Auch die komplexesten Attacken – neben den opportunistischen – starten oft mit ganz einfachen Werkzeugen. Viele Cyber-Sicherheitsverantwortliche vergessen aber zu häufig, dass auch einfache, grundlegende Sicherheitsmaßnahmen die eigene Abwehr stärken können.
Grundsätzliche Verhaltensmaßregeln für einen sicheren Umgang mit IT verhindern nicht wenige Versuche, in Unternehmensnetze einzudringen. Die folgenden „Gebote zur IT-Sicherheit“ bieten einen weitreichenden Schutz für Systeme, Applikationen und Informationen. Viele davon sind zwar bekannt und werden trotzdem immer wieder vernachlässigt.
Regel 1: Sich sicher im Internet bewegen
Von Trojanern mit E-Mail-Anhängen bis hin zu täuschend ähnlich nachgemachten Log-In-Seiten oder zum gezielten Sammeln von Informationen durch Social Engineering: Am Anfang auch komplexer und umfassender Infiltrationen in das Unternehmensnetz stehen Verstöße gegen einfachste Richtlinien der Internetsicherheit. Sich an diese zu halten, kann gar nicht oft genug betont werden. IT-Sicherheitsverantwortliche müssen Ihre Mitarbeiter davor warnen:
- keine Links auf unbekannte Quellen anzuklicken;
- keine Software aus nicht vertrauenswürdigen Quellen herunterzuladen; sowie
- Richtlinien für den Umgang mit Unternehmensinformationen in soziale Medien herausgeben.
Regel 2: Mit Routine Phishing-Kampagnen abwehren
Neun von zehn Attacken beginnen mit einer oft gut als solche erkennbaren Phishing-Mail. Diese zu erkennen, sollten Mitarbeiter daher regelmäßig üben. Unternehmen sollten intern regelmäßig Phishing-Kampagnen simulieren, um beim Mitarbeiter das Bewusstsein für die Gefahr wachzuhalten und um Betroffene gleichzeitig auf neueste Gefahren hinzuweisen.
Regel 3: Software-Sparsamkeit
Zentral sind der Überblick und die Kontrolle über die tatsächlich im Unternehmen eingesetzte Software. Beides ist aber nicht immer gegeben. Je weniger Software im Einsatz, umso unwahrscheinlicher sind unnötige Komplikationen durch potenzielle Software-Schwachstellen. IT-Administrationen sollten zudem wissen, welche Software in welcher Version vorhanden ist, um Software-bedingte Schwachstellen schließen zu können. Auch wenn IT-Administratoren nicht die vollständige Kontrolle gerade über Schatten-IT-Tools aufrechterhalten können, empfiehlt es sich:
- ein zentrales Repository zu pflegen, die nur die für den täglichen Betrieb notwendige Software des Unternehmens in aktueller Version bereitstellt;
- nicht autorisierte Software nicht zu verbieten, aber zu überwachen und festzulegen, welcher Gebrauch akzeptiert ist; sowie
- Legacy-Software zu entfernen, ehe sie zum Sicherheitsrisiko werden kann.
Regel 4: Die Umgebung auf den neuesten Stand halten
Aktuelle Sicherheits-Patches einzuspielen, ist eine der einfachsten und immer noch am häufigsten vergessenen Abwehrmöglichkeiten. Zentral ist es daher:
- auch die Benutzer regelmäßig auf Software-Updates hinzuweisen;
- das Patch-Management über Active Directory und PowerShell-Skripte zu automatisieren; sowie
- Tools wie Microsoft Intune zu nutzen, um die nötigen Update-Prozesse sicherzustellen.
Regel 5: Privilegien-Sparsamkeit
Nicht jeder Nutzer muss über sämtliche Funktionalitäten und Rechte einer Anwendung verfügen. Ein Mitarbeiter im Vertrieb benötigt in der Kommunikation in der Regel nur einige unumgängliche Funktionalitäten etwa für die E-Mail-Korrespondenz mit Dateianhängen. Er benötigt aber keine Rechte zu Power-Shell-Skripten, durch die Hacker mit Makros infizierte Office-Dokumente in Anhängen implementieren und ausführen können. Es gilt daher nicht nur hier:
- so wenig Rechte wie möglich zu vergeben;
- Gruppenrichtlinien festzulegen oder uneingeschränkte Benutzer-Rechte einzuschränken oder zu löschen;
- lokale Benutzer möglichst ohne Administratorrechte anzulegen; sowie
- sofern möglich Nutzerrollen in der Organisation zu trennen, um den Zugriff auf Tools und Informationen einzuschränken.
Regel 6: Nicht nur auf externe Experten bauen und auf Basis-Technologien der IT-Abwehr verzichten
Kein IT-Unternehmen kommt ohne externe Hilfe aus. Doch auch diese Sicherheitsexperten benötigen lokale Unterstützer-Technologien. Ein externes Security Operation Center (SOC)etwa im Rahmen eines Managed-Detection-and-Response-Dienstes erkennt Seitwärtsbewegungen und komplexe Attacken, wenn deren Urheber bereits im Netz Fuß gefasst haben und versuchen, sich weiter im Opfernetz auszubreiten.
Eine MDR ersetzt aber nicht den Schutz durch diese IT-Abwehrtechnologien. Sicherheit auszulagern, ist eine Illusion. IT-Sicherheitsverantwortliche sollten nicht auf Folgendes verzichten:
- eine flächendeckende Endpoint Detection and Response;
- eine Perimeter-Firewall für öffentlich verfügbare Server-Endpunkte oder eine Web-Application-Firewall für externe Anwendungen sowie für Anmelde- oder Administrator-Portale;
- einen Next-Generation-Malware-Schutz auch gegen Phishing; sowie
- eine zwingend vorgeschriebene