IT-Sicherheitswahrheiten

5 Security-Facts, die Sie überraschen werden

Kommentar  von Roger Grimes
Schluss mit Mythen und Annahmen. Wir sagen Ihnen in Sachen IT-Security Bescheid.

Um kriminellen Hackern und ihren perfiden Machenschaften einen Schritt voraus sein zu können, müssen Unternehmen verstehen, wie die Cyberverbrecher arbeiten. In den folgenden fünf Statements stecken die Gründe für die allermeisten IT-Sicherheitsrisiken und Exploits. Es sind Fakten, die Sie überraschen könnten.

Diese fünf Fakten zur IT-Sicherheit könnten auch bei Ihnen für Erstaunen sorgen.
Foto: Dean Drobot - shutterstock.com

1. Jedes Unternehmen wird gehackt

Wenn die Welt vom neuesten Mega-Hack erfährt, gehen viele Menschen wahrscheinlich davon aus, dass das betroffene Unternehmen seine IT-Sicherheit nicht im Griff hat. Stattdessen sollten sie sich bei der nächsten Cyberattacke, bei der Millionen von Datensätzen oder Dollars abfließen, klar machen: Jedes Unternehmen wurde bereits oder wird in der Zukunft gehackt. Dieses eine ist nur das, über das die Medien im Moment berichten. Wenn die Hacker also nicht schon längst im Netzwerk sitzen, könnten sie es schon bald tun. Von militärischen Hochsicherheits-Einrichtungen eventuell einmal abgesehen. Wir sprechen hier insbesondere von kleinen und mittelständischen Unternehmen.

Ich habe noch kein Unternehmen beraten (und es waren schon einige), bei dem ich nicht Spuren eines kriminellen Hackers entdeckt habe. In den meisten Fällen - insbesondere in den letzten zehn Jahren - kommt immer öfter heraus, dass sich ganze Hackergruppen über Jahre unbemerkt Zugang verschafft haben. Mein persönlicher Rekord: Acht verschiedene Black-Hat-Hackergruppen hatten sich in ein Unternehmen geschlichen - einige davon über einen Zeitraum von zehn Jahren.

Dieser spezielle Fall war dabei ganz besonders interessant, denn ich wurde von der Firma ursprünglich engagiert, weil ein Software Patch, das explizit nicht aufgespielt werden sollte, sich immer wieder automatisch installierte. Die Ursache des Problems war scheinbar, dass es den Cyberkriminellen langsam zu blöd wurde, darauf zu warten, dass das Unternehmen seine IT-Sicherheit auf ein ordentliches Niveau bringt - schließlich drangen auch immer weitere Hacker ein. Wenn kriminelle Hacker ein schärferes Bewusstsein für IT Security haben als Sie, ist es an der Zeit, sich Gedanken zu machen.

Als Penetration-Tester in Teilzeit werde ich auch oft damit beauftragt, mich in Unternehmen zu hacken. Das hat niemals länger als eine Stunde gedauert - außer in einem Fall: dort dauerte es drei Stunden. Aber nur weil die Firma mich bereits zuvor engagiert hatte und meinen Empfehlungen von damals gefolgt war. Dabei bin ich nur ein durchschnittlicher Penetration-Tester - es gibt Experten, die um ein Vielfaches schneller sind. Von den Zero-Day-Exploits, die sich in den Schubladen staatlich beauftragter Hacker stapeln, möchte ich gar nicht erst anfangen.

Die Computer dieser Welt sind ziemlich bescheiden abgesichert. Man braucht gar keinen Zero-Day-Exploit, um die meisten davon zu kompromittieren. Meistens reicht es bereits, sich einfach nur ein wenig umzusehen und nach einer geeigneten Schwachstelle Ausschau zu halten. Die meisten Unternehmen machen nicht ansatzweise genug, um Ihre Netzwerke zu schützen. Alle reden zwar ausschweifend über das Thema, aber wenn es dann ganz konkret darum geht, kriminelle Hacker abzuhalten (zum Beispiel mit gewissenhaftem Patch-Management), sind die meisten nicht willens zu tun, was getan werden muss. Noch nicht.

2. Firmen wissen nicht, wie sie gehackt werden

In den letzten fünf Jahren wurde mir erst so richtig bewusst, dass ich noch nie einen IT-Security-Fachmann getroffen habe, der mir aus dem Stegreif sagen konnte, was der gängigste Angriffsvektor für sein Unternehmen ist. Ok, zwanzig Prozent der Mitarbeiter erraten in der Regel die richtige Antwort, aber es gibt keinerlei Daten, die diese Behauptungen untermauern könnten. Das bringt mich zu folgender Frage: Wie will ein Unternehmen überhaupt effektiv gegen Hackerangriffe vorgehen, wenn über den häufigsten Angriffsvektor keine Einigkeit oder Ahnung besteht?

