ransomware erhält, diese arglos öffnet und damit im gesamten Unternehmen aktiviert. 
 

Allerdings – und das darf man auch nicht vergessen – sind Hacker auch immer an technischen Sicherheitslücken und Schwachstellen in Software und Konfigurationen interessiert. Dabei versuchen die Hacker verstärkt das Zeitfenster zu nutzen, das durch die Veröffentlichung der Sicherheitslücke und dem Schließen selbiger entsteht. Wichtig ist daher ein schnell und gut funktionierendes Patch Management, dass genau auch diese Herausforderung berücksichtigt. Aber dazu hatte ich mich  ja erst hier im Blog detailliert geäußert. 

Nun, gegen menschliche Fehler ist einfach niemand gefeit, aber sich einfach dem Schicksal ergeben ist auch keine Lösung. Wichtig ist vielmehr eine umfassende Sicherheitsstrategie im Unternehmen, die unter anderem:

• Den Faktor ‚Mensch‘ berücksichtigt und die Anwendenden in ihrer jeweiligen Rolle immer wieder auf die Herausforderung „digitale Sicherheit“ hinweist – z.B. mit regelmäßigen Trainings oder auch eigenen Testmails, um die Mitarbeiter zu sensibilisieren
• Die technischen Faktoren umfassend betrachtet, unter anderem mit
  • Installation moderner Cybersecurity-Lösungen wie Firewalls, Virenscanner, etc.
  • Aktives Monitoring aller Software-Lieferanten auf Sicherheitslücken und deren (Hot) Fixes – damit einhergehend ein umfassendes Asset Management
  • gutes, ausgeklügeltes Updatemanagement für wirklich alle Anwendungen und Systeme im Unternehmen
  • einem Rechte-Management, das den Mitarbeitenden nur gerade so viele Rechte wie nötig einräumt
  • leistungsfähige und sichere Verwaltung der Endpoints über alle Plattformen hinweg
  • sorgfältige Konfigurationen sämtlicher Anwendungen und Plattformen (ein unterschätzter Aspekt beispielsweise im Bereich der Webshops, siehe)
  • restriktiver Umgang mit Cloud Services (Stichwort Schatten-IT)
  • Tracking von Log-Ins der Mitarbeiter in den zugelassenen Cloud-Services wie Microsoft 365 (Uhrzeit und Geografie, denn ein Log-out um 18:00 Uhr mit einer IP-Adresse aus Deutschland und ein erneute Log-In aus Amerika oder Asien nur ein oder zwei Stunden später ist demselben Nutzer wohl eher unmöglich)
  • Berücksichtigung der Sicherheitsmaßnahmen von Partnern, Kunden und Lieferanten (Stichwort Sicherheit in der Lieferkette)
  • Physische Sicherheit und isolierte Back-ups nicht vergessen
     

Es darf kein Punkt ausgelassen werden. Denn auch hier gilt: Diese Kette ist nur so stark wie ihr schwächstes Glied. So mögen zwar fast alle der genannten Maßnahmen sorgfältig umgesetzt sein, liegt auch nur eine fehlerhafte Konfiguration vor oder ist auch nur ein IoT-Gerät nicht sicher, ist das gesamte System hochgradig gefährdet.

Der zweite Punkt betrifft die Mitarbeitenden und die Kommunikation zu Cybersecurity-Themen. Die Angestellten müssen zum einen verstehen, dass all die Maßnahmen dem Schutz des Unternehmens und damit auch der Sicherheit des eigenen Arbeitsplatzes dienen.

Und zum anderen muss klar erläutert werden, dass auch sie, die Mitarbeitenden, ein wichtiger Faktor der digitalen Sicherheit im Unternehmen sind und Kriminelle keineswegs nur via Technik angreifen, sondern das vermeintlich schwächste Glied (siehe oben) mit Tricks aller Art zur unfreiwilligen Mitarbeit – meist durch Neugier oder Unachtsamkeit – bewegen wollen. 
 

Und nur wenn die Sicherheitsstrategie des Unternehmens beide Säulen – Mensch und Technik – als elementaren Bestandteil der Cybersecurity versteht und auch beide mit Leben, Qualität und Sorgfalt versieht, werden die Firmen in der Lage sein, die eigene Sicherheit nachhaltig zu erhöhen.