Cyberbedrohungen: Wie Ihr Unternehmen abwehrfähig wird

Erfolgreiche Angriffe auf die IT von Unternehmen häufen sich. Fast täglich erscheinen neue Meldungen über Viren, Trojaner und Sicherheitslücken in Software und CPUs. Das Management einer sicheren IT-Infrastruktur wird damit zu einer immer umfassenderen Aufgabe. Klassische Hersteller von Antivirenlösungen müssen daher ihr Portfolio erweitern und für Unternehmen spezialisierte Dienstleistungen anbieten. Ein Thema, das bei vielen Kleinunternehmen und Mittelständlern akut ist, ist die sogenannte Schatten-IT. Rechner und andere netzwerkfähige Geräte, von denen noch nicht einmal der eigene Administrator weiss. Das kann ein von Mitarbeitern mitgebrachter WLAN-Hotspot sein, der das Surfen auf dem privaten Telefon erleichtert, oder eine nicht vom Arbeitgeber bereitgestellte Spielkonsole für die Pause. Und auch sonst nehmen viele Geräte Kontakt mit dem Internet auf, von denen das nicht unbedingt erwartet wird.

Um solche und ähnliche Probleme zu finden, bietet sich ein Security-Assessment an. Mit dieser Dienstleistung bekommen ­Unternehmen einen kosteneffizienten Überblick über mögliche Schwachstellen in der eigenen IT. Ein solcher Status-Check steht in aller Regel am Anfang einer Beschäftigung mit dem komplexen Thema IT-Security. Im Unterschied zu einem vollumfänglichen Pentest ist ein Status-Check auch für kleine und mittlere Unternehmen leistbar und die Ergebnisse sinnvoll nutzbar. Ein Check der eigenen IT führt im Unternehmen idealerweise dazu, dass auch Policies für Passwörter und andere sicherheitsrelevante Prozesse auf den Prüfstand gestellt oder überhaupt erst definiert werden. Denn kaum ein professioneller Angreifer setzt nicht auf diese Angriffsvektoren. Eine weitere grosse Herausforderung für die IT-Sicherheit sind die immer schnelleren Angriffszyklen von Kriminellen. Malware wird heute im Minutentakt neu verpackt und verändert in Umlauf gebracht. Analysten kommen da mit dem Schreiben klassischer Signaturen nicht mehr hinterher.

Schutz mit Machine Learning

Gerade beim Schutz von kritischen Unternehmensdaten kommen daher immer häufiger Machine-Learning-Ansätze zum Einsatz. Dabei werden mathematische Modelle wie zum Beispiel neuronale Netze eingesetzt, um ausführbare Dateien auf dem Rechner der Kunden zu klassifizieren. Erscheinen diese anhand verschiedener vorab definierter Kriterien als verdächtig, kann eine genauere Analyse erfolgen. So können Sicherheitsanbieter direkt zum Kern von Malware vordringen und die sich ständig verändernden Verpackungen lenken nicht mehr ab.

Machine-Learning-Algorithmen brauchen aber weiterhin qualifizierten Input, um zuverlässig zu funktionieren. Daher ist es für IT-Sicherheitsunternehmen auch in Zukunft unerlässlich, erfahrene Analysten und Personen mit Kenntnissen des Reverse-Engineering zu beschäftigen. Denn maschinelles Lernen ist stets nur so gut, wie das Training der zugrundeliegenden Modelle.

Wie schnell Kriminelle sind, zeigt der Trojaner Emotet. Pro Tag werden mittlerweile bis zu 200 verschiedene Versionen in leicht veränderter Form verbreitet. Eine Malware, die zum Start des Arbeitstages gefährlich ist, ist also schon wenige Stunden später "ein alter Hut". Mit Emotet können Kriminelle Unternehmen gezielt ausspionieren. Der Trojaner wird daher häufig als erster Schritt eines umfassenden Angriffs eingesetzt. Emotet wird meist als ­Makro in Word-Dateien an die potenziellen Opfer gesendet, wurde aber auch schon in PDF-Dokumenten gesichtet. Mittels Emotet kann ein detailliertes Profil verschiedener Nutzer angelegt werden, um so glaubwürdigere Phishing-Mails zu versenden.

