fabioberti.it - stock.adobe.com
Phishing, Fernzugriff, Insider: Bedrohungen wirksam begegnen
Angesichts der Ressourcen müssen IT-Teams häufig Prioritäten setzen, wenn es um den Schutz vor Bedrohungen geht. Es lohnt ein Blick auf wichtige Risiken, um diese zu minimieren.
In der gegenwärtigen Situation müssen Unternehmen schnell lernen, mit weniger Ressourcen und unter chaotischeren Umständen mehr zu erreichen als bisher. Laut Gartner werden die IT-Ausgaben aufgrund der Folgen von COVID-19 im Jahr 2020 um acht Prozent sinken.
Dies bedeutet, dass IT-Teams, die noch nie den Luxus unbegrenzter Budgets hatten, ihre Ressourcen neu bewerten und noch weiter reduzieren müssen, während Cyberbedrohungen sowohl im Umfang als auch in ihren Auswirkungen weiter zunehmen werden.
Um zu überleben, müssen Unternehmen Prioritäten setzen und sich vor den Cyberbedrohungen schützen, die entweder am häufigsten auftreten oder am schädlichsten sind. Es lohnt sich, einen genaueren Blick auf die derzeit vorherrschenden Bedrohungen zu werfen, um zu verstehen, wie sie minimiert werden können.
Bedrohung Nr. 1: Phishing
Die letzten vier Monate der COVID-19-Pandemie haben gezeigt, wie vielfältig und ausgefeilt Phishing-Angriffe sein können. So hat eine kürzlich durchgeführte Untersuchung ergeben, dass eine neue Art von E-Mails im Zusammenhang mit dem Coronavirus als Schulungspakete getarnt sind, die Remote-Mitarbeitern den Wiedereinstieg ins Büroleben erleichtern sollen.
Die Anzahl solcher Angriffe ist erstaunlich, denn der NCSC Suspicious Email Reporting Service hat innerhalb von zwei Monaten nach seinem Start über eine Million Berichte über Betrugs-E-Mails erhalten. Jede einzelne bösartige E-Mail kann dazu führen, dass Angreifer in das Unternehmensnetzwerk der Firma eindringen und vertrauliche Daten stehlen.
Um sich vor Phishing-Angriffen zu schützen, sollten Unternehmen einen tiefgreifenden Ansatz verfolgen. Dieser beginnt mit der Verwendung von Tools, welche bereits die Zustellung von Spam- und Phishing-E-Mails an Benutzer unterbinden. Zwar kann es für E-Mail-Filter und spezielle Anti-Spam-Lösungen unter Umständen schwierig sein, gut gestaltete Spear-Phishing-Nachrichten zu identifizieren, doch weniger ausgefeilte Angriffe können von den Filtern gestoppt werden.
Endpoint-Protection- und Anti-Malware-Lösungen sind in der Regel die erste Verteidigungslinie, die die Folgen mindern, falls Benutzer zu Opfern werden und einen böswilligen Anhang öffnen oder einem Link zu einer Malware-infizierenden Website folgen.
Es ist jedoch wichtig, dieses Risiko so gering wie möglich zu halten und die Benutzer kontinuierlich zu schulen. Schulungen zur Sensibilisierung gegenüber Phishing-Angriffen können praktisch von kostenlosen Tools, wie einem Newsletter des IT-Sicherheitsteams, bis hin zu Fortbildungsprogrammen reichen. Ebenfalls hilfreich ist die Verwendung von Plug-ins, mit denen Benutzer externe E-Mails oder möglicherweise verdächtige Links visuell identifizieren können.
Trotz all dieser Maßnahmen kann nicht garantiert werden, dass das Risiko eines Angriffs vollständig ausgeschlossen ist. Unternehmen müssen mit dem schlimmsten Fall rechnen und in der Lage sein, den potenziellen Angriff frühzeitig zu erkennen und den voraussichtlichen Schaden zu minimieren. Um dies zu erreichen, muss sichergestellt werden, dass Berechtigungen nach dem Minimalprinzip erteilt werden, und nicht alle vertraulichen Daten von ihren geschützten Speicherorten verschoben oder kopiert werden können.
Obwohl es verschiedene Möglichkeiten zur Umsetzung gibt – von manuellen Prozessen und Skripten bis hin zu Lösungen von Drittanbietern – empfiehlt es sich, den Prozess so weit wie möglich zu standardisieren und nach benutzerfreundlichen Tools mit umfassenden Abdeckungs- und Integrationsmöglichkeiten zu suchen. All dies kann die Betriebskosten erheblich senken und den maximalen Nutzen aus dem ausgewählten Tool-Set bieten.
Bedrohung Nr. 2: Fernzugriff
Während der Lockerungen der COVID-19-bedingten Maßnahmen kombinieren die meisten Unternehmen In-Office- und „Work-From-Home“-Modelle, wobei letzteres überwiegt. Eine kürzlich von Gartner durchgeführte Umfrage ergab, dass 82 Prozent der Unternehmensleiter planen, den Mitarbeitern auch zukünftig die Möglichkeit zu geben, einen Teil ihrer Zeit remote zu arbeiten.
Dies bedeutet, dass die Aufgabe, einen sicheren Fernzugriff auf Unternehmensnetzwerke zu gewährleisten, weiter bestehen bleibt. Da viele Remote-Mitarbeiter persönliche Geräte verwenden, die anfälliger sind als Unternehmens-PCs oder -Notebooks, steigen die Sicherheitsrisiken exponentiell.
