Sich mit Cybersecurity zu beschäftigen ist in manchen Unternehmen eine ungeliebte Aufgabe. Dabei haben IT-Administratoren in vielen Fällen schon eine gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, um Sicherheitslücken zu identifizieren, abzumildern oder gar auszumerzen. Aber Cybersecurity kostet Geld.

Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es dem Management schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den reibungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um sechs der häufigsten Irrtümer.

Annahme 1:

Es trifft sowieso nur die anderen–„Für eine Cyberattacke sind wir gar nicht interessant genug.“ Diese Einschätzung ist nicht selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99% aller Cyberschadensfälle auf Angriffe zurückgehen, die nicht zielgerichtet waren. Die allermeisten Angriffe folgen dem Motto „Spray and pray“: Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, wo etwa die Mail mit dem Phishing-Link zum Erfolg führt.

Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Für Angreifer, die vor allem finanzielle Interessen haben und Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner beziehungsweise Ransomware erpressen wollen, ist der Spray-and-pray-Ansatz in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.

Annahme 2:

Angriffe aus der Supply Chain spielen keine große Rolle – Tatsächlich nimmt die Zahl der Supply-Chain-Angriffe zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen für seine Geschäftstätigkeit zugeliefert werden, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in Tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.

Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Im produzierenden Gewerbe, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch miti­gierende Maßnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren.

Grundsätzlich gilt: Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Die Verantwortung gänzlich auf den Zulieferer schieben zu wollen wäre fahrlässig. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.

Annahme 3:

Unsere Mitarbeiter haben schon genügend Sicherheitsbewusstsein– Noch viel zu oft stellt das Verhalten von Mitarbeitern für Cyberkriminelle ein bequemes Einfallstor dar. Ein entsprechendes Risikobewusstsein bei Mitarbeitern zu schaffen und wachzuhalten ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden Mitarbeiter es konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer E-Mail zu klicken. Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne zu wissen, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso.

Darum braucht es im Unternehmen technische Maßnahmen gegen solche Angriffe. Es gilt aber auch, ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein zu schaffen. Social Engineering bedeutet, dass Angreifer Täuschung anwenden, um un­autorisiert Daten oder Zugriff zu bekommen. Mitarbeiter werden so manipuliert, dass sie Informationen übermitteln oder bestimmte Handlungen ausführen – etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber einem vermeint­lichen Support-Mitar­beiter am Telefon.

Annahme 4:

Der Umfang dieser Sicherheitsprüfung wird schon ausreichen– Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen ist ein wichtiger Baustein im Aufbau der Cyberresilienz. Wählt man allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja – so heißt es dann – sowieso bald ab­geschaltet oder ersetzt werden. Dabei bieten gerade diese Altsysteme oft den verführerischsten Angriffsvektor.

Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit. Darum ist es so wichtig, Pentests nicht nur auf einen Ausschnitt der Unternehmens-IT zu richten, sondern sie holistisch anzulegen.

Annahme 5:

Penetration-Tests kann die IT-Abteilung nebenher übernehmen – Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn in der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits zu 100%, wenn nicht gar zu 120% ausgelastet. Zudem verlangen Penetration-Tests ein hoch spezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen sich die Mitarbeiter der internen IT klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen.

Annahme 6:

Unsere Backups retten uns im Notfall – Heute ist diese Aussage nicht mehr in jedem Fall gültig, denn die Qualität von Schadsoftware ist deutlich gestiegen. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner daran, die Daten des Unternehmens zu verschlüsseln – und die eigentliche Erpressung beginnt. Darum sollte man Backups heute erstens mit geeigneten Schutzkonzepten vor Malware sichern und sie zweitens regelmäßig prüfen. Unternehmen müssen ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüsselt, können Cyberkriminelle natürlich auch diesen Backup-Schlüssel des Unternehmens verschlüsseln. Darum ist es wichtig, dass Unternehmen ihre Kryptoschlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren.

Fazit – Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyberkriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Unternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen eta­bliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen.