alphaspirit - Fotolia
IT-Sicherheit: Darauf sollten sich Unternehmen konzentrieren
Viele Unternehmen haben in Sachen IT-Sicherheit und Umsetzung Fortschritte gemacht, aber die Verantwortlichen sollten nicht davon ausgehen, dass dies für die Zukunft ausreicht.
Die Konsequenzen der Pandemie und die unausweichliche digitale Transformation stellen auch 2022 eine doppelte Herausforderung für Unternehmen dar. Nach zwei Jahren Home-Office und hybriden Arbeitsmodellen gibt es keinen Zweifel daran, dass die Geschäftskontinuität durch die Fernarbeit nicht beeinträchtigt wird.
Doch zeigten Vorfälle wie PrintNightmare oder die Log4j-Schwachstellen, wie Hacker Sicherheitslücken in Windeseile ausnutzen und schnell Schäden anrichten können. Wenn IT-Teams diese Angriffe vereiteln, mag das kurzfristig ein Erfolg sein. Langfristig sollten IT-Entscheider sich jedoch nicht darauf ausruhen, denn Cyberkriminelle werden ihre Strategien und Methoden anpassen.
Cybersicherheit muss oberste Priorität haben
Aktuell braut sich ein perfekter Sturm zusammen, wenn es um Cybersicherheit geht. Führungskräfte bemühen sich auf ganzer Linie darum, in ihren Unternehmen eine Kultur der Eigenverantwortung für digitale Sicherheit und Datenschutz zu etablieren. Während die Experten die Notwendigkeit von Schutz und Wachsamkeit erkennen, wissen viele Mitarbeiter einfach nicht, wie gute Sicherheit aussieht. Deshalb ist eine starke Führung unerlässlich, um mit gutem Beispiel voranzugehen und Cybersicherheit zu einem Thema zu machen, mit dem sich alle Beteiligten in sämtlichen Hierarchieebenen beschäftigen.
Die Pandemie hat die Einführung der digitalen Transformation viel früher als vorhergesagt beschleunigt, was eine doppelte Herausforderung mit sich bringt: die Verbreitung von Geräten und das Erlernen und Verwalten neuer Verhaltensweisen der Anwender. Fernarbeit und die Pausierung zahlreicher Vor-Ort-Dienstleistungsangebote haben die Art und Weise verändert, wie wir uns auf die digitale Infrastruktur verlassen, um zu arbeiten, zu leben und Kontakte zu knüpfen – mit vielen Benutzerkonten und Systemen, die mit der Absicht einer langfristigen Nutzung eingerichtet wurden.
Viele Menschen haben dazu auch Endgeräte genutzt, die der jeweilige Arbeitgeber zur Verfügung stellt. Doch diese Strukturen sind extrem schwierig zu verwalten und führen häufig zu Schatten-IT. Die Gefahr: Datenlecks, Diebstahlrisiken und eine Verzerrung der IT-Budgets.
Inmitten dieser Herausforderungen haben die Medien im Jahr 2021 den Erfolg von Unternehmen aller Branchen gelobt und gefördert – und das stimmt größtenteils auch. Doch wir haben auch erlebt, wie Hacker Sicherheitslücken in Windeseile ausnutzen, bis zu dem Punkt, an dem IT- und Sicherheitsteams an ihre Grenzen stoßen, wie bei PrintNightmare oder den Log4j-Schwachstellen. Wenn ihre Sicherheitsteams diese Angriffe vereiteln, könnten viele Führungskräfte dies als einen Sieg ansehen – und als Grund, weniger Geld auszugeben. Aber das ist die falsche Mentalität. Sich in einem falschen Gefühl der Sicherheit zu wiegen, hat enorme Konsequenzen.
IT- und Sicherheitsteams sind erheblich unter Druck geraten. Dies ist nicht nur auf die zahlreichen Schwachstellen und Angriffe zurückzuführen, sondern auch ein Nebenprodukt der unzureichenden Sicherheitskenntnisse der Verantwortlichen. Außerdem sind die Teams möglicherweise so stark auf KMU mit Security-Expertise angewiesen, dass deren Verfügbarkeit und Bandbreite für strategische und proaktive Lösungen nicht mehr gegeben ist. Die Kürzung oder Einstellung der Ausgaben für solche wichtigen Ressourcen und Initiativen kann der erste Schritt auf dem Weg in die nächste Katastrophe sein.
Während Unternehmen versuchen, das richtige Gleichgewicht zu finden, sind auch Kriminelle auf diese sehr realen Probleme aufmerksam geworden und warten auf die nächste Gelegenheit. Infolgedessen könnten wir mehr groß angelegte Angriffe in der gesamten Branche erleben. Dies wird zweifellos einen weiteren Zyklus der Besorgnis, des Bewusstseins und der übertriebenen Wachsamkeit auslösen, der in ein falsches Gefühl der Sicherheit umschlägt, bei dem die Verantwortlichen die Notwendigkeit weiterer Sicherheitsausgaben erneut in Frage stellen.
