Awareness und Automatisierung

Das Yin und Yang der Cybersecurity

Iris Lindner ist freiberufliche Journalistin für Elektronik und Automatisierung.
Die Arbeitswelt hat sich bedingt durch COVID-19 radikal verändert. Auch in Sachen Cybersecurity: Zwar sind die Angriffe die selben, in den Fokus rückt nun aber ein neues Ziel - die Mitarbeiter im Homeoffice.

Von heute auf morgen ins Homeoffice stellt nicht nur die Mitarbeiter vor eine große Herausforderung. Vor allem Banken, die bisher nie jemanden von zu Hause aus arbeiten haben lassen oder der klassische deutsche Mittelstand, der sich jahrelang mit Händen und Füßen gegen jegliche Homeoffice-Funktionen oder die Cloud gewehrt hat, sind zurzeit gezwungen, ihre Prinzipen über Bord zu werfen.

Nur wenn sich Awareness und Automatisierung in Ihrer IT-Sicherheitsstrategie die Waage halten, kann Ihr Unternehmen den aktuellen Security-Bedrohungen standhalten.
Nur wenn sich Awareness und Automatisierung in Ihrer IT-Sicherheitsstrategie die Waage halten, kann Ihr Unternehmen den aktuellen Security-Bedrohungen standhalten.
Foto: Amam ka - shutterstock.com

So wie sie holen viele Unternehmen im Public-Sektor gerade 20 Jahre Versäumnisse nach. Der Schnelldurchgang hat jedoch Folgen: Infrastrukturanbieter kommen nicht hinterher, den Bedarf zu bedienen, Firmen-Laptops werden zur Mangelware, und Cybersecurity wird bei vielen zum Abenteuer.

Informationen zu den Partner-Paketen der Studie Cybersecurity

Die Gefahr im Homeoffice

Für Hacker hingegen kommt diese Ruckzuck-Aktion einem Blumenstrauß an Angriffszielen gleich. Im Fokus stehen dabei unter anderem VPN-Server, denn aufgrund der starken Telearbeit werden VPN-Zugänge zu einem Engpass: Kommt es zu einem Ausfall, ist es nun ungleich schwieriger, sofort zu intervenieren - gerade von außen, weil niemand mehr im eigenen Unternehmen vor Ort ist. Ebenfalls eine beliebte Angriffsfläche ist allen voran der Bereich Online-Handel, bei dem die Abhängigkeit aktuell exorbitant steigt.

So wurde zum Beispiel Lieferando bereits durch einen DDoS-Angriff teilweise lahmgelegt. Der Schaden bei den "Gewinnern" der Pandemie ist plötzlich viel größer als zuvor, obwohl die Angriffe immer noch dieselben sind, nur eben anders fokussiert. Und so werden auch die Mitarbeiter im Homeoffice zur Zielscheibe, vorrangig diejenigen, die ihre privaten Geräte beruflich nutzen: Ohne einheitliche Sicherheits-Policy und entkoppelt vom Unternehmen bieten sie eine ideale Lücke für gezielte Attacken.

Phishing-Angriffe häufen sich in letzter Zeit besonders, denn die Chancen, dass jemand auf einen Anhang oder einen Link klickt, sind im Homeoffice sehr hoch. Zum einen, weil bei einem Angriff über das Firmenpostfach die Möglichkeit zur direkten und unkomplizierten Nachfrage beim Kollegen fehlt, ob er die Mail denn auch bekommen hat. Zum anderen rücken immer häufiger Schüler ins Visier der Angreifer, die für das Homeschooling oftmals die Firmen-Laptops der Eltern verwenden - ein Umweg, der kriminelle Hacker ebenso zu den Daten eines Unternehmens führen kann wie eine Phishing-Mail an den privaten Account - schließlich laufen beide über dasselbe Endgerät.

