Der Preis der Vorreiter-Rolle: Warum Unternehmen bei der Integration aufkommender Technologielösungen vorsichtig sein sollten

bei

 / 9. September. 2019

Der Wandel im Technologiesektor passierte innerhalb der letzten Jahre rapide und schreitet weiter unaufhaltsam voran: Scheinbar über Nacht sehen sich Unternehmen konfrontiert mit neuen Möglichkeiten: Sei es mit KI-gesteuerten Lösungen, den Möglichkeiten kommerzieller Drohnen, Edge Computing, Cloud Storage und natürlich der allgegenwärtigen IoT-Software, die bereits überall zu finden ist – vom Wohnzimmer bis hin zur Straßenlampe. Viele zukunftsorientierte Unternehmen nutzen diese neuen Technologien, um mehr Effizienz sowie besseren Service und mehr Rentabilität zu erreichen. Aber setzen sich diese Unternehmen auch neuen Bedrohungen aus, um auf dem neuesten Stand zu bleiben?

Tatsache ist, dass mit neuen Entwicklungen, auch komplett neue Angriffsmöglichkeiten entstehen. Ob es sich nun um die mangelnden Sicherheitsmerkmale des „smart-fridge“ im Büro oder den weitreichenden Zugang zu Arbeitsplatz-Apps wie Skype oder Slack handelt – jede neue Innovation birgt das Risiko der Ausnutzung durch Cyber-Kriminelle oder Innentäter. Wie sollten Unternehmen also vorgehen, um diese Bedrohungen abzuschwächen?

Schatten-IT als Sicherheitsrisiko für Unternehmen

Bei der Einführung neuer Technologien sollte stets die erste Überlegung zur Cybersicherheit lauten: Auf was können diese Lösungen zugreifen? Auf Netzwerke, Server, Anwendungen, Dateien? Unternehmen müssen das Risiko, dass neue Anwendungen in ihrem Netzwerk auftreten können, sorgfältig abschätzen, bevor sie mit der Implementierung beginnen, da dies eine Reihe neuer Angriffsmöglichkeiten eröffnen könnte. Obwohl es einige Zeit gedauert hat – und es ist noch ein langer Weg – sehen die meisten Firmen die Probleme, die sich durch die Nutzung Cloud-basierten Speicher- und File-Sharing-Anwendungen ergeben, zum Beispiel OneDrive oder Dropbox. Schließlich bedeutet die Tatsache, dass die Datei von einem seriösen Ort stammt noch nicht, dass diese automatisch sicher ist.

Mit Malware behaftete Dokumente, die über einen Link in einer E-Mail oder in sozialen Medien ausgetauscht werden, sind schließlich an der Tagesordnung – auch wenn es Technologien gibt, die das Risiko in diesem Bereich minimieren. Ist die Schadsoftware aber erst einmal im Unternehmen, kann sie sich verwandeln und neue Payloads mit Hilfe der Steganographie herunterladen, um ihre Anweisungen zu erhalten. In diesem Zusammenhang ist es allerdings wichtig zu betonen, dass böswillige Cyberkriminelle, die neue Technologien missbrauchen, bei Weitem nicht die einzige Gefahr für Betriebe darstellen.

Wie der jüngste La Liga-App-Skandal [1] gezeigt hat, sind bereits viele mobile Anwendungen in der Lage, eine Reihe von Funktionen in einem Netzwerk im Hintergrund auszuführen, ohne dass der Nutzer dabei immer sofort zu erkennt, dass sie dies tun. Daher ist es möglich, dass ein mit Malware infiziertes Mobiltelefon das Netzwerk über eine übersehene Zugriffsberechtigung – oftmals über eine arbeitsbasierte Anwendung – infizieren kann. Aus diesem Grund ist es für Firmen essentiell, dass Anwendungen, die Zugriff auf das Unternehmensnetzwerk haben, überprüft werden. Nur ist sichergestellt, dass sie keine Bedrohung durch ihre Zugangsanfragen darstellen. Hier wird die Tatsache zum Problem, dass Mitarbeiter vieler Betriebe regelmäßig neue Apps herunterladen und installieren, oftmals ohne das Wissen der IT-Abteilung. Diese Anwendungen haben dann Zugriff auf die Kamera, das Mikrofon, die Kontakte, etc. Diese Praxis ist selbstverständlich problematisch, denn es ist sehr schwierig nachzuverfolgen, was die App mit diesem gewährten Zugriff tut.

