Wie können kleine und große Unternehmen beim Thema Sicherheit und Compliance auf dem Laufenden bleiben, angesichts der immer neuen Bedrohungen und Vorschriften? Von Pen-Tests über Social Engineering bis zu Sicherheitsarchitekturen für Unternehmen bewerten spezialisierte Security-Anbieter die aktuelle Infrastruktur und erstellen einen Aktionsplan, um einen klaren Weg vorzugeben, wie sie Compliance erreichen und ihre Sicherheitslandschaft verbessern können.
Mit großer Geschwindigkeit schreitet die globale Digitalisierung mithilfe cloudbasierter Lösungen und dem Internet der Dinge voran – und mit ihr die Cyberkriminalität. Nach Angaben von A1 Digital wurden vier von fünf kleinen und mittelständischen Unternehmen bereits Opfer von Cyberangriffen. Das sind alarmierende Zahlen, insbesondere in Zeiten geopolitischer Unsicherheiten, in denen die Konfliktparteien ihre Kämpfe auch digital austragen. Cyberangriffe werden immer präziser, teurer, disruptiver und in vielen Fällen auch politischer sowie strategischer. Als Antwort auf die Herausforderungen verschärft die europäische NIS-2-Richtlinie Sicherheitsanforderungen an Unternehmen mit dem Ziel, das Cybersicherheitsniveau der EU zu steigern [1]. Zweifelsfrei nicht ohne angebrachte Kritik, müssen Unternehmen doch zusehen, ihre internen Sicherheitsstandards so hoch wie möglich zu halten [2].
Tools für ein effizientes Schwachstellenmanagement. Um die Vorgaben zu erfüllen, bedarf es eines ausgeklügelten Cybersecurity-Plans. Bei der Erstellung eines solchen oder bei der Durchsicht verschiedener Angebote sollten Unternehmen auf eine Vielzahl von Komponenten achten, die grundlegend für ein effektives Sicherheitssystem sind.
Penetrationstests, kurz Pentests, dienen der Schwachstellenprüfung von Rechnern und Netzwerken. Durchgeführt werden sie immer häufiger von sogenannten Ethical Hackern, also IT-Spezialisten, die nach denselben Methoden wie Hacker Systeme angreifen, jedoch ohne das Ziel zu verfolgen, Schaden anzurichten. Vielmehr werden auf diese Art gezielt Schwachstellen und Gefährdungspotenziale in Systemen identifiziert, die anschließend in einem Bericht festgehalten werden. Der Umfang solcher Pentests orientiert sich am Gefährdungspotenzial eines Unternehmens oder einer Institution. Das Beheben von Schwachstellen durch ein im Anschluss an den Test entsprechend angepasstes Sicherheitssystem ist allerdings nicht Teil des eigentlichen Tests.
Bei der Durchführung von Pentests gilt es jedoch, rechtliche Aspekte zu bedenken. So muss der durchführenden Organisation eine explizite Einverständniserklärung des Auftraggebers vorliegen und diese darf nur an Systemen und Objekten Tests durchführen, deren Eigentümer der Auftraggeber ist. Ist dies nicht der Fall, etwa wenn Netze von Drittanbietern (wie Anbieter für Cloud-Services) überprüft werden, so stellt der Test eine Straftat dar. Gegenüber sogenannten Vulnerability- oder Security-Scans ist ein Penetrationstest wenig automatisiert und erfolgt individuell auf ein System abgestimmt.
Der Mensch als Schwachstelle. Ein weiterer Punkt in der Analyse von Schwachstellen sind Social-Engineering-Tests. Social Engineering bedeutet grundlegend das Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft, Angst oder auch Naivität, um Sicherheitsfunktionen auszuhebeln. Das einfachste Beispiel ist die Täuschung von Identität oder Phishing (also das Fischen nach Passwörtern). Entsprechende Tests dienen dazu, die Mitarbeiter auf festgelegte Sicherheitspraktiken hin zu überprüfen, um dem Unternehmen Aufschluss darüber geben, wie leicht Kriminelle Mitarbeiter dazu bringen könnten, Sicherheitsregeln zu verletzen. Ein einfaches Testbeispiel ist, wenn sich ein Eindringling über diverse Social-Media-Kanäle über Mitarbeiter informiert, um Kontakt herzustellen. Über eine solche vermeintliche Freundschaft lässt sich eine vertrauenswürdige Beziehung vortäuschen, um diese Person anschließend zu unbedachtem Handeln zu animieren. Diese ebenfalls gezielten Penetra-tionstests beziehungsweise die Aufklärung darüber, dient der Schulung von Mitarbeitern über die Gefahren des Social Engineerings.
Doch sollten sich diese Trainings auf keinen Fall auf das Thema Social Engineering beschränken. Es muss darum gehen, die Mitarbeiter auch über Gefahren traditioneller Attacken zu sensibilisieren, damit die Angestellten entsprechend umsichtig auf potenzielle Gefahren reagieren können. Dies sollte dabei stets mit technischen Maßnahmen koordiniert passieren.
Die richtige Strategie für ein Unternehmen. Dass Sicherheit keine Frage der Unternehmensgröße ist, zeigt die Notwendigkeit für kleine und mittelständische Unternehmen auf sie zugeschnittene und realistische Strategie zu entwickeln, um gegen Cyberattacken resilient zu sein. Der allgemein bekannte und viel zitierte Fachkräftemangel bedingt auch einen Mangel an Sicherheitsprofis – einen Mangel an Hackern gibt es jedoch nicht. Da nicht jedes Unternehmen eigene IT-Sicherheitskräfte stellen kann, ist es im Zweifelsfall gut beraten, seine Cybersecurity auszulagern. Vollautomatisierte und kostengünstige Cloud-basierte »Schwachstellen-Scanner«, wie Offensity, prüfen rund um die Uhr die über das Internet erreichbare Unternehmensinfrastruktur. Auf Basis dieser Schwachstellenanalyse, geben sie im Anschluss Empfehlungen zur Behebung. Der richtige Anbieter hilft Unternehmen dabei, potenzielle Schwachstellen zu identifizieren und so bereits präventiv zu agieren. Denn wenn es um Sicherheitskonzepte geht, gilt: Vorsicht ist die Mutter der Porzellankiste.
Auf Basis einer Vielzahl von Sicherheitstests können Security-Anbieter einen Aktionsplan erstellen, um Unternehmen einen klaren Weg vorzugeben, wie sie Compliance erreichen und ihre Sicherheitslandschaft verbessern können. Vor dem Hintergrund von IT-Sicherheitslücken kann dies bedeuten, identifizierte Schwachstellen zu verstärken. Es kann aber auch bedeuten, die Mitarbeiter gezielt für Themen wie Social Engineering zu schulen. Wichtig ist darüber hinaus der Fokus. Finden die verschiedenen Tests 100 Schwachstellen und reagieren die Unternehmen auf 99 Prozent der potenziellen Risikostellen, so hat ein Angreifer immer noch die Möglichkeit, Schaden anzurichten, denn er benötigt lediglich eine Schwachstelle. Ein dezidiertes Schwachstellenmanagement ist folglich der Schlüssel zu einer tatsächlich resilienten Sicherheitsstrategie.
Markus Fleischer,
Head of Strategy & New Markets
bei A1 Digital