Der perfekte Cybersturm

Nicht nur die Anzahl der Hackerangriffe zeigt einen deutlichen Trend nach oben. Die IT-Security-Vorfälle werden auch immer teurer. Laut einer Untersuchung des Ponemon Institute hängen die Kosten dabei erheblich von der Art des Zwischenfalls ab. Sind es Mit­arbeitende oder Auftragnehmer, die fahrlässig handeln, so kosten Vorfälle im Durchschnitt umgerechnet jeweils knapp über 274 000 Schweizer Franken. Weil diese Art der Zwischenfälle jedoch am häufigsten vorkommt, nennt Ponemon hier durchschnittliche Gesamtkosten von 4,19 Millionen Schweizer Franken pro Jahr und Unternehmen.

Im Vergleich dazu schlägt jeder Sicherheitsvorfall, der seinen Anfang durch einen böswillig oder kriminell handelnden Insider nahm, mit durchschnittlich 690 000 Franken zu Buche, also mehr als doppelt so viel im Vergleich zu einem lediglich fahrlässig handelnden Mitarbeiter.

Jede starke Cyberabwehr muss anpassungsfähig sein und nichts erfordert eine grössere Anpassungsfähigkeit als eine globale Pandemie. Und so geübt IT-Sicherheitsteams auch darin sein mögen, ihre Verteidigungsstrategien anzupassen, so ist das aktuelle Ausmass der Veränderungen ebenso wie die Geschwindigkeit, mit der diese vonstatten gingen, sicherlich beispiellos. Noch nie haben so viele Mitarbeitende von ausserhalb des Unternehmensnetzes gearbeitet wie 2020. Für viele Unternehmen und Mitarbeitende ist das eine gänzlich neue Erfahrung, was Verunsicherung mit sich bringen kann. Auch das Umfeld zu Hause birgt viel Ablenkungspotenzial; eine Tatsache, die sich in höherer Fehleranfälligkeit im Bereich Cybersicherheit niederschlagen könnte.

Eine im Juli/August 2020 von den Marktforschern von techconsult durchgeführte Umfrage unter IT-Entscheidern in der Schweiz, Österreich und Deutschland bestätigte diese Vermutung. 43 Prozent der befragten CISOs stimmten der Aussage zu, dass der Übergang zur Remote-Arbeit im Zusammenhang mit der Pandemie ihr Unternehmen anfälliger für Cyberbedrohungen gemacht hat.

Faktoren wie die Nutzung privater Endgeräte für berufliche Zwecke oder im umgekehrten Fall die Verwendung von unternehmenseigenen Geräten für Privates, das offene Notieren von Passwörtern oder eine nicht ordnungsgemäs­se An- und Abmeldung an respektive von Firmensystemen sind nur einige Beispiele. Hinzu kommt die allgegenwärtige Gefahr von Phishing.

Da keine strikte Trennung mehr zwischen privater und geschäftlicher PC-Nutzung gegeben ist, neigen Benutzer möglicherweise eher dazu, zu Hause auf einen verdächtigen Link zu klicken als in der formelleren Umgebung des Büros. Cyberkriminelle sind sich dieser Tatsache sehr wohl bewusst. Mehr als ein Drittel der CSOs/CISOs im DACH-Raum (35 %) gaben in der oben zitierten Studie an, von einem erhöhten Aufkommen von gezielten Phishing-Angriffen betroffen zu sein. Eine überdurchschnittlich hohe Anzahl von Phishing-Angriffen während der Covid-19-Pandemie scheint insbesondere gegen Unternehmen im Transport-/Logistiksektor durchgeführt worden zu sein, wo 56 Prozent der CSOs/CISOs in diesem Segment einen entsprechenden Anstieg der Angriffe in ihrem Unternehmen verzeichneten. Dies spiegelt sich auch in einer Bedrohungsanalyse wider, in der Proofpoint-Forscher signifikante Phi­shing-Aktivitäten im Zusammenhang mit Covid-19 feststellten, die speziell auf diesen Sektor abzielten.

