In den letzten Jahren hat eine Reihe von Faktoren dazu beigetragen, dass sich die Angriffsfläche eines Unternehmens (auch Enterprise Attack Surfaces, EAS) vergrößert und weiterentwickelt hat. Dazu beigetragen haben zum einen die rasche Übernahme cloudbasierter Dienste, als auch die Einführung vernetzter Geräte, und hierbei sowohl die eigenen als auch die involvierter Drittanbieter. Diese vergrößerte Angriffsfläche kommt Cyberkriminellen, die permanent auf der Suche nach nutzbaren Einstiegspunkten sind, um auf digitale Ressourcen eines Unternehmens zugreifen zu können sehr gelegen.
Während die Cloud in Bezug auf Skalierbarkeit, Kosten und Flexibilität Firmen entlastet, hat sie jedoch Sicherheitsabteilungen vor eine Vielzahl von neuen Bedrohungen gestellt. Ein bemerkenswertes Beispiel war der Hackerangriff auf Capital One im Jahr 2019. Er wurde durch eine ausnutzbare Schwachstelle in einem AWS-Server verursacht und betraf über 100 Millionen US-Bankkunden. Auch das Aufkommen vernetzter Technologien wie Geräte innerhalb des Internet of Things (IoT) haben die Art und Weise revolutioniert, wie unsere Welt funktioniert. Allerdings wurde kaum eines der betreffenden Geräte unter der Prämisse »Security by Design« entwickelt. Eine Folge war eine wachsende Zahl von Botnetz- und Distributed-Denial-of-Services-Angriffen, wie z. B. dem FritzFrog-Botnetz im August 2020. Hier entdeckte man, dass der Angriff aktiv auf Secure-Shell-Server (SSH) in der ganzen Welt abzielte. Das Design von FritzFrog war insofern einzigartig, als dass es Brute-Force-Angriffe nutzte, um sich Zugriff auf IoT-Geräte zu verschaffen, um jedes neu infizierte Gerät wiederum in den laufenden Angriff zu integrieren.
Aber auch die Zusammenarbeit mit Drittanbietern hat die Zahl der Cyberangriffe weiter steigen lassen. Cyberkriminelle sind sich sehr wohl bewusst, dass Partner, Zulieferer, Lieferanten und so weiter häufig kaum über ein vergleichbares Maß an Sicherheitskontrollen verfügen wie das beauftragende Unternehmen. Jüngstes Beispiel in dieser Reihe ist der Cyberangriff auf die Accellion File Transfer Appliance (FTA), der auf eine solche bei einem Drittanbieter ausgenutzte Schwachstelle zurückgeht.
Die Herausforderungen für einen CISO
Das Risiko menschlichen Versagens aufgrund der wachsenden Komplexität
Über 90 % der Cyberangriffe werden allein durch menschliches Versagen möglich. Das ist jedoch wenig verwunderlich, wenn man bedenkt, wie viel Fachwissen nötig ist, um Sicherheitstools effektiv einzusetzen und zu betreiben. Je mehr Tools ein CISO einsetzt, desto mehr qualifizierte Mitarbeiter braucht er, um sie zu verwalten. Das erhöht nicht nur die Komplexität der Sicherheitsinfrastruktur, sondern auch den Bedarf an hoch qualifizierten Mitarbeitern. Eine kürzlich durchgeführte Studie von One Identity unter 1.000 IT-Fachleuten weltweit hat ergeben, dass 46 % der Befragten zu viele Tools verwalten, um sich eingehende Kenntnisse über jedes einzelne von ihnen anzueignen. Infolgedessen steigt die Wahrscheinlichkeit für das Auftreten von Fehlkonfigurationen und menschlichen Versagens. Das wiederum bringt weitere Bedrohungen für die Infrastruktur eines Unternehmens mit sich.
Lücken und Überschneidungen in der Abdeckung
Die Implementierung mehrerer Sicherheitstools führt nicht selten zu einer Verdoppelung bestimmter Funktionen, insbesondere dann, wenn es sich dabei um Tools unterschiedlicher Hersteller handelt. Laut der bereits zitierten Umfrage geben 96 Prozent der Unternehmen an, mehrere Tools für das Identitätsmanagement zu verwenden, wobei 41 Prozent der Befragten mindestens 25 verschiedene Systeme zur Verwaltung von Zugriffsberechtigungen einsetzen. Viele Sicherheitstools wie Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS) und Firewalls arbeiten ähnlich, jedoch mit unterschiedlichen Technologien und Schnittstellen. Dies kann zu Verwirrung, Überschneidungen und potenziellen Lücken bei der Abdeckung führen. Ebenso kann eine Leistungsverschlechterung der Infrastruktur eine mögliche Folge sein.