Firmen müssen auf die Details achten

Auch wenn Unternehmen die Bedrohung durch die beabsichtigte Nutzung einer App oder eines Geräts bewertet haben, müssen sie weiterhin auf neue Bedrohungen achten, die beispielsweise durch einen Bug in der Anwendung oder als unerwarteter Nebeneffekt auftreten können. IoT-Geräte stellen in dieser Hinsicht eine besondere Herausforderung dar, da diese kompakten Geräte – oft mit nur einer einfachen Aufgabe – leicht übersehen werden können, aber häufig an das Firmennetzwerk angeschlossen sind, um scheinbar harmlose Informationen hoch- und herunterzuladen. Wenn diese jedoch kompromittiert worden sind, können sie zweckentfremdet werden, um kritische (Geschäfts-)Informationen zu sammeln und zu versenden. Fakt ist schließlich, dass sämtliche Daten für jemanden einen Wert haben, sodass selbst eine Ansammlung scheinbar belangloser Informationen wertvolle Auskünfte geben kann, wenn sie in die falschen Hände gerät. Jüngste Datenpannen haben Schwachstellen selbst in den verborgendsten Teilen der IoT-Technologie aufgedeckt. Ein oft zitierter Vorfall betraf die Darstellung der genauen Perimeter einer streng geheimen US-Militärbasis, nachdem ein Strava-Fitnessgerät die genaue Position und den Umfang einer solchen Basis zeigte. In diesem Fall war der Militär-Stützpunkt bereits gut bekannt – aber was wäre, wenn es sich um eine Übernachtungsbasis in einem Kampfgebiet gehandelt hätte?

In einem anderen Fall war ein Casino in Nordamerika das Ziel eines signifikanten Datenverstoßes, nachdem Hacker ein übersehenes IoT-Tankthermometer gefunden hatten, das an das Netzwerk angeschlossen war, sodass 10 GB gehackte Daten an einen Knotenpunkt in Finnland weitergeleitet werden konnten. Diese Verstöße lehren uns, dass selbst wenn ein Gerät unbedeutend erscheint oder in seiner Funktion als sicher angesehen wird, es dennoch eine Bedrohung für das gesamte Unternehmensnetzwerk darstellen kann. Schließlich können Cyberangriffe auf die unwahrscheinlichste Weise auftreten, und dies ist eines der Probleme. Denn, wenn Betriebe ihre eigene Technologie-Landschaft nicht verstehen, wie können sie diese dann verwalten und schützen?

Schöne Neue Welt? – Realistische Einordnung der neuen Technologien ist essentiell

Es ist schwer vorstellbar, welche unzähligen Hintertüren und Schlupflöcher entstehen können, wenn Unternehmen beginnen, völlig neue technische Lösungen in ihre Geschäftsprozesse zu integrieren. Beispielsweise ist es für jede Firma schwierig, die vielfältigen Gefahren vorherzusagen, welche die Technologie der Künstlichen Intelligenz für die Datensicherheit darstellen könnten. Laut einer jüngst erschienenen Gartner-Studie [2] hat die Einführung von KI in den letzten Jahren exponentiell zugenommen und mittlerweile haben über 37% der Betriebe eine Funktion der KI übernommen. Grundsätzlich setzen immer mehr Unternehmen auf einen KI-gestützten Arbeitsplatz, um die Effizienz der Entscheidungsfindung zu steigern. Da wir immer mehr Daten sammeln, brauchen wir Hilfe, um den Wald von den Bäumen sehen zu können – und KI kann diese Hilfe leisten. Während KI jedoch häufig für das „Gute“ genutzt wird, haben längst auch Cyber-Kriminelle ihr Potenzial erkannt. Ein Betrieb kann einen Angriff auf einen Datenspeicher-Server im Vorfeld erkennen und verfügt über Mechanismen, um das Problem zu beheben – aber es besteht gleichzeitig die Möglichkeit, dass seine eigenen KI-Lösungen manipuliert und für den Zugriff und die Übertragung dieser Daten mit seinen eigenen Berechtigungen verwendet werden können. Diese Möglichkeit sollte von Firmen in keinem Falle übersehen werden.

