robsonphoto - stock.adobe.com
Fünf Bedrohungen, denen sich Unternehmen nicht bewusst sind
Keine Verschlüsselung bei Scan-Vorgängen, gefälschte Code-Signaturen, und Smartphone-Backups der Mitarbeiter. Die nicht ganz offensichtlichen Bedrohungen sind vielfältiger Natur.
In den letzten Monaten gab es viel mediale Aufregung um große Unternehmen, die spektakulären Hackerangriffen zum Opfer gefallen waren, was einmal mehr demonstrierte, wie gefährlich mangelnder Datenschutz ist. So wurden die Diebstähle von Kundendaten bei der Großbank Capital One und der führenden Hotelkette Marriott International als Beispiele herangezogen, um aufzuzeigen, wie häufig Angriffe auf große Unternehmen gelingen.
Viele kleinere Unternehmen haben aus diesen spektakulären Angriffen allerdings geschlossen, dass Hacker – und die Datenschutzbehörden – Wichtigeres zu tun haben, als sich mit ihnen zu beschäftigen. Tatsächlich ist jedoch genau das Gegenteil der Fall. Diese Angriffe zeigen nämlich, wie agil Cyberkriminelle sein können: Sie nutzen Hintertüren, von deren Existenz Sie nicht einmal wissen, um sich Zugang zu Daten zu verschaffen. Und wenn diese Angreifer die Sicherheitsmaßnahmen großer Unternehmen überwinden können, dann werden sie vermutlich auch die Ihren überwinden können.
Um dies zu verhindern, ist es wichtig, dass Unternehmen – jeder Größe – die Bedrohungen verstehen, mit denen sie konfrontiert sind. Während sich viele bewusst sind, dass Ransomware und Malware eine ernste Gefahr darstellen, wissen sie vielleicht nicht, dass Hacker kontinuierlich neue Formen von Spam entwickeln. Nachfolgend aufgelistet sind fünf Bedrohungen, die Unternehmen auf dem Schirm haben müssten, aber oft nicht haben:
1. Fehlende Verschlüsselung beim Scannen an E-Mail
Kopierer und Scanner stellen für die IT-Sicherheitsexperten seit jeher eine Herausforderung dar. Eingescannte PDF-Dokumente können eine Gefahr sein, wenngleich sie nicht in Klartext vorliegen, und herkömmlichen DLP-Lösungen (Data Loss Prevention) kann diese Bedrohung entgehen. Es gibt keine Vorkehrungen für Verschlüsselung oder Passwortschutz, was es schwierig macht, Scan-an-E-Mail-Funktionen und die daraus resultierenden Anhänge abzusichern. Und natürlich kann eine Speicherung von Bildern gemeinsam mit gespeicherten Daten auch die Datenschutzmaßnahmen eines Unternehmens unterlaufen. Bilder, die personenbezogene Daten darstellen, etwa die von Kunden oder Mitarbeitern, sind im Sinne des Datenschutzes ebenso sensibel wie alle anderen vertraulichen Berichte oder Dateien. Für viele Unternehmen bergen digitale Bilder oder PDF-Dateien, die über digitale Kooperationskanäle ausgetauscht werden, das Risiko eines Verstoßes gegen die Vorschriften der DSGVO, da die meisten heutigen Sicherheitslösungen diese Dateitypen nicht auf Bedrohungen durch Datenschutzverletzungen prüfen.
Um dieses Risiko zu minimieren, können Bilder mithilfe optischer Zeichenerkennung (OCR) geprüft und analysiert und der Text extrahiert werden, sodass sich die Daten im Bild wie ein normales elektronisches Dokument mit DLP-Funktionalitäten verarbeiten lassen. Auf diese Weise können in PDF-Form eingescannte Dokumente und sogar Screenshots mit DLP geschützt werden. Darüber hinaus können digitale Bilder während der Übertragung mittels OCR analysiert werden – gleich, ob sie per E-Mail verschickt oder auf Websites und Cloud-Anwendungen hochgeladen, beziehungsweise von dort heruntergeladen werden.