Die größte Security-Bedrohung für das Unternehmen anhand von Daten zu identifizieren ist nicht möglich. Nach Millionen von Dollars und Trillionen von Sicherheitsvorfällen, die in schicken Log-Management-Systemen zusammengetragen werden, könnte man meinen, dass das die einfachste Lösung wäre. Ist es aber nicht. Und dürfte es auch nie werden. Insbesondere, wenn man gar nicht erst danach fragt.

So erkennen Sie Hacker auf Servern
Hacker I
Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Hacker II
Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Hacker III
Auch zum Entfernen von Rootkits gibt es eigene Programme.
Hacker IV
Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Hacker V
SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Hacker VI
Hacker VII
Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Hacker VIII
Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Hacker IX
Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Hacker X
Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.

3. Gefühlte und reale Bedrohungen sind nicht dasselbe

Zwischen den Ihrer Meinung nach größten Bedrohungen für Ihr Unternehmen und den Exploits, die Sie tatsächlich treffen, klafft in der Regel eine erhebliche Lücke. IT-Security-Fachkräfte, die diesen Unterschied verstehen, sollte man in Gold aufwiegen.

Jedes Jahr erscheinen zwischen 5000 und 7000 neue Exploits, von denen ungefähr ein Drittel bis ein Viertel als höchst kritisch eingestuft wird. Wenn Sie jetzt eine Software einsetzen, um Schwachstellen zu scannen oder sich einen Patch-Management-Report ansehen, stehen einfach immer zig Punkte mit höchster Priorität auf der To-Fix-Liste. Konzentrieren können Sie sich aber nicht auf alle gleichzeitig. Wie lösen Sie also dieses Dilemma?

Am besten kümmern Sie sich erst einmal um die kritischen Probleme, die gerade den größten Schaden in Ihrem Netzwerk anrichten - dabei kann es durchaus vorkommen, dass von einigen der vermeintlich größten Bedrohungen aktuell gar keine tatsächliche Gefahr ausgeht. Ihr Ranking basiert nämlich auf dem Risikopotenzial. Und zwar dem realen und dem erwarteten, zukünftigen Risiko.

Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

4. Firewalls und Antivirus-Software sind gar nicht so wichtig

Die meisten Cyber-Bedrohungen für Unternehmen gehen vom Endpunkt aus und werden von Benutzern verursacht. Wenn die Schadsoftware dort ankommt, bedeutet das aber auch, dass sie sich zuvor bereits erfolgreich ihren Weg bis zum Rechner des Endbenutzers bahnen konnte. Und ist der Exploit erst einmal angekommen, bringt eine Firewall herzlich wenig.

Der Hauptzweck einer traditionellen Firewall ist es, nicht autorisierte Verbindungsversuche zu Schwachstellen-behafteten Services zu verhindern. Wenn Ihr Service aber gar nicht verwundbar ist, bringt eine Firewall keinen entscheidenden Mehrwert. Das soll nicht heißen, dass Firewalls per se keine gute Idee wären: Das Gegenteil ist der Fall, insbesondere wenn es um intelligente DPI-Lösungen geht. Das Problem ist nur, dass die meisten der heutigen Bedrohungen von einer Firewall nicht aufzuhalten sind, weswegen sie nicht mehr den großen Mehrwert in Unternehmen bringen.

11 Placebos für die IT-Sicherheit
Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?

Ähnliches gilt auch für Antivirus-Software: Jedes AV-Produkt tut sich schwer, hundertprozentigen Schutz gegen jede neue Art von Malware zu bieten. Wenn Sie also so ein "100%-Siegel" irgendwo sehen, fallen Sie nicht darauf herein. Schließlich entstehen diese Testsiegel meist unter Laborbedingungen, die mit Cyberbedrohungen in der echten Welt nichts zu tun haben. Denn dort ist die erste Malware die Ihnen begegnet wahrscheinlich ein einfacher Downloader, der nicht nur darauf ausgelegt ist, sämtliche Antivirus-Maßnahmen zu umgehen, sondern auch neue, weitere Exploits herunterzuladen.

5. Zwei Probleme vereinen fast 100% Risiko auf sich

Schon seit mehr als zehn Jahren sind die zwei häufigsten Gründe für einen Hackerangriff mangelhaftes Patch-Management oder Social Engineering. Diese beiden Hacker-Praktiken vereinen nahezu 100 Prozent allen Risikopotenzials auf sich. Anders ausgedrückt: Wer sich um die drängendsten Probleme nicht kümmert, bei dem ist der Rest auch schon egal. Eine einzige ungepatchte Software kann zeitweise 90 Prozent aller webbasierten Exploits ausmachen. Und Social Engineering "kümmert" sich dann um den Rest. Vergewissern Sie sich also, dass Sie sich um die richtigen Probleme kümmern.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.