Verwalten von Anwendern, um Bedrohungen vorzubeugen
Eine natürliche Frage, die sich Führungskräfte stellen, wenn es um Investitionen in die Sicherheit geht, lautet: „Worauf sollten wir uns konzentrieren?“ Die Antwort lautet: auf die Anwender. Denn ob es nun um die Sicherheit des Unternehmens oder um die persönliche Sicherheit geht, das schwächste Glied sind die User eines Systems. Social-Engineering-Taktiken werden immer raffinierter und überschreiten die Grenzen zwischen unseren „Arbeitsidentitäten“ und unseren „privaten Identitäten“. Schließlich sind unsere persönlichen Informationen in den sozialen Medien und an jedem Ort, den wir online besucht haben, reichlich vorhanden.
Dies hat nicht nur zu Phishing-Angriffen, sondern auch zu sehr gezielten Spear-Phishing-Kampagnen geführt. Die Folge: Identitätsdiebstahl, aber auch der Diebstahl von vertrauenswürdigen Zugangsdaten und geschütztem geistigem Eigentum. Anwender werden nun zu den Schlüsseln für Kriminelle, die sich Zugang zu einem Unternehmen verschaffen wollen. Glücklicherweise sind sie aber gleichzeitig auch die beste Verteidigung, die eine Organisation haben kann, wenn die Führungskräfte Strategien umsetzen, die eine Kultur des Sicherheitsbewusstseins schaffen.
„Wenn sich die Mitarbeiter für das Thema Security engagieren und die Bedeutung ihres eigenen Handelns erkennen, können Unternehmen die anstehenden Herausforderungen meistern.“
Lewis Huynh, NinjaOne
In dem Maße, in dem Unternehmen ihren Sicherheitsansatz weiterentwickeln, werden Probleme wie die Schatten-IT immer deutlicher. Viele Führungskräfte sind sich vielleicht gar nicht bewusst, wie weit verbreitet Schatten-IT in ihrer Infrastruktur ist, aber die Risiken von durchgesickerten oder gestohlenen Daten oder die Entdeckung versteckter oder alter Konten, die vergessen wurden, können ernsthaft kritisch sein.
In Kombination mit der Vermischung von Unternehmensressourcen mit den Netzwerken und Systemen der Heimarbeitsplätze haben Angreifer die Möglichkeit, das Online- und Social-Media-Leben zu nutzen, um in die Systeme einer Organisation einzudringen.
Der Aufbau, die Förderung und die Verankerung einer Sicherheitskultur ist keine einfache und auch keine schnelle Aufgabe. Praktische Schritte wie Schulungen für die Belegschaft (die sowohl das Arbeits- als auch das Privatleben betreffen), interne Phishing-Kampagnen (mit Belohnungen und Anreizen) und offene Gespräche sind ein guter Anfang. Wenn Verantwortliche dann noch die Kontrollen und Prozesse anerkannter Sicherheits-Frameworks sowie ein einheitliches Endpunktmanagement und Sicherheits-Tools für die Benutzersysteme einbeziehen, stellen sie ihre Security-Teams auf ein stabiles Fundament.
Gehen Sie nicht davon aus, dass Sie sicher sind
Wenn uns das Jahr 2021 etwas gezeigt hat, dann, dass Cyberkriminelle in ihren Angriffen nicht nachlassen und zunehmend über Mitarbeiter in interne Strukturen eindringen. Unternehmen haben zwar Fortschritte bei der Verbesserung ihrer IT- und Sicherheitssysteme gemacht, aber die Verantwortlichen sollten nicht davon ausgehen, dass das ausreicht.
Aus dem NinjaOne-Bericht 2020 über Schatten-IT wissen wir, dass viele Mitarbeiter die Regeln brechen, wenn sie die Gelegenheit dazu haben. Die Gründe reichen von lästigen Richtlinien über Beeinträchtigungen der Produktivität beeinträchtigen bis hin zur mangelnden Reaktionsgeschwindigkeit der Sicherheitsteam bei der Prüfung neuer Tools. Dieses risikoreiche Verhalten lässt sich nur schwer korrigieren, und genau deshalb ist eine Kultur der Eigenverantwortung für die Sicherheit so wichtig. Wenn sich die Mitarbeiter für das Thema Security engagieren und die Bedeutung ihres eigenen Handelns erkennen, können Unternehmen die anstehenden Herausforderungen meistern.
Zusätzliche Investitionen, wie zum Beispiel die Erweiterung des Sicherheitsteams, die Durchführung regelmäßiger Penetrationstests, Investitionen in Tools und Protokolle, die für die Einhaltung der Rahmenstandards für Cybersicherheit erforderlich sind, und häufige Sicherheitsschulungen, können das Sicherheitsniveau eines Unternehmens weiter erhöhen. In jedem Fall ist jetzt nicht die Zeit für Budgetkürzungen. Führungskräfte sollten sich mit ihren IT-Manager oder Managed Service Providern (MSP) beraten, um herauszufinden, wie sie die eigene Infrastruktur am besten schützen und gleichzeitig das Unternehmen am Laufen halten können.
Über den Autor:
Lewis Huynh ist Chief Security Officer bei NinjaOne. NinjaOne entwickelt IT-Management-Produkte zur Überwachung, Verwaltung und Wartung von Unternehmens-IT.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.