Natürlich rückt der Endpoint im Bereich SecuritySecurity dadurch in den Fokus, und die Unternehmen zeigten in den vergangenen Wochen ein vermehrtes Interesse an Identity Management und Advanced Authentification. Die Experten sind sich aber einig, dass es viel wichtiger ist, neben einer technischen Lösung und einem sauber umgesetzten, benutzerfreundlichen Zugriffsmanagement die Mitarbeiter für diese Gefahren zu sensibilisieren und die Awareness auch zu schulen. Alles zu Security auf CIO.de

Mitarbeiter gezielt in die Falle locken!

Wenn es einem aber vorher schon nicht gelungen ist, die Augen der Mitarbeiter für solche Gefahren zu schärfen, wie erreicht man diese dann nun im Homeoffice? Eine Möglichkeit stellen simulierte Phishing-Mails dar. Vom Hinweis der IT, das Postfach sei voll, über die Aufforderung zur Eingabe von Domain-Zugangsdaten bis hin zum Kalendereintrag - hier kann genau nachvollzogen werden, ob und wie die Mitarbeiter darauf reagiert haben.

Wer nach dem Klick eine Nachricht mit einer Einladung zu einer Nachschulung erhält, über die auch der Vorgesetzte informiert wird, der wird in Zukunft sicher keiner Mail mehr blind vertrauen, sondern mit einem Mouse-Over kurz die Domain des Absenders checken. Diese Art des Trainings ist wesentlich effektiver, als die Mitarbeiter einen halben Tag lang in einen Schulungsraum zu stecken und mahnend den Finger zu heben.

Wenn Unternehmen aber ihre Mitarbeiter dahingehend sensibilisieren wollen, wie gefährliche Mails aussehen, dann müssen sie zum einen dafür sorgen, dass dies jeder, von der Sekretärin bis zum IT-Fachmann, versteht. Das bedeutet, man muss die Mitarbeiter entsprechend ihres Wissensstands schulen. Zum anderen muss die Möglichkeit geschaffen werden, neu hinzugekommene Angriffe zu erkennen und Phishing-Emails aus allen Postfächern zu entfernen. Denn es hilft nichts, wenn einer die Attacke entlarvt hat, zehn andere aber in die Falle tappen, weil die Mail nicht aus allen Postfächern gelöscht werden konnte.

Studie "Cybersecurity": Sie können sich noch beteiligen!

Zum Thema Cybersecurity führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) und Frau Nicole Bruder (nbruder@idg.de, Telefon: 089 360 86 137) gerne weiter. Informationen zur Cybersecurity-Studie finden Sie auch hier zum Download (PDF).

Awareness der Mitarbeiter ist jedoch nur ein Aspekt. Der andere: Unternehmen machen nicht alles selbst, sondern haben dafür Dienstleister. So muss bei einem Angriff auch sichergestellt werden, dass die Maßnahmenkette stimmt. Gerade bei DDos-Attacken wird regelmäßig beobachtet, dass die IT-Serviceketten nicht greifen. Noch immer ist man in antiquierten Deployment-Modellen zu Hause und setzt für die Erkennung häufig Hardwaremodule vor Ort ein, die relativ lange Reaktionszeiten haben und menschliche Intervention nötig machen.

Und dieser manuelle Remote-Eingriff schlägt nicht zuletzt deshalb regelmäßig fehl, weil es durch Freigabeprozesse immer zu einem erheblichen Verzug kommt. Neben dem Aufrüsten auf der technologischen Seite ist es daher auch sehr wichtig zu prüfen, ob die Deployment-Modelle, die Systeme und die Freigabewege noch auf dem neuesten Stand sind und in einer zunehmend digitalen Welt in ihrer bisherigen Form so noch bestehen können.

Um das Zusammenspiel der gesamten IT-Kette zu gewährleisten, sollten die typischen Vorfälle getestet und simuliert werden. Über Security Operation Center, Behavioral Analytics oder Mustererkennung lässt sich das IT-Security-Niveau erhöhen und feststellen, wenn es zu Anomalien kommt. Doch wenn ein Unternehmen 5.000 Mitarbeiter hat und es somit am Tag zu 300 Anomalien kommt, wie soll man diese dann einzeln bewerten? Ein System, das den ganzen Tag Warnungen aussendet, sowie die großen Daten- und Log-Mengen führen unweigerlich zu einer Überlastung des Administrators.