Während in der Vergangenheit Insider-Bedrohungen oftmals durch auffällige Verhaltensweisen entdeckt wurden, beispielsweise das Einloggen zu ungewöhnlichen Uhr­zeiten, hat sich, ausgelöst durch die weltweite Pandemie, die verlässliche Telemetrie der Protokolldaten fast über Nacht vollkommen verändert. Sich an neue Gegeben­-heiten anzupassen, erfordert, dass IT-Security-Experten einen aufmerksamen Blick an den Tag legen und über eine robuste Strategie verfügen, die in der Lage ist, von innen heraus und personenorientiert zu verteidigen.

Leider ist das gestiegene Fehlerpotenzial nicht die einzige Schwachstelle, die sich dem opportunistischen Cyber­kriminellen bietet. Der psychologische Druck, der auf einzelnen Personen lastet, kann Nährboden für eine noch heimtückischere Bedrohung sein – den böswilligen Insider.  

Böswillige Insider sind zwar seltener anzutreffen, aber sie können grösseren Schaden anrichten. Viele nutzen Insider-Wissen, um sich internen Security-Mechanismen zu entziehen, und unternehmen aktiv Schritte, um ihre Spuren zu verwischen. Daher sind sie weitaus schwieriger aufzuspüren. Das Risiko von böswilligen Insidern ist jedoch nichts Neues. Da allerdings immer mehr Unternehmen vor der Entscheidung stehen, teils grosse Teile ihrer Belegschaft entlassen zu müssen und der finanzielle Druck folglich steigt, gilt höchste Alarmbereitschaft.

Selbst die technisch am wenigsten versierten Anwender wissen wahrscheinlich, welche auch finanziellen Vorteile der Besitz sensibler Daten oder gar Geschäftsgeheimnisse des ehemaligen Arbeitgebers mit sich bringen kann. Gerade in der aktuellen Gesamtsituation kann es schnell vorkommen, dass eine falsche Entscheidung getroffen wird.

Vorsicht gilt auch bei all jenen Mitarbeitenden, die kein gutes Haar an ihrem Arbeitgeber lassen und ihm möglichst schaden möchten. Sie wissen, welche verheerenden Folgen Datenschutzverstösse für das entsprechende Unternehmen haben – nicht zuletzt aufgrund der damit einhergehenden Rufschädigung und erheblichen finanziellen Verlusten.

Es ist nie leicht, Insider-Bedrohungen zu erkennen. Noch schwieriger ist es, sie zu entdecken, wenn alle Mitarbeitenden im Home Office und so ausserhalb des regulären Büroumfelds arbeiten. Bedrohungen durch Insider sind insofern speziell, da die Innentäter bereits legitimen, vertrauenswürdigen Zugang zu den Systemen und Daten der Organisation haben, um ihre Arbeit zu erledigen. Dieser einzig­artige Angriffsvektor erfordert eine besondere Verteidigung.

Erstens sollte sichergestellt werden, dass der Zugang zu Systemen sowie Daten streng reglementiert wird und beschränkt ist auf diejenigen, die diesen Zugang tatsächlich für die Erfüllung ihres Tätigkeitsfelds benötigen. Die Kontrollen müssen hieb- und stichfest sein, wobei jedes Protokoll auf Anzeichen von Fahrlässigkeit oder Foulspiel geprüft und analysiert werden muss.

Zweitens kommen Prozesse hinzu, die den System- und Netzwerkzugang, die Benutzerprivilegien, den Zugang beziehungsweise das Sperren von Anwendungen, die externe Speicherung, den Datenschutz und vieles mehr regeln.

Und drittens ist die Abwehr von Insider-Bedrohungen nicht nur eine technische Disziplin. Da der grösste Risikofaktor für Insider-Vorfälle der Mitarbeitende selbst ist, der oft nicht böswillig handelt, sondern vielmehr aus Unwissen heraus die Sicherheit des Unternehmens riskiert, muss er im Mittelpunkt der Verteidigungsstrategie stehen. Somit muss die einzige wirksame Sicherheitsstrategie flexibel, robust und mehrschichtig zugleich sein sowie Menschen, Prozesse und Technologien miteinander verbinden.

Es gilt, eine Sicherheitskultur zu schaffen, indem konti­nuierlich punkto Insider-Bedrohungen sensibilisiert wird. Jeder in der Organisation muss wissen, wie eine potenzielle Bedrohung erkannt und eingedämmt werden kann und, ob absichtlich oder unabsichtlich, wie das eigene Verhalten die Firma in Gefahr bringen kann.