Helge Husemann, bislang als Security-Evangelist für Malwarebytes weltweit unterwegs, hat bei dem Endpoint-Sicherheitsanbieter eine neue Position als Channel Director angetreten. Aus diesem Anlass sprach LANline mit dem Experten über Malware, Supply-Chain-Angriffe, die Reaktion auf Sicherheitsvorfälle (Incident Response) und das hehre Ziel resilienter IT-Infrastukturen.

LANline: Herr Husemann, was sind aus Ihrer Sicht derzeit die drängendsten Sicherheitsprobleme im Mittelstand?

Helge Husemann: Die größte Herausforderung ist nach wie vor Malware wie zum Beispiel Ransomware, meist in Kombination mit Phishing. Insbesondere gegen gut gemachte Spear-Phishing-E-Mails sind viele Unternehmen machtlos, vor allem, wenn sie auf den Endpunkten die Ausführung von Makros erlauben. So haben wir dieses Jahr zum Beispiel bei dem Sanitärausrüster Neoperl in vier Tagen 1.250 von Emotet befallene Endpoints bereinigt, bevor die Malware Unternehmensstandorte außerhalb von Deutschland befallen konnte. Besonders tückisch sind Supply-Chain-Angriffe: Viele Unternehmen sind heute in automatisierten Lieferketten vernetzt, die Systeme nutzen dann das FIFO-Prinzip (First in, First out, d.Red.) – auf diesem Weg kann sich leicht Malware einschleichen. Ziel der Angreifer ist oft die HR- oder die Finanzabteilung. HR ist im Visier der Angreifer, weil die Mitarbeiter prinzipbedingt Dokumente von Unbekannten öffnen müssen, es könnten schließlich interessante Bewerber sein. Und die Finanzabteilung ist natürlich deshalb attraktiv, weil sie Zugriff auf Geldflüsse hat.

LANline: Was sind – oder wären – die wichtigsten Abwehrmaßnahmen?

„Allein durch den Entzug lokaler Admin-Rechte könnte man das Gros der Angriffe entschärfen“, so Malwarebytes-Experte Helge Husemann. Bild: Malwarebytes

„Allein durch den Entzug lokaler Admin-Rechte könnte man das Gros der Angriffe entschärfen“, so Malwarebytes-Experte Helge Husemann. Bild: Malwarebytes

Helge Husemann: Nach wie vor mangelt es in vielen Unternehmen daran, Grundlegendes korrekt umzusetzen. Als Erstes heißt das, einen Passwort-Manager zu nutzen – wobei Passwörter allerdings dank Fortschritten bei der Mehr-Faktor-Authentifizierung in ein bis zwei Jahren obsolet sein werden. Weitere immer noch verbreitete Fehler sind lokale Admin-Rechte, unsinnige Gruppenrichtlinien, die Nutzung von Skripten in Microsoft Office und das Surfen ohne Tools wie NoScript. Allein durch den Entzug lokaler Admin-Rechte könnte man das Gros der Angriffe entschärfen. Ebenfalls wichtig wäre eine konsequente Datensegmentierung, also zum Beispiel Passwörter nicht am gleichen Ort zu speichern wie die E-Mail-Adressen.

LANline: „Hundertprozentige“ IT-Sicherheit muss letztlich eine Utopie bleiben, da herrscht große Einigkeit. Wären Unternehmen also nicht besser beraten, statt eines reinen Sicherheitsfokus die Frage der Resilienz – also die Aufrechterhaltung zumindest wichtiger Geschäftsprozesse selbst im Fall von Angriffen oder Systemausfällen – in den Mittelpunkt zu rücken?

Helge Husemann: „Cyber-Resilience“ ist derzeit ein Modebegriff, aber Resilienz ohne Sicherheit gibt es nicht. Zunächst sollte man sich also fragen: Zu welcher Risikogruppe gehöre ich? Die Spanne ist erheblich und reicht vom kleinen Handelsunternehmen bis zum Kritis-Betreiber. Dann gilt es, wirklich alle Endpunkte konsequent abzusichern – viele Drucker, Kopierer, Beamer, Scanner etc. stehen in Richtung Internet offen, und auch die „smarte“ Kaffeemaschine könnte eine Backdoor bieten. Resilienz erreicht man dann durch die Kombination von Schutzmechanismen – idealerweise mit einer Bedrohungserkennung, die den Endpunkt nicht zu stark belastet – mit Incident-Response-Mechanismen. Dazu setzen Konzerne auf dedizierte Incident-Response-Lösungen oder ziehen spezialisierte Consultants hinzu. Das ist für deutsche Mittelständler aber nicht interessant, da zu teuer. Wichtig ist deshalb eine Endpoint-Protection-Lösung, die Bedrohungen nicht nur erkennt, sondern auch gleich aufräumt – und die so einfach gestaltet ist, dass der Systemverwalter, der die Endpunkte betreut, sie bedienen kann, ohne sich zum Security-Fachmann weiterbilden zu müssen.

LANline: Und jenseits der Abwehrmechanismen am Endpunkt?

Helge Husemann: Von Bedeutung sind zudem Mitarbeiterschulungen gegen Phishing und Spear-Phishing, das Erarbeiten von Incident-Response- und Resilienzplänen sowie der Austausch mit befreundeten Unternehmen, um die Gefahr von Supply-Chain-Angriffen möglichst zu minimieren.

LANline: Herr Husemann, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.