So wird Ihr Unternehmen Cyber-smart

„Assume breach“: Auf diese einfache Formel lässt sich das nötige Mindset für die Cyberrealität der Gegenwart bringen. Unternehmen jeder Branche und Größe müssen von der Annahme ausgehen, dass Angreifer bereits in ihre Systeme eingedrungen sind. Sie können sich nicht auf ihr Glück verlassen oder auf die (Fehl-)Annahme, dass ihre Sicherheitsmaßnahme ausreichend und sie als Ziel nicht interessant genug sind. Sie müssen planen und sich vorbereiten. Jedes Unternehmen verfügt über vertrauliche (und deshalb wertvolle) Daten, auf die es Cyberkriminelle abgesehen haben. Entweder, weil sie sie entwenden wollen, oder weil sie davon ausgehen, dass eine Entschlüsselung dieser Daten dem Unternehmen einiges wert ist. 

Blick auf die Daten: Zugriffsrechte verstehen und begrenzen

Noch vor wenigen Jahren speicherten die Mitarbeiter Dateien fast ausschließlich auf ihren Computern. Heute werden diese Informationen auf geteilten Servern und in der Cloud gespeichert. Kommt es dann zu einer Ransomware-Attacke ist entsprechend nicht nur ein einzelner Computer betroffen, sondern zumeist das ganze Unternehmen. Nicht mehr auf die wichtigsten Dateien zugreifen zu können ist eines der Worst-Case-Szenarios für fast jeden Betrieb. Doch damit nicht genug: Cyberkriminelle drohen mittlerweile auch damit, die sensitiven Daten zu veröffentlichen, sollte das Unternehmen einer Lösegeldzahlung nicht zustimmen. Oder sie schüchtern die Unternehmen damit ein, das Unternehmen bei den zuständigen Datenschutzbehörden anzuzeigen, da bei den Angriffen oftmals auch DSGVO-relevante Daten involviert sind. All dies dient dazu, den Druck auf die Opfer zu erhöhen.

Ein wesentlicher Schritt in Richtung Cyber-Resilienz ist die Reduzierung des Schadens, den Angreifer anrichten können. Im Zentrum steht dabei die Frage, welche Auswirkungen ein einziges kompromittiertes Konto hat. Untersuchungen wie der Datenrisiko-Report für den Finanzsektor haben gezeigt, dass im Durchschnitt jeder Mitarbeitende an seinem ersten Arbeitstag selbst in Cybersecurity-affinen Branchen auf über 11 Millionen Dateien zugreifen kann. Bei einem Angriff verschlüsselt Ransomware in der Regel alle Dateien, auf die sie zugreifen kann. In diesem Falle also 11.000.000 Dateien. Es bedarf nicht viel Fantasie, sich die Auswirkungen vorzustellen. Deshalb muss der Zugriff auf Dateien gemäß dem Least-Privilege- bzw. Zero-Trust-Ansatz auf diejenigen beschränkt werden, die ihn auch tatsächlich für ihre Arbeit benötigen. Auf diese Weise lässt sich das Risiko insbesondere für Totalausfälle wesentlich reduzieren.

Blick nach oben: Risiken durch die Cloud

Unternehmen setzen immer stärker auf Software-as-a-Service (SaaS)- und Infrastructure-as-a-Service (IaaS)-Anwendungen und -Tools wie Microsoft 365, Google Workspace oder Slack. Dabei muss ihnen aber klar sein, dass die Cloud nicht vollkommen sicher ist. Viele wähnen sich in einer Sicherheit, die so von den Anbietern nicht gewährleistet werden kann. Die Anwendungen verfügen zwar durchaus über integrierte Sicherheitsfunktionen, diese beziehen sich jedoch ausschließlich auf die Anwendung und zur Verfügung gestellte Infrastruktur. Für die Sicherheit der Dateien sind jedoch unmissverständlich gemäß dem Prinzip der geteilten Verantwortung die Unternehmen verantwortlich und können sich bei einem Verlust oder Missbrauch keinesfalls auf den Anbieter berufen. Die Cloud bietet zwar Vorteile wie die Zusammenarbeit, kann aber auch dazu führen, dass die kritischen Daten für jeden zugänglich sind, der online ist. Um die Sicherheit der Daten zu gewährleisten, müssen sie jederzeit und überall geschützt werden – auch in der Cloud.

