Laut einer Umfrage von Tanium waren in Deutschland 31 Prozent der Unternehmen, in denen die Befragten arbeiten, vor einem Jahr von WannaCry betroffen. Weltweit waren es Berichten zufolge mehr als 200.000 Computer in 150 Ländern. Und der Angriff mit der Ransomware WannaCry ist nur ein Beispiel unter vielen. Trotz aller Vorsichtsmaßnahmen gibt es hundertprozentige Sicherheit nur in einem Punkt: Der nächste Hacker-Angriff kommt bestimmt.

Unternehmen sollten ihre Security-Maßnahmen deshalb um eine Strategie für den resilienten (also nicht für Störungen von Einzelsystemen anfälligen) Geschäftsbetrieb erweitern. Unternehmen müssen widerstandsfähiger werden, um zumindest die Häufigkeit und die Auswirkungen erfolgreicher Angriffe auf ihre IT-Systeme zu minimieren. Malware oder Fehler durch IT-Nutzer dürfen nicht ein ganzes System lahmlegen. Um eine solche Widerstandsfähigkeit zu erreichen, sind sowohl Mensch als auch Technik gefragt. Dies lässt sich anhand von fünf aktuellen Bedrohungen gut zeigen.

Wie schnell Fehler aus Unachtsamkeit passieren, zeigt das Beispiel Phishing-E-Mails. Diese kennt jeder E-Mail-Nutzer aus dem eigenen Postfach – und gerade deshalb stellen sie eine so große Gefahr dar: Laut Verizon Data Breach Investigations Report 2017 beinhalten 90 Prozent aller IT-Sicherheitsvorfälle ein Phishing-Element.

Während Kriminelle Phishing-E-Mails oft an zehntausende Nutzer versenden, sind Spear-Phishing-Kampagnen zielgerichteter und deshalb besonders gefährlich. Beim Spear-Phishing nehmen die Angreifer vorab recherchierte Empfänger ins Visier, diese erhalten deshalb genau auf sie zugeschnittene E-Mails.

Die Taktik zielt besonders auf den Diebstahl von Zugangsdaten ab, beispielsweise für relevante Anwendungen im Unternehmensnetzwerk. Gelingt ein solcher Diebstahl, können sich Hacker als berechtigte Nutzer tarnen und ins System eindringen. Maßnahmen wie eine Zwei-Faktor-Authentifizierung, die Klassifizierung der E-Mail-Absender als extern oder intern und Antiviren-Programme können das Risiko für solche Vorfälle mindern. Zudem muss die IT-Organisation alle Endpunkte im Netzwerk regelmäßig auf Anzeichen für Angriffe, verdächtige Prozesse und schadhafte Dateien untersuchen, für den Fall, dass es doch ein Angreifer ins Netzwerk schafft. Dafür eignen sich Endpoint-Security-Lösungen.

Ähnliche Gefahren bergen Browser-Plug-ins, die dem Nutzer scheinbar sinnvolle Funktionen versprechen und ihn dazu verleiten, sie „schnell mal“ zu installieren. Aktuellen Berichten zufolge hat man sogar im Chrome Web Store einige bösartige Chrome Extensions entdeckt. Generell muss ein IT-Nutzer bei Plug-ins besondere Vorsicht walten lassen, weil Security-Updates diese nicht abdecken. Um Gefahrenanzeichen möglichst schnell zu erkennen, sollten Unternehmen ihre Mitarbeiter in regelmäßigen Schulungen trainieren. IT-Abteilungen sollten aktiver am Wissensaustausch mit anderen Experten teilnehmen, indem sie etwa ihre Erfahrungen mit aktuellen Phishing-Kampagnen in entsprechenden Communities teilen.

Angriff auf Regierungsnetzwerke

Wie ein resilienter Geschäftsbetrieb aussehen kann, das zeigen unter anderem Angriffe auf besonders gute geschützte Regierungsnetzwerke. So wurde beispielsweise im Dezember 2017 ein Angriff auf das Datennetz der Bundesverwaltung entdeckt, der zu diesem Zeitpunkt bereits länger lief. Laut Süddeutscher Zeitung schleusten die Angreifer Schadsoftware ein. Allerdings konnten die Angreifer nur den äußersten von mehreren Sicherheitsringen überwinden, wie die Augsburger Allgemeine Zeitung berichtete. Das Datennetz des Bundes ist im Gegensatz zu anderen Netzwerken umfassend gegen Angriffe geschützt. Eine technische Spezialeinheit beobachtete daraufhin die Angreifer, um herauszufinden, wie tief sie bereits in das Netz eingedrungen waren.

Wenn sich schon Angriffe auf hochgesicherte Regierungsnetzwerke nicht unterbinden lassen, wie sollen Unternehmen das dann schaffen? Deshalb ist Resilienz so wichtig, gepaart mit Erkennungs- und Abwehrmaßnahmen (Detection and Response). Tanium nutz hierfür ein Reifegradmodell: Je entwickelter eine Organisation ist, desto wahrscheinlicher wird sie „Cyber-Hunting“ betreiben. Diese „Jagd“ geht von der Annahme aus, dass ein Eindringen ins System bereits stattgefunden haben könnte, selbst wenn es auf den ersten Blick keine Indikatoren hierfür gibt. Dadurch entdeckt man Eindringlinge wesentlich früher und begrenzt den Schaden. Die durchschnittliche Verweildauer eines Angreifers im System lässt sich so von 180 Tagen auf einige Tage oder sogar nur Stunden reduzieren.