----------

Die IT-Sicherheit sollte mit dem ­Unternehmen mitwachsen

IT-Security beschäftigt Unternehmen jeder Grösse. Wie auch Firmen mit wenigen Mitarbeitern und kleinem Budget vor Cyberbedrohungen sicher sind und welche Fehler sie häufig in puncto Cybersecurity machen, erläutert Cornelia Lehle, Sales Director bei G Data Schweiz. Interview: Leslie Haeny

Gerade die finanziellen Mittel sind bei kleineren Unternehmen meist begrenzt. Wie kann die IT-Security trotz kleinem Budget gewährleistet werden?

Cornelia Lehle: Die Basis der IT-Sicherheit ist eine moderne Endpoint-Protection. Diese hilft bei der Abwehr alltäglicher Gefahren wie dem Emotet-Trojaner oder Ransomware wie Gandcrab. Aber eine Endpoint-Protection ist heute nicht mehr alleine ausreichend. Unternehmen sollten darüber hinaus vor allem klug in IT-Sicherheit investieren. Daher sollte am Anfang eine intensive Bedarfsanalyse erfolgen. G Data bietet hier zum Beispiel den "Cyber Defense Status Check" an. Dabei wird das Netzwerk eines Kunden von aussen auf Schwachstellen hin abgeklopft, um mögliche Sicherheitsrisiken zu entdecken und Handlungsempfehlungen geben zu können. Durch diesen Scan bekommen Unternehmen schnell umsetzbare Ergebnisse zu einem guten Preis. Umfangreichere Analysen, wie ein professionell durchgeführter Pen-Test, können zwar mehr Ergebnisse liefern, erfordern aber eine gewisse Reife und Erfahrung im Umgang mit IT-Sicherheit im Unternehmen.

Sind Unternehmen mit einer Bring-your-own-Device-Policy grundsätzlich einer stärkeren Bedrohung ausgesetzt?

Bring your own Device sorgt im Unternehmensumfeld grundsätzlich für eine heterogene Infrastruktur. Insbesondere bei Android-Smartphones stellen die bei vielen Herstellern unregelmässigen Sicherheits-Updates eine Gefahr dar. Eine professionelle Verwaltung hilft aber, die Risiken von BYOD zu minimieren. Sinnvollerweise sollte BYOD mit einem Mobile-Device-Management verknüpft werden, um Compliance-Anforderungen – etwa an den Datenschutz – sicherstellen zu können. Der Zugang zum WLAN der Firma sollte ausserdem über ein separates BYOD-Netzwerk erfolgen, das keinen Zugriff auf sensible Anwendungen oder Unternehmensdaten ermöglicht.

Was sind die häufigsten Security-Fehler, die in Bezug auf die Unternehmens-IT gemacht werden?

Unternehmen befinden sich im stetigen Wandel, wachsen im besten Fall Jahr für Jahr. Doch ein Mittelständler mit 500 Mitarbeitern hat andere Sicherheitsanforderungen als ein Start-up. Daher sollte IT-Sicherheit auch mit dem Unternehmen mitwachsen, was häufig nicht der Fall ist. Ein Problem, das wir sehr häufig sehen, sind unzureichend getrennte Netzwerke. So kann eine Infektion mit einer Ransomware etwa in der Buchhaltung direkt auf die Produktion durchschlagen. Eine Segmentierung im Unternehmensnetzwerk kann solche Probleme verhindern. Nach wie vor problematisch ist auch der Umgang mit Passwörtern. Phishing und häufig verwendete Passwörter sind noch immer einer der grössten Angriffsvektoren von Kriminellen.

Welche Themen, abgesehen von Phishing und unsicheren Passwörtern, bereiten den Security-Spezialisten hierzulande momentan Bauchschmerzen?

Gerade für Unternehmen ist Ransomware weiterhin eine grosse Gefahr. Nach den grossen Ransomware-Angriffen mit Locky, ­Wannacry und Notpetya vor ein paar Jahren haben Cyberkriminelle ihr Geschäftsmodell mittlerweile weiterentwickelt. Wir sehen immer häufiger eine intensive Spionage im Unternehmen, bevor ein Ransomware-Angriff gestartet wird. Dazu wird Emotet, die Allzweckwaffe des Cybercrime, genutzt. Im zweiten Schritt werden dann im Netzwerk vorhandene Backups gelöscht und schliesslich die Verschlüsselung gestartet. Die Kriminellen passen den Erpresserbetrag dann genau so an, dass das Unternehmen sich eine Zahlung noch leisten kann. Bislang gab es meist einheitliche Forderungen – egal, ob der Rechner einer Privatperson gehört oder einem weltweit tätigen Unternehmen.