Dort kommen Künstliche Intelligenz und Machine Learning ins Spiel: Sie automatisieren diese Prozesse und verschaffen den Security-Spezialisten Entlastung - diese müssen sich nur noch um die Fälle kümmern, in denen keine Anomalie zu sehen ist. Genauer gesagt: Weil sich ein guter Angreifer nicht durch einen Virenscan oder von Deep Learning aufhalten lässt, gilt es, die schwachen Signale auszuwerten, die darauf hindeuten, dass es eine Hacker-Aktivität an den Sicherheitsmechanismen vorbeigeschafft hat. Die Rolle des IT-Security-Beauftragten wird sich dadurch fundamental ändern. Er wird nicht mehr der Arbeitsknecht bimmelnder Systeme sein, sondern der Entscheider, der die von der KI vorgelegten Ereignisse in gut und böse einstuft.

Mit Automatisierung und Outsourcing in die Zukunft

In Zukunft wird kein Weg an KI und Automatisierung vorbeiführen, zumal auch IoT immer mehr an Bedeutung gewinnt. Wer versucht, dies mit menschlicher Kapazität oder hausgemachten Lösungen zu stemmen, der wird kläglich scheitern. Herr der Situation kann nur werden, wer mit diesen Technologien das Grundrauschen der breit angelegten Attacken filtert und auf das Outsourcing bestimmter Bereiche setzt. Das ist nicht unbedingt die Paradedisziplin deutscher Unternehmen, über kurz oder lang werden sie aber keine andere Wahl haben, als zu Managed Services zu wechseln.

Zum einen wird sie der Fachkräftemangel zum Umdenken zwingen, zum anderen kann man es sich nicht leisten, die Spezialisten für die Analyse in dem Maße vorzuhalten, wie es vielleicht notwendig ist. Vor dem gleichen Problem stehen übrigens auch die Managed-Services-Provider, die durch starke Vereinfachung und konsequente Automatisierung ebenfalls immer weniger auf den Faktor Mensch setzen werden.

Nicht nur, dass viele Unternehmen generell damit Schwierigkeiten haben, Security auszulagern. Vor allem bei großen Unternehmen, die gesetzlichen Bestimmungen entsprechen müssen, kommt es darauf an, dass sowohl die Vorgaben- als auch die Umsetzungsseite dokumentiert werden. Nicht selten wird diese Aufgabe den Fachbereichen auferlegt, die dann bei der Umsetzung regelmäßig versuchen, das Rad neu zu erfinden. Weil aber Security in Zukunft nicht mehr ein Overlay im Netzwerkbereich sein wird, sondern elementarer Bestandteil jeglicher Fachanwendung, sollte auch versucht werden, Security nicht als Checkliste anzusehen, sondern als Enabler, Dinge in den Fachbereichen umzusetzen. Also wenn nicht jetzt, wann wird die Security Treiber für die Digitalisierung der Banken sein?

Aufgrund der aktuellen Situation sind die Unternehmen mehr darauf bedacht, den Betrieb aufrechtzuerhalten, als sich Gedanken um die Organisation von Managed Security zu machen. Soll ein SoC die Lösung sein, so sollte man sich zuerst auf die wesentlichen Dinge konzentrieren: die großen, kritischen Fälle ansehen und diese mit dem klassischen Notfallmanagementprozess einbauen. Standardanbieter haben hier bereits SoC-Lösungen, die einem quasi als erste Waschmaschine dienen. Dennoch sollte die technische Lösung immer nur ein Teil des Security-Gesamtkonzepts sein, zu dem neben der Awareness der Mitarbeiter auch immer eine Notlösung gehört, um der Bedrohung einen Schritt voraus zu sein.

Informationen zu den Partner-Paketen der Studie Cybersecurity

Zur Startseite