Wenn wir von IT-Sicherheitsverletzungen hören, gehen wir stets davon aus, dass die Angreifer nie dagewesene Zero-Day-Lücken genutzt haben, um unsere Verteidigung zu durchbrechen. Dieses Szenario entspricht meist nicht der Wahrheit. Obwohl es stimmt, dass Nationalstaaten an ausgeklügelten Zero-Day-Exploits festhalten, die sie benutzen, um die national signifikantesten Ziele zu infiltrieren, gehören Sie nicht zu diesen Zielpersonen - und auch nicht Ihr Unternehmen.
Wie in den Jahren zuvor, wurden wir auf der diesjährigen Virus Bulletin Conference mit zahlreichen Geschichten über Angriffe auf finanziell bedeutsame, prominente Ziele unterhalten. Aber letztendlich schlichen sich die Übeltäter nicht durch die erschreckendsten Lücken ein. Sie drangen mit Phishing-E-Mails ein oder nutzten die weit gefassten Berechtigungen eines sehr beliebten Cloud-Dienstes, wie ein Redner von RiskIQ hervorhob.
Die Wahrheit ist, dass die Schattenseite der IT-Sicherheitsbranche aus Hackern besteht, die den Weg des geringsten Widerstands wählen: Nicht selten wird ihnen der Weg durch falsch konfigurierte Sicherheitssoftware, menschliches Versagen, oder andere operative Sicherheitsschwierigkeiten geebnet. Mit anderen Worten: Es liegt nicht an „super l33t-Hackern“, sondern an Ihnen.
Selbst wenn Sie glauben, dass Sie in Ihrer eigenen Organisation alles richtig machen, reicht das vielleicht noch nicht aus. Obwohl Sie also Ihr eigenes Netzwerk gründlich gesichert haben, interagieren Sie vielleicht mit weniger abgesicherten Personen. Sie glauben vielleicht, dass Sie Drittanbieter-Software erfolgreich meiden, dass Sie die Cloud nicht zur Zusammenarbeit nutzen, und demnach sicher abgeschottet sind. Allerdings nutzen vielleicht Drittanbieter in Ihrer Versorgungskette Cloud-Dienste auf Arten, die Sie gefährden könnten. Und manchmal wissen beide Parteien nicht, dass diese Situation signifikante Risiken für beide IT-Umgebungen verursacht hat.
Aber keine Sorge, Sie sind damit nicht allein, und es gibt Dinge, die Sie dagegen tun können.
Prominente IT-Sicherheitsverletzungen starten derzeit häufig bei den genutzten Drittanbietern. Während Sie vielleicht das großartigste IT-Sicherheitsteam besitzen, haben diese Anbieter das vielleicht nicht.
Nicht sicher? Hier finden Sie ein paar offensichtliche (und nicht so offensichtliche) Aspekte, die Sie mit Ihrem Team checken können:
- Cloud-Berechtigungen
Für Teams mit geteilten Cloud-Ressourcen ist es sicherlich nützlich, wenn jeder Benutzer die Berechtigungen zum Hinzufügen, Bearbeiten und Löschen erhält – besonders, wenn Dateien ausgetauscht werden sollen. Aber das kann Sie auch angreifbar machen. Insbesondere bei Projekten und Teams, die eilig zusammengestellt wurden, werden oft „temporäre“ Cloud-basierte Ressourcen zusammengeworfen, ohne die besten Sicherheitsverfahren zu berücksichtigen. Das schließt häufig ein, dass jeder Beteiligte offene Berechtigungen erhält, nur damit „alles funktioniert“. Diese Ressourcen haben für gewöhnlich über Jahre Bestand – und währenddessen legen sie eine riesige Lücke in Ihren Sicherheitsmaßnahmen frei. - Kollaborationsplattformen
Nutzen Ihre Teams oder Ihre Drittanbieter ungesicherte und/oder nicht überwachte Chat-Programme, Foren oder Plattformen, um geschäftliche Fragen zu besprechen? Wenn Kriminelle (oder auch nur Konkurrenten!) Zugriff auf interne Kommunikationen zu Angelegenheiten Ihres Unternehmens erhalten, könnte das massive Probleme verursachen. Zumindest stellen solche Kommunikationen eine signifikante Ressource für Angreifer dar, um sich einen Weg in Ihr Netzwerk zu verschaffen. - Kompromittierung geschäftlicher E-Mails
Wie gut haben Sie den E-Mail-Versand von Ihrer Domain abgesichert? Könnte die Flut an Phishing-Mails aus Ihrem eigenen Haus stammen? Falls Sie sich nicht ausreichend um Ihre E-Mail-Sicherheit kümmern, können Angreifer Ihren guten Namen benutzen, um sich das Vertrauen der Leute zu erschleichen und sie so dazu bringen, schädliche Links zu klicken. Zu wenige Unternehmen nutzen E-Mail- Authentifizierungs-Strategien wie DMARC, DKIM oder SPF, um zu bestätigen, ob es sich um valide Nachrichten handelt. An dieser Stelle würden wir gern eine Wendung zum Besseren sehen!
Ständig auf der Suche nach den auffälligen und dramatischen neuen Angriffspunkten für Hacker zu sein, ist sicherlich ein verlockender Gedanke – aber letztendlich ist es Ihre wichtigste Aufgabe, die einfachen Risse in Ihrem eigenen Gefüge zu schließen. Wir setzen Technologie vermehrt ein - gleichzeitig wird diese immer komplexer. Durch die Behandlung der einfacheren (wenn auch unerwarteten) Probleme müssen wir unsere Denkleistung nicht mehr so stark dazu verwenden, uns mit Rocket-Science-Malware unter druck zu setzen, die wenn überhaupt nur gegen hochrangige Ziele eingesetzt wird. Stattdessen nutzen wir die wiedergewonnene mentale Bandbreite besser dazu, tatsächlich für mehr Sicherheit zu sorgen.