So lässt sich mangelhafter IT-Security entgegenwirken

So lässt sich mangelhafter IT-Security entgegenwirken

Eine gute IT-Security-Strategie sollte in jedem Unternehmen vorhanden sein und gelebt werden. Dennoch gibt es in vielen Firmen immense Wissenslücken zu diesem Thema. Wir zeigen anhand von Fallbeispielen auf, wie brüchig die IT-Security in einigen Unternehmen ist und wie einfach sich dem aber entgegenwirken lässt.

Seit etwas mehr als einem halben Jahr sind meine Kollegen und ich nun mit dem 360°-IT-Security-Workshop unterwegs und haben dabei viele interessante Geschichten gehört und spannende Kundenszenarien kennengelernt. Eine unserer wichtigsten Erkenntnisse: Die kuriosesten Geschichten schreibt das Leben selbst. Ein paar Fallbeispiele aus der Praxis.

 

Fallbeispiele zu mangelhafter IT-Security

Eine gute Security-Strategie berücksichtigt sowohl den Faktor Technik als auch den Faktor Mensch

Der Datenschutzbeauftragte eines Logistikdienstleisters berichtete von einem Telefonat mit seinem Sohn, der sich etwas bei Amazon bestellen wollte. Er, der Vater, bat um Aufschub bis zum Abend. Nur eine halbe Stunde nach dem Telefonat erhielt er eine E-Mail - vermeintlich von Amazon und mit Rechnungsanhang. Erbost darüber, dass sein Sohn entgegen der Abmachung offenbar doch etwas bestellt hatte, öffnete der Vater besagte Mail und die angehängte Rechnung, welche sich prompt nicht als solche erwies, sondern eine Malware enthielt. 

Was dieser Fall zeigt: Natürlich gibt es in jedem Unternehmen naive Mitarbeiter, die jeder noch so abstrusen E-Mail Glauben schenken. Bei diesen hilft nur: Awareness trainieren. Das bedeutet: regelmäßige Schulungen (nicht nur bei der Einarbeitung!)  oder auch Informationen per interner Newsletter. 

Ebenfalls bewährt sind Phishing-Simulationen, welche z.B. Sophos mit Phish Threat anbietet. Für jene, die eine Phishing-Simulation suchen, die nicht von einem Security-Hersteller angeboten wird, bietet das deutsche Cyber Security Startup MainDefense mit seiner Lösung PHISHEYE eine optimale Alternative. 

Unser Tipp: Für einen optimalen Erfolg sollte eine Phishing-Simulation individuell angepasst werden können, z.B. mehrsprachig verfügbar sein, über ein Dashboard Ergebnisse anzeigen und – ganz wichtig! – mit anschließenden Trainings gekoppelt sein. Hier als Beispiel das Dashboard von MainDefense Phish Insight: 

Dashboard MainDefense Phish Insight (Quelle: maindefense.de)

Und nicht vergessen: den Betriebsrat mit einbeziehen!
Im Fall des Logistikdienstleisters jedoch war nicht Naivität die Ursache für den erfolgreichen Malware-Angriff, sondern eine unbedachte Sekundenentscheidung, die, wenn wir ehrlich sind, jeder von uns tagtäglich trifft. 

Ransomware ist auch nur eine Form von Malware, die etwas Böses macht

Bei einem Kundentermin vor wenigen Wochen fragte mich der IT-Leiter nach meiner Einschätzung, ob Ransomware nicht inzwischen als Thema tot sei. Eine durchaus berechtigte Frage. Immerhin: Die Entwickler des Ransomware-Baukastens GandCrab gaben jüngst bekannt, ihre Malware nicht weiter entwickeln und vertreiben zu wollen. Zuvor hatte man sich mit dem Ransomware-as-a-Service dumm und dämlich verdient. Laut eigener Aussage pro Woche 2,5 Millionen US-Dollar. Das ist ein schöner Betrag, der sicherlich auch gleichzeitig ahnen lässt, dass Cyberkriminelle noch eine ganze Zeit lang auf Ransomware setzen werden. Lukrativ ist es ja. und auf der anderen Seite ist die Aufklärungsquote bei Cybercrime noch absolut ausbaufähig. 

Natürlich, es gibt immer ausgefeiltere Methoden und Lösungen aus der Security-Branche. Sandbox-Analysen testen unbekannte E-Mails und ihre Anhänge oder Links, bevor sie per E-Mail in das Netzwerk gelangen. EDR (Endpoint Detection & Response)-Systeme erlauben eine Ursachenanalyse, falls ein Angriff erfolgreich war, um für künftige Angriffe höhere Schutzmechanismen aufzusetzen. Die Security-Hersteller arbeiten mit Machine Learning. Kurz: Man macht es den Cyberkriminellen so schwer wie möglich. Man mag nun darüber diskutieren, ob Ransomware (= Verschlüsselungstrojaner) oder Cryptomining (= Kapern von Rechnern oder Smartphones, mit dem Ziel nach Kryptowährung wie Bitcoin zu schürfen) das größere Übel sei. Meine einfache Sicht der Dinge lautet: Ransomware ist letztendlich auch nur irgendeine Form von Malware, die etwas Böses macht. 