In der Tat steht eine Reihe von Tools zur Verfügung, um eine Organisation vor solchen Risiken zu schützen, wie zum Beispiel der Schutz verschiedener Endpunkte oder die Verwaltung mobiler Geräte. Die wichtigste Maßnahme zur Sicherung von Remote-Zugriffen ist jedoch die Implementierung einer sicheren VPN-Verbindung. Hierfür sollte man das VPN auf einen bestimmten Host oder ein bestimmtes Subnetz beschränken. Einer dieser Hosts kann das gesicherte Unternehmensgerät eines Mitarbeiters sein, das vom IT-Team überwacht wird, oder ein Terminalserver.
Wenn Hacker in diesem Fall auf das Gerät des Mitarbeiters zugreifen, gelangen sie zu einem Subnetz mit eingeschränktem Zugriff und nicht in das gesamte Unternehmensnetzwerk mit kritischen Servern. Die Cyberkriminellen müssen daraufhin weitere Anstrengungen unternehmen, um in den Rest des Unternehmens einzudringen.
Auf diese Weise kann das IT-Team den Angriff frühzeitig erkennen und vereiteln. Es ist jedoch wichtig, dass das IT-Team bei Anzeichen für solche Angriffe vom System gewarnt wird – beispielsweise bei einer großen Anzahl von erfolgten oder fehlgeschlagenen Anmeldungen, IDS-Signaturwarnungen (Instrusion-Detecion-Systeme) oder verdächtigen VPN-Anmeldungen von unbekannten IP-Adressen oder von IP-Adressen von verdächtigen geografischen Standorten.
Last but not least müssen Netzwerkgeräte rechtzeitig gepatcht werden. Da im Laufe des Jahres 2020 eine Reihe von Sicherheitslücken gemeldet wurden, können sich alle oben genannten Maßnahmen als unwirksam herausstellen, wenn dies nicht geschieht.
Bedrohung Nr. 3: Insider-Bedrohungen
Der jüngste Netwrix Cyber Threats Report (PDF) zeigt: 58 Prozent der Befragten befürchten, dass die Sicherheitsvorschriften zum Datenschutz nicht immer eingehalten werden. Bei den folgenden Ereignissen handelt es sich meist nicht um böswillige Handlungen, sondern um Vorfälle, die auf menschliches Versagen oder Fahrlässigkeit der Mitarbeiter zurückzuführen sind. Im Folgenden werden die häufigsten Fehler mit dem größten Risikopotenzial beleuchtet.
„Das verbreitete Klischee besagt zwar, dass externe Angreifer gefährlicher sind als Insider-Bedrohungen, doch können Insider in Wirklichkeit sogar noch größere Schäden anrichten.“
Jürgen Venhorst, Netwrix
An allererster Stelle steht der unbefugte Datenaustausch. Laut dem genannten Report verfolgt ein Drittel der Unternehmen (29 Prozent) den Datenaustausch zwischen Mitarbeitern nicht und weitere 25 Prozent verfügen nur über fehleranfällige manuelle Prozesse zur Nachverfolgung.
Bei der Remote-Arbeit sind Mitarbeiter jedoch besonders anfällig für diesen Fehler, da sie sensible Daten oder Anmeldeinformationen häufig ungesichert austauschen, um ihre Arbeit schneller erledigen zu können.
Eine andere Fehlerart ist das übermäßige Downloaden von Inhalten. VPN-Fehler oder eine schlechte Internetverbindung können Mitarbeiter so sehr frustrieren, dass sie möglicherweise versucht sind, so viele Dokumente wie möglich von den Unternehmensservern herunterzuladen und auf ihren Festplatten zu speichern.
Zu guter Letzt stellen Cloud-Collaboration-Plattformen ein besonderes Risiko für Insider-Bedrohungen dar, wenn reguläre Benutzer mehr Zugriffsrechte erhalten als sie benötigen oder vertrauliche Daten über unsichere Chats und Kanälen teilen.
Das verbreitete Klischee besagt zwar, dass externe Angreifer gefährlicher sind als Insider-Bedrohungen, doch können Insider in Wirklichkeit sogar noch größere Schäden anrichten als Hacker, da es schwieriger ist, riskantes Verhalten eines legitimen Benutzers zu erkennen.
Daher ist es wichtig, dass IT-Teams einen ausreichenden Einblick in die Benutzeraktivitäten haben – über alle kritischen Systeme hinweg, sowohl vor Ort als auch in der Cloud – und über verdächtiges Verhalten informiert werden. Es ist unerlässlich zu überwachen, wer welchen Inhalt herunterlädt, und Maßnahmen zu ergreifen, wenn Spitzen bei Download-Aktivitäten auftreten. Ebenso wichtig ist, Änderungen an Gruppenmitgliedschaften in Cloud-Collaboration-Tools zu überwachen und zu überprüfen, wer regelmäßig Zugriff auf was hat, um Datengefährdungen und potenzielle Datenverletzungen zu vermeiden.
Tatsächlich müssen IT-Teams heutzutage mehrere Rollen übernehmen, da sie sowohl den Betrieb in hybriden Organisationen am Laufen halten als diese auch vor Cyberbedrohungen schützen müssen. In diesem Zusammenhang ist die Priorisierung der Bemühungen und die Konzentration auf die kritischsten Bedrohungen von entscheidender Bedeutung. Dazu gehört die Suche nach Technologien, die flexibel sind und ihnen ermöglichen, mehrere Aufgaben an einer einzigen Konsole zu erledigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.