Darüber hinaus könnten die rasanten Entwicklungen im Hinblick auf Deep-Fake-Video und -Audio in Zukunft eine erhebliche Bedrohung darstellen, da Hacker theoretisch eine scheinbar authentische Videoanweisung vom CEO senden könnten. Diese würde Mitarbeiter dazu bringen, kritische Daten zu teilen oder eine Rechnung zu bezahlen. Doch auch ohne Deep-Fake stehlen Betrüger bereits heute beträchtliche Mengen an Geld. Während Unternehmen also den Geschäftswert der aufstrebenden Zukunftstechnologien betrachten, müssen sie gleichzeitig auch die potenziellen Risiken abwägen, denen sie sich im Zuge dessen aussetzen.

Die richtigen Fragen stellen – Ein erster Schritt zu mehr Sicherheit

Vor diesem Hintergrund erscheint die offensichtliche Lösung für Unternehmen, Regulierungsstellen innerhalb des Betriebs zu schaffen. Diese könnten das Risiko bestimmen, welche mit der Implementierung neuer Anwendungen und Technologien einhergehen. Allerdings lässt sich dies in der Praxis kaum konkret umsetzen. Dafür ist die Geschwindigkeit des Wandels schlicht zu groß, als dass ein einzelner Ausschuss mithalten könnte. Diese Tatsache bedeutet nicht, dass Unternehmen in diesem Zusammenhang schlichtweg aufgeben sollen – es heißt nur, dass sie noch wachsamer sein müssen. Während Firmen über Auditfähigkeiten für Anwendungen auf Laptops verfügen, ist es jetzt notwendig, sich mit der Übertragung auf mobile Geräte zu befassen. Konkret heißt dies: „Welche Anwendungen wurden installiert, gibt es bekannte Probleme?“.  Dieser Ansatz greift aber zu kurz, denn hier könnte es bereits zu spät sein und Malware könnte in das Unternehmen gelangt sein, beziehungsweise geschäftskritische Daten könnten bereits kompromittiert worden sein. Weitere Fragen wären: „Macht die Sperrung der vom Betrieb bereitgestellten mobilen Geräte Sinn, damit Mitarbeiter keine unbefugten Apps installieren können?“, „Stellt BYOD zu viele zusätzliche Herausforderungen an die Informationssicherheit?“. Unternehmen sollten sich unbedingt mit getrennten (virtuellen) Netzwerken und USB-Steuersoftware vor IoT- und USB-Geräten schützen.

Grundsätzlich ist es ist wichtig, dass Unternehmen die neuen Risiken berücksichtigen, die sich im Rahmen aufkommender Technologien ergeben, und vorsichtig mit potenziellen Angriffsmöglichkeiten umgehen, die sich daraus ergeben. Dies bedeutet nicht, dass Firmen auf neue Technologien verzichten sollten, sondern dass sie hierbei einen überlegten Ansatz verfolgen sollten. Es bietet sich an, mit IT-Partnern und Lösungsanbietern über die potenziellen Gefahren von New Tech zu sprechen. Das Feedback dieser sollte dann Teil des Entscheidungsprozesses darüber werden, welche Schritte als nächstes zu unternehmen sind. Es ist wichtig, sich der Bedrohungen bewusst zu sein, die sich aus neuen Technologien ergeben können, aber es ist ebenso wichtig, optimistisch zu bleiben, was den Wert dieser neuen Lösungen angeht. Schließlich bieten sie Unternehmen ungeahnte Möglichkeiten und helfen Ihnen bei der Optimierung der Geschäftsprozesse.

 

Quellen und Referenzen

[1] https://www.zeit.de/digital/datenschutz/2018-06/la-liga-app-spanien-fussball-dsgvo-pay-tv-lizenz-betrug

[2] https://www.gartner.com/en/newsroom/press-releases/2019-01-21-gartner-survey-shows-37-percent-of-organizations-have

 

Michael Kretschmer ist VP EMEA von Clearswift. Zuvor war der Dipl.-Informatiker als Regional VP Central Europe und Managing Director für Deutschland bei IBM Internet Security Systems (ISS) tätig. Eine weitere Station war Websense, wo er die Position Regional Director Central Europe innehatte.