Noch in der gleichen Woche des besagten Kundengesprächs setzte sich die Reihe der Ransomware-Angriffe auf US-amerikanische Stadtverwaltungen fort. In Baltimore, dessen IT-Systeme im Übrigen bereits zum dritten Mal in drei Jahren Opfer von Cyberangriffen waren, weigert man sich beharrlich, der ursprünglichen Forderung der Erpresser über umgerechnet 76.000 US-Dollar nachzukommen. Der Gesamtschaden wurde zwischenzeitlich auf über 18 Mio. US-Dollar geschätzt. Fun Fact: Das entspricht übrigens dem aktuellen Marktwert von Manuel Neuer. 

Im Unterschied zu Baltimore knickten andere, ebenfalls von Ransomware betroffene Stadtverwaltungen ein und zahlten das Lösegeld: Riviera Beach: 600.000 US-Dollar und Lake City: 450.000 US-Dollar. Und damit es nicht langweilig wird – und vor allem damit man nicht in Versuchung gerät, Ransomware als Phänomen abzutun, das nicht in Deutschland und schon gar nicht im Mittelstand auftaucht: Erst Ende Juni 2019 wurde die IT der Juwelier-Kette Wempe, Hauptsitz Hamburg, von einer Ransomware außer Gefecht gesetzt. Laut Medienberichten hat man den Erpressern mehr als eine Million Euro Lösegeld bezahlt. 

Wie bereits erwähnt, arbeiten Security-Hersteller fortwährend an Lösungen gegen Cybercrime. Dies ist schwer genug, denn: Der Igel „Cybercrime“ ist eigentlich immer schon vor dem Hasen „Security“ da. 

Fazit: Security braucht eine Strategie

Elementar wichtig ist allerdings, dass Unternehmen und Behörden verstehen, dass IT-Security eine Frage von Strategie ist und nicht Flickschusterei. Ob man dann eine möglichst einheitliche Strategie („Connected Threat Defense“ oder „Synchronized Security“) fährt oder doch auf viele Einzellösungen nach dem „Best-of-Breed“-Prinzip setzt, muss letztlich jeder für sich selbst entscheiden. 

Auch dies ist ein Aspekt unseres 360°-IT-Security-Workshops: Was ist ihre individuelle Strategie? Was ist überhaupt umsetzbar – technisch, finanziell, konzeptionell? Des Weiteren verstehen wir uns auch ein Stück weit als Übersetzer. Nicht nur, dass das Angebot im Bereich IT-Security immens ist. Beispiel: Auf der it-sa 2018 versammelten sich knapp 700 Aussteller - Hersteller, Systemhäuser, Distributoren, Experten. Die soll ein IT-Verantwortlicher alle möglichst flächendeckend im Blick haben – möglichst parallel zu seinem Tagesgeschäft einerseits und bevorstehenden Projekten andererseits? Allein das ist bereits für die IT-Abteilungen eine große Herausforderung, eine passende Lösung zu finden. Hinzu kommt, dass Anbieter gleiche oder ähnliche Namen für ihre Lösungen verwenden – allerdings für unterschiedliche Lösungen. Denn Microsofts Cloud App Security  ist nicht Trend Micros Cloud App Security ist nicht Rapid7s Cloud Application Security. Und oft genug können auch selbst IT-affine Ansprechpartner mit Begrifflichkeiten wie CASB, DevOPs, EDR, KI, … wenig oder gar nichts anfangen. 

Abschließend noch ein Zitat, das ein Kunde bei einem Besuch zum Besten gab: "Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann" (aus: Der Kleine Prinz, Antoine de Saint-Exupéry). Dies spiegelt auch unsere Philosophie wider, denn unsere Lösungs- und Handlungsempfehlungen aus dem 360°-IT-Security-Workshop beruhen auf dem Prinzip, dass sie in die Struktur des Kunden passen sollen. Eine Versicherung gegen Sturmflut ist sinnvoll … so lange das Haus nicht mitten in der Kalahari steht. 

Erfahren Sie mehr zum 360°-IT-Security-Workshop

Lassen Sie uns in Ihrem persönlichen 360°-IT-Security-Workshop gemeinsame Ihre IT-Security-Strategie entwickeln. Ausführliche Informationen zu den Inhalten des Workshops finden Sie in diesem Flyer.

Mehr erfahren
  • Mittwoch 09 Oktober 2019

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Dirk Frießnegg Solution Advisor IT-Security

Endpoint security against modern threats such as Ransomware
  • 14 November 2019
  • Bala Sethunathan
  • Managed Security
  • Security, Cyber-Security

Bulletin zur Cybersicherheit: Cyberbedrohungen einen Schritt voraus sein

Cyberbedrohungen nehmen stetig zu. Schützen Sie sich und Ihr Unternehmen. In unserem Bulletin zur Cybersicherheit informieren wir zu aktuellen Bedrohungen.

  • 04 November 2019
  • Dan Ortman
  • Publisher Advisory, Managed Security
  • Exchange, Office 365

Wie Sie sich auf den End of Support von Exchange 2010 vorbereiten können

Das offizielle Supportende von Microsoft Exchange 2010 ist am 13. Oktober 2020. Erfahren Sie mehr über die Optionen für ein Upgrade in Ihrem Unternehmen.

  • 17 Oktober 2019
  • Thomas Wegener
  • Managed Security, Managed Backup
  • Data Backup, Office 365

Wer seine Office-365-Daten nicht sichert, riskiert viel

Die Sicherung der Office-365-Daten obliegt dem Kunden. Wir zeigen die Gefahren auf, wenn dies vernachlässigt wird und welche Lösung Sie bei der Datensicherung unterstützt.