Hinzu kommt bei der Nutzung mehrerer Cloud-Anwendungen, dass diese jeweils über eigene Sicherheitskontrollen und -warnungen verfügen, diese aber oftmals schwer in die bestehenden Strukturen zu integrieren sind. Diese Silo-Bildung sorgt dafür, dass Warnungen über verdächtige Aktivitäten auf einer Plattform im Rauschen des Security-Alltags oft untergehen, da der nötige Kontext fehlt. Um einen Angriff effektiv zu identifizieren, muss man Warnungen über mehrere SaaS-Anwendungen hinweg korreliert betrachten. Erst dadurch ergibt sich ein schlüssiges Bild und man ist in der Lage, entsprechende Abwehrmaßnahmen einzuleiten. Entsprechend ist ein ganzheitlicher Überblick über die verschiedenen Plattformen von größter Wichtigkeit.

Blick nach innen: Insiderbedrohungen ernst nehmen

Niemand redet gerne über Insiderbedrohungen, gleichzeitig stellen sie jedoch ein enormes Risiko für Unternehmen dar. Wenn beispielsweise Mitarbeiter das Gefühl haben, dass ihr Arbeitsplatz gefährdet ist, könnten sie versuchen, sensitive Informationen zu kopieren, zu löschen oder sogar zu manipulieren. Und Insider können weit mehr als die aktuellen Mitarbeitenden sein und von Partnern bis hin zu Personen reichen, die schon längst ihren Arbeitgeber gewechselt haben. Erst kürzlich hat eine Untersuchung von Beyond Identity gezeigt, dass 83 Prozent weiterhin über Zugang zu Konten ihres früheren Arbeitgebers verfügen und mehr als die Hälfte dieser Mitarbeiter (56 %) diesen mit der Absicht genutzt hat, ihrem ehemaligen Arbeitgeber zu schaden.

Deshalb müssen besonders schützenswerte Dokumente von Mitarbeiterdaten über Geschäftspläne und Verträge bis hin zu geistigem Eigentum besonders sorgfältig betrachtet werden. Das gilt sowohl in Bezug auf restriktive Zugriffsrechte als auch für potenziell auffällige Nutzung. Hier sollte man besonders auf ungewöhnliche Dateizugriffe oder Uploads etwa zu Google Mail oder Dropbox achten. Verlässt ein Mitarbeitender das Unternehmen, muss sein Zugang sofort und vollständig gelöscht werden. Leider sind veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten (Ghost User) keine Seltenheit. So verfügen etwa im Gesundheitsbereich 79 Prozent der Unternehmen über mehr als 1.000 solcher Konten. Diese Konten gilt es zu identifizieren und zu eliminieren.

Blick nach vorne: Datenorientiert denken

Die digitale Transformation bietet enorme Chancen für Unternehmen, wenn man sie smart gestaltet. Hierbei spielt Sicherheit die Schlüsselrolle. Richtet man sein Augenmerk nicht ausschließlich auf die letztlich zum Scheitern verurteilte äußere Abwehr von Angriffen sondern vor allem darauf, dass Angreifer hinter dem überwundenen Perimeter keinen großen Schaden anrichten können, lassen sich Cyberrisiken deutlich reduzieren. Unternehmen müssen hier proaktiv handeln, um die Auswirkungen eines Angriffs zu verringern. Wir müssen also unsere Sicherheitsstrategien auf den Kopf stellen und die Cybersicherheit zukünftig nicht mehr „von außen nach innen“, sondern „von innen nach außen“ danken. Mit den Daten als wichtigstes und wertvollstes Asset im Zentrum.