Trotz technischer Aufrüstung gegen Cyberangriffe kommt es zu mehr Vorfällen als je zuvor. Woran dies liegen kann, war einer der vielen Fragen, denen Experten aus der IT-Sicherheits-Branche am Schweizer Tag der von Computerworld zusammen mit den Schwesterpublikationen PCtipp und com! professional online organisierten Security Days nachgegangen sind. Dabei wurde immer wieder deutlich, dass menschliche Defizite vielen Attacken und deren Urhebern in die Hände spielen.

So beobachtet Candid Wüest, Vice President Cyber Protection Research beim Schaffhauser Cybersecurity-Spezialisten Acronis, eine gewisse Blauäugigkeit vor allem bei kleinen und mittleren Unternehmen (KMU). «Viele Unternehmen, gerade im mittelständigen Umfeld, sind häufig der Ansicht: ‹Mich trifft es nicht. Ich bin doch kein Ziel. Ich habe keine Daten, die interessant sind.›», berichtet er. Das sei natürlich «Humbug», führt er an und betont, dass jeder ein Ziel sein könne und sei es sogar durch Zufall. Wüest führt hier das Beispiel eines vor zwei Monaten verübten Angriffs in der Nähe von London auf, bei dem eine Trinkwasseraubereitung fälschlicherweise angegriffen wurde. Selbst die Angreifer hätten nicht gewusst, wen sie angegriffen hatten, und hätten sich sogar mit der Attacke auf eine andere Firma gebrüstet, berichtet er. «Das zeigt, dass Cyberkriminelle oft ein grosses Schleppnetz ausbreiten und hoffen, dass irgendeine Firma doch erwischt wird», betont Wüest,

Ähnliches berichtet auch Tim Berghoff, Security Evangelist bei G Data CyberDefense, im Gespräch mit PCtipp-Redaktor Daniel Bader. Obwohl er beobachten kann, dass es gezieltere Angriffe gibt, die mehr Handarbeit seitens der Cyberkriminellen erfordert, attestiert er der Szene doch einen gewissen Hang zum Konservativismus. «Während der Corona-Pandemie haben viele prophezeit, dass nun die virtuellen Superschädlinge entwickelt würden. Doch das Gegenteil konnte beobachtet werden: Die Angriffe nahmen klar zu, wurden aber mit den immer gleichen Methoden verübt, sozusagen mit den Evergreens, die wir seit Jahren schon kennen und die seit Jahren funktionieren», berichtet Berghoff. «Die meisten Cyberkriminellen operieren nach ganz stumpfen wirtschaftlichen Kriterien. Wenn sie also einen Modus operandi haben, von dem sie wissen, dass er funktioniert und Gewinn bringt, wird er auch weiter verwendet», erklärt er sich das Vorgehen der Hacker.

Wie Wüest von Acronis in seinem Vortrag herausarbeitete, macht es auch die zunehmende Komlexität der IT-Umgebungen in Firmen den Angreifern einfach, irgendwo eine Schwachstelle aufzuspüren und diese auszunützen. Die zunehmende Adaption von Cloud-Computing verbessert die Situation gemäss dem Experten nicht. Gerade hier führten fehlerhafte Konfigurationen von Cloud-Installationen wie etwa von Storage-Buckets zu neuen Schwachstellen.

Aber nicht nur angesichts der zunehmenden Komplexität der IT-Umgebungen verlieren IT-Verantwortliche und Security-Beauftragte schnell einmal die Übersicht. Auch die Installationen zur Bekämpfung der Cybergefahr selbst werden immer komplexer. Wüest präsentiert in diesem Zusammenhang eine Studie von Acronis, die unter anderem ergeben hat, dass 22 Prozent der befragten Unternehmen mehr als zehn Security-Tools parallel einsetzen.