2. Gefälschte Code-Signaturen
Cyberkriminelle nutzen Code-Signing-Prozesse aus, um die Legitimität einer Anwendung zu „beweisen“ und mithilfe „gültiger“ Zertifikate Malware auf den Systemen der Opfer zu installieren. So meldete sich etwa die Hackergruppe Fin7 jüngst mit entsprechenden neuen Malware- und Verschleierungstechniken zurück, wobei sich wieder einmal zeigte, wie leicht Vertrauen missbraucht werden kann.
Dass eine Anwendung signiert ist, bedeutet noch lange nicht, dass man ihr vertrauen kann. Für viele Unternehmen ist die Prüfung, ob eine Anwendung signiert ist, eine wichtige Methode im Rahmen der Billigung von Updates und der Zustimmung zur Installation. Auf der Makroebene sollte die Prüfung neuer Updates eigentlich nicht zeitaufwändig sein. Wenn es jedoch um Zehntausende von Anwendungen (oder Komponenten einer Anwendung) in einem Unternehmen geht, wird sie eine Riesensache. Man bedenke nur, wie oft schon die Apps auf einem Handy aktualisiert werden müssen.
Aufklärung allein reicht nicht aus, um dieses Problem zu bekämpfen. Vielmehr sind umfassende Änderungen an Richtlinien und Prozessen sowie weitere Technologie-Investitionen erforderlich. Unternehmen müssen eine verifizierte Whitelist aller Anwendungen und Komponenten führen, um sicherzustellen, dass sie alle „echt“ sind. Dies ist sowohl zeitaufwändig als auch teuer, aber unerlässlich, um Sicherheit zu gewährleisten. Ein Prozess muss eingerichtet werden, der beschränkt, was Mitarbeiter installieren dürfen, und der Updates erst dann zulässt, wenn deren Quelle verifiziert wurde. Und da immer mehr Menschen von zu Hause aus arbeiten, müssen Unternehmen auch dafür sorgen, dass VPN-Lösungen verwendet werden, damit der gesamte Webverkehr und alle Downloads die Sicherheitsprüfungen des Unternehmens durchlaufen und den festgelegten Richtlinien entsprechen müssen. Um das Risiko zu minimieren, braucht es Wachsamkeit – unabhängig von der Größe einer Anwendung.
3. Gefälschte Updates
Gefälschte Updates folgen im Wesentlichen dem gleichen Muster wie andere Angriffe, bei denen das Benutzersystem oder Gerät fragt, ob eine Aktualisierung oder Anwendung, die nicht erwartet wird, installiert werden soll. Bei Updates für Browser oder andere Anwendungen können Cyberkriminelle darauf setzen, dass der Benutzer daran gewöhnt ist, nach einem Update gefragt zu werden, und deshalb vielleicht routinemäßig auf „OK“ klicken wird. Durch die Annahme eines gefälschten Updates lädt ein Mitarbeiter unabsichtlich Malware herunter und installiert sie im gesamten Netzwerk des Unternehmens. Fast die Hälfte aller in 2018 gemeldeten Cybersicherheitsvorfälle waren auf interne Fehler zurückzuführen; das Ausnutzungspotenzial ist also hoch.
Es gibt mehrere Möglichkeiten, wie sich Unternehmen vor gefälschten Updates schützen können. Die beste ist, nur Updates von autorisierten Websites zuzulassen, die intern gehostet werden können. Für Unternehmen, die darauf nicht eingerichtet sind, ist dies jedoch keine schnell umsetzbare Lösung. Alternativ können mit einfachen Regeln auf einem Web-Sicherheits-Gateway alle Update-Server außer den autorisierten auf die Blacklist gesetzt werden. Auch hier wird die Möglichkeit, daheim zu arbeiten, wieder zu einem Problem, wenn Mitarbeiter ihre Geräte mit nach Hause nehmen und sich direkt mit dem Internet verbinden, um Updates zu empfangen. Unternehmen müssen ihre Mitarbeiter darüber aufklären, dass diese spezielle Bedrohung zunimmt und sie sich deshalb des Risikos bewusst sein müssen.