Eindringlinge gilt es abzuwehren, wenn sie im System sind – aber natürlich ist es weiterhin wichtig, ein solches Eindringen möglichst erst gar nicht zuzulassen. Hier kommen Sicherheits-Updates ins Spiel: Was es für Konsequenzen haben kann, wenn man diese vernachlässigt, lässt sich an WannaCry gut nachvollziehen. Die Ransomware nutzte eine Schwachstelle in Windows, für die bereits Sicherheits-Updates verfügbar waren. Allerdings hatten einige Unternehmen diese noch nicht installiert. Die Situation hat sich seitdem kaum verbessert: Laut der erwähnten Umfrage halten 46 Prozent aller Befragten in Deutschland ihr Unternehmen aktuell sogar für stärker durch Bedrohungen gefährdet als vor einem Jahr. 77 Prozent der Unternehmen, in denen die Befragten arbeiten, haben ihren Patch-Management-Prozess nicht verbessert.

Das liegt unter anderem daran, dass IT-Abteilungen häufig keinen Überblick darüber haben, wie viele Endpunkte – also Server, Desktop-PCs und Laptops – sich im Netzwerk befinden und welche Patches diese benötigen. Dieses Wissen ist jedoch Voraussetzung für effizientes Patch-Management. Endpoint-Management-Tools können diesen Überblick schaffen und den Patch-Prozess vereinfachen.

Patch-Management gerät zur echten Herausforderung, sobald auch Hardware-Updates erforderlich sind. Das zeigen unter anderem die Sicherheitslücken Meltdown und Spectre. Durch Schwachstellen in der Hardwarearchitektur von Intel- oder AMD-Prozessoren können Angreifer Schadcode ausführen, der die Isolation von Speicherbereichen der Applikationen von denen des Betriebssystems umgehen. Dadurch könnten Schadprogramme Daten lesen, auf die sie sonst keinen Zugriff haben.

Für solche hardwarebasierten Probleme sind die Möglichkeiten durch Software-Updates begrenzt. Hardware-Updates aber sind mit größerer Vorsicht zu genießen: Läuft dabei etwas schief, lässt sich der Computer nicht in seinen ursprünglichen Zustand zurückversetzen. Im Falle der Meltdown/Spectre-Updates drohten außerdem Leistungseinbußen bei den Rechnern.

In Einzelfällen – etwa bei geschäftskritischen Anwendungen, die ohnehin nicht mit dem Internet verbunden sind – sollte man deshalb die potenziellen Probleme eines Hardware-Updates gegen das Angriffsrisiko abwägen. Dies sind jedoch spezielle Fälle – es wäre ein Fehler, alle kritischen Hardware-Updates aus Unsicherheit hinauszuzögern. Stattdessen müssen sich die IT-Experten genau über die Kompatibilität und Stabilität von Updates informieren. Auch dafür benötigen sie zunächst einen Überblick über alle Endpoints und die darauf laufenden Betriebssystem-Versionen.

Bei IoT-Geräten hingegen ist ein Sicherheits-Update oft gar nicht möglich, weil nicht genug Speicherplatz zur Verfügung steht. Geräte für den Heimgebrauch sind in der Produktion meist mit sehr knappen Margen kalkuliert – Security by Design wird deshalb viel zu oft nicht berücksichtigt. Eine Gefahr stellen Angriffe mittels IoT-Botnets dar. Hier schalten die Angreifer smarte Geräte wie Fernsehgeräte, Router oder sogar Kühlschränke zusammen. Weil IoT-Geräte Malware schnell weiterverbreiten, sind IoT-Botnets größer als herkömmliche Botnets und betreffen teilweise hunderttausende Geräte. Die Folge können massive DDoS-Angriffe (Distributed Denial of Service) sein. Nutzer sollten deshalb IoT-Geräte innerhalb des Netzwerks isolieren – was für Unternehmen allerdings eher möglich ist als für Privatpersonen.

Der Überblick über aktuelle Angriffsmethoden zeigt: IT-Experten befinden sich im ständigen Wettlauf mit Hackern. Deshalb gehört zu einer effektiven Sicherheitsstrategie sowohl die Abwehr von Kompromittierungen als auch die Eindämmung erfolgreicher Angriffe. Dazu müssen IT-Abteilungen die Endpunkte des Unternehmens genau im Blick haben, um verdächtige Anzeichen zu erkennen und sie mit Sicherheits-Updates auf dem aktuellen Stand halten. Ratsam ist deshalb eine integrierte Endpoint-Management-Plattform statt der weit verbreiteten Vielzahl verschiedenster Tools. Für umfassende Resilienz des Geschäftsbetriebs sind allerdings nicht nur die IT-Manager, sondern alle Mitarbeiter gefragt: Jeder IT-Nutzer kann durch umsichtiges Verhalten seinen Teil dazu beitragen, die Zahl der Angriffe einzudämmen.

Matt Ellard ist Vice President EMEA bei Tanium, www.tanium.com.