Damit sei menschliches Versagen so gut wie vorprogrammiert, gibt er zu bedenken. «Zehn Security-Lösungen parallel bedeutet, dass Sie die jeweiligen Konfigurationen im Kopf behalten müssen», meint Wüest und betont darüber hinaus, dass es sich bei den vielen Tools oftmals auch um Insellösungen handelt, die nicht gut untereinander zusammenarbeiten würden. Auch für die Mitarbeitenden, die die Systeme pflegen müssen, wird es zunehmend schwierig, immer mit den neusten Features der Produkte à jour zu bleiben.

«Um effizient handeln zu können, müssen diese Silos aufgebrochen werden», postuliert Wüest folglich und plädiert für den Einsatz einheitlicher Lösungen, die Cybersecurity und den Schutz der Unternehmensdaten wie beispielsweise durch Backups unter einem Dach vereinen.

Auch Berghoff von G Data beobachtet, dass Unternehmen in Sachen IT-Security-Lösungen in der Regel gut aufgestellt sind, aber diese nicht immer sachgerecht konfiguriert hätten. «Wir sehen oft, dass aus dem einen oder anderen Grund bestimmte technische Komponenten von Security-Lösungen deaktiviert worden sind, weil man vermeiden wollte, dass es eine falsch-positive Erkennung gibt», berichtet Berghoff.

Auch hat er bei Firmen beobachtet, dass viel zu viele Benutzerkonten mit Domain-Administratorenrechten vergeben worden seien. «In vielen Fällen muss gar nicht viel Geld ausgegeben werden für weitere Lösungen, sondern es reicht schon, sich zu überlegen, ob das, was man hat, überhaupt vernünftig und taktisch klug eingesetzt wird», lautet daher ein Tipp des Experten.

Schliesslich vermisst Berghoff in vielen Unternehmen einen Notfallplan, der bei einem eigentlichen Cyberangriff zur Anwendung kommt. «Dieser kann aus recht simplen Handlungsanweisungen bestehen, wie etwa wer zu kontaktieren ist, wenn eine Erpressermeldung auf dem Bildschirm erscheint», meint er und empfiehlt Firmen dringend, solche Pläne nicht nur zu erarbeiten, sondern diese auch regelmässig einzuüben. Hier sei es schliesslich angezeigt, auch den Kontakt zu einem hierauf spezialisierten Dienstleister zu suchen, empfiehlt Berghoff.

Wie sehr menschliche Schwächen bei Cyberattacken zum Erfolg führen können, hat Ivano Somaini, Regional Manager Zürich von Compass Security, in seinem Vortrag eindrücklich aufzeigen können.

Somaini hat sich nämlich auf das Social Engineering spezialisiert. Er versucht im Auftrag von Firmen, diese anzugreifen und wichtige Informationen abzugreifen. Dabei muss er gelegentlich auch ganz physisch in die Räumlichkeiten der Auftraggeber einbrechen.

Ein wichtiger Schritt im Social Engineering ist dabei, im Vorfeld Informationen über die zu attackierende Firma und deren Mitarbeitenden zu sammeln.

Dabei macht der Mitteilungsdrang vieler Angestellten in sozialen Medien dem sozialen Ingenieur das Leben einfach. «Wir haben uns in den letzten Jahren von einer Download- in einer Upload-Gesellschaft verwandelt», meint Somaini und konstsatiert, dass immer mehr zum Teil sehr persönliche Informationen im Netz geteilt werden. Dadurch werde beispielsweise die Formulierung sehr gezielter Phishing-Mails immer einfacher, ist er überzeugt.

In einem der von Somaini präsentierten «Räuberpistolen» reichte es beispielsweise aus, dass er in Erfahrung bringen konnte, dass der Leiter eines IT-Security-Teams jeweils Freitags nicht arbeitet, um die Kollegen an besagtem Wochentag unter Druck setzen zu können.

Und manchmal reicht auch eine gute Idee mit einer gehörigen Portion Unverfrorenheit, um sich Zugang zu einem Gebäude zu verschaffen. So berichtete Somaini, dass er zusammen mit einem Kollegen einmal an einem 6. Dezember als Samichlaus und Schmutzli verkleidet problemlos an der Rezeption in den Besitz von Besucher-Badges kam.