4. Backups in Mobile Clouds
Mitarbeiter müssen sich außerdem bewusst sein, welche Folgen es haben kann, wenn sie Daten im Internet teilen, insbesondere über unsichere Anwendungen. So könnte beispielsweise ein Mitarbeiter ein Backup der Unternehmenskontakte auf seinem iPhone in seiner persönlichen iCloud anlegen. Mitarbeiter laden ständig neue Apps herunter, installieren sie und gewähren dabei unbeabsichtigt Zugriff auf alles und jedes – von der Kamera über das Mikrofon bis hin zu den Kontakten des Geräts –, ohne dass die IT-Abteilung davon weiß. Wenn eine App erst einmal installiert ist, kann man nur schwer feststellen, was sie mit den Zugriffen macht, die man ihr eingeräumt hat.
Wie wollen Sie wissen, ob die App, die Sie heruntergeladen haben, Ihre Umgebung abhört und Ihre Informationen verkauft? Wir alle erinnern uns an den Lauschskandal um die La-Liga-App, der zeigte, wie leicht auf persönliche Standortdaten und Mikrofone zugegriffen werden kann. Eine App könnte sogar theoretische alle Geschäftskontakte eines Mitarbeiters und andere wichtige Informationen in die Cloud hochladen, ohne dass der Betroffene dies merkt.
„Ein wohlausgewogenes Konzept für Cybersicherheit ist eines, das sich laufend weiterentwickelt und alle Bereiche des Unternehmens einschließt.“
Dr. Guy Bunker, Clearswift RUAG Cyber Security
Unternehmen müssen dafür sorgen, dass alle Anwendungen mit Zugriff auf ihr Netzwerk gründlich überprüft werden, um sicherzustellen, dass sie keine Zugriffe anfordern, die ein Risiko darstellen. Die Mitarbeiter müssen über die Bedrohungen aufgeklärt werden, die durch BYOD und das Herunterladen von Apps auf Geräte entstehen können, die Zugriff auf das Netzwerk haben. Es gilt, einen Mittelweg zu finden zwischen Tatenlosigkeit und einer kompletten Blockade von Cloud-Geräten. Dieser könnte etwa so aussehen, dass die Mitarbeiter nur unternehmenseigene Geräte nutzen und nur vorab genehmigte Apps herunterladen dürfen.
5. Sicherheitsstandards anderer Unternehmen
Unternehmen können in Mitleidenschaft gezogen werden, wenn ein schwaches Glied in ihrer Lieferkette Opfer eines Cyberangriffs wird. Mit dem wachsenden Informationsaustausch und den immer zahlreicheren Mitteln und Wegen, die dafür zur Verfügung stehen, nehmen auch die Möglichkeiten zum Missbrauch zu. Gleich, ob es sich um eine komplexe Attacke handelt wie den Hackerangriff auf Lockheed Martin mithilfe von RSA-Token oder um eine einfachere Sicherheitsverletzung, bei der „vertrauenswürdige“ Mitarbeiter Informationen einsehen, auf die sie keinen Zugriff haben sollten: In solchen Fällen ist nicht nur ein Unternehmen gefährdet, sondern die Sicherheit der gesamten Lieferkette.
Das Problem einzudämmen muss nicht einmal kompliziert sein. Unternehmen sollten von ihren Zulieferern und Partnern Auskunft über ihre Cybersicherheitsrichtlinien verlangen und sich vergewissern, dass sie mit ihren eigenen übereinstimmen. Ist das nicht der Fall, muss der Partner entweder die Sicherheit verstärken oder die Beendigung der Geschäftsbeziehung muss erwogen werden. Die DSGVO ist schließlich eine gemeinsame Verantwortung. Wenn ein Glied in der Kette schwach ist, dann ist die gesamte Kette schwach.
Robuste Sicherheit
Jedes Unternehmen braucht robuste Sicherheitsmaßnahmen, ganz gleich, wie groß es ist. Die Mitarbeiter müssen gründlich darüber aufgeklärt werden, wie wichtig zuverlässige Cybersicherheit ist und wie sie Bedrohungen effektiv abwehren können. Es müssen Prozesse vorhanden sein, um Sicherheitsverletzungen zu melden und die Sicherheit nach einer Panne wiederherzustellen. Technologien sollten ein Sicherheitsnetz sein und müssen ständig überprüft und aktualisiert werden, um mit neu aufkommenden Bedrohungen Schritt zu halten. Ein wohlausgewogenes Konzept für Cybersicherheit ist eines, das sich laufend weiterentwickelt und alle Bereiche des Unternehmens einschließt.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.