Wenn man bedenkt, dass diese Sicherheitstools nicht selten auf unterschiedliche Abteilungen und Teams verteilt sind, die nicht unbedingt miteinander verbunden sind, wird schnell deutlich, vor welch schwerwiegenden Herausforderungen ein CISO steht. Wenn nicht klar ist, wer was überwacht und welche Annahmen die Richtigen sind, entstehen möglicherweise blinde Flecken innerhalb der Angriffsfläche. Und genau diese blinden Flecken machen unternehmenskritische Daten anfällig.
Sicherheitstools vergrößern die Angriffsfläche
Sicherheitstools sollten Firmen per definitionem dabei unterstützen, Sicherheit zu gewährleisten. Ironischerweise tragen aber zu viele von ihnen eher dazu bei die EAS zu vergrößern. So haben beispielsweise Endpoint Detection-Lösungen besonderen Zugriff auf Systemressourcen. Das bedeutet letzten Endes, dass immanente Schwachstellen ein ernsthaftes Risiko darstellen. Sollte eine Schwachstelle durch das Netz schlüpfen, kann das schwerwiegende Folgen nach sich ziehen. Wie etwa im Fall von Microsoft Defender: Hier erlaubte es ein solcher Fehler, Angreifern über 12 Jahre hinweg, sich Administratorrechte zu verschaffen. Zudem sind Cyberkriminelle in der Lage, auch die Komplexität der Infrastruktur zu ihrem eigenen Vorteil zu nutzen.
Steigende Kosten
Die Kosten für Sicherheitstools verharren nach wie vor auf einem hohen Niveau. Das ist gerade für kleinere Unternehmen mit begrenzten Budgets problematisch. Für jedes Sicherheitstool fallen die erforderlichen Wartungskosten und Lizenzgebühren an. Die summieren sich schnell und belasten die finanziellen Ressourcen.
Qualität vor Quantität
Die Anschaffung und Implementierung zu vieler Sicherheitstools haben aber noch einen weiteren unerwünschten Nebeneffekt. Es kann nämlich ein trügerisches Gefühl von Sicherheit entstehen. Nicht selten sind CISOs der Ansicht, dass die Investition in verschiedene Sicherheitstools gleichbedeutend damit ist, dass alle Bereiche abgedeckt sind. Aber »mehr« ist nicht zwangsläufig »besser«. Eine Studie von One Identity zeigt, dass 70 % der befragten Unternehmen für Identitäts-Tools zahlen, die sie nicht aktiv nutzen. Letztendlich kann die Investition in ein überschaubares Set von Sicherheitstools mit Funktionen zur Bedrohungserkennung, die eine umfassende Abdeckung der kompletten Umgebung bieten, die bessere Lösung für CISOs sein.
Fazit
Die Angriffsfläche entwickelt sich stetig weiter. Die zunehmende Nutzung von Cloud-Diensten, die Verbreitung von vernetzten Geräten und die Abhängigkeit von Drittanbietern wird weiter dafür sorgen, dass die EAS sich ständig vergrößert. Das hat bereits zu höheren Kosten und mehr Komplexität für CISOs und deren Sicherheitsteams geführt. Gleichzeitig unterstreicht der Befund wie nötig eine effektive Strategie zur Konsolidierung von Sicherheitstools ist. Etliche Unternehmen sind sich der Vorteile, die dieser Ansatz hat, schon lange bewusst, insbesondere was den Bereich der Identitätssicherheit anbelangt. Dennoch sind die einzelnen Domänen innerhalb des Identity und Access Managements aber nach wie vor häufig voneinander getrennt. Vielerorts hat das dazu geführt, dass Firmen allein fünf und mehr Tools für das Identitätsmanagement verwenden. Einzelne Identity Management-Lösungen zu konsolidieren, unterstützt Firmen in ihrem Bestreben, sich besser gegen Angriffe zu wappnen. Im Idealfall wählt man einen identitätszentrierten Sicherheitsansatz, der Identity Governance und Administration, Privileged Access Management, Access Management und Active Directory Management zusammenführt. Diese Methode ist geeignet, eine robuste und zukunftsfähige Cybersicherheitsstrategie aufbauen.
Dan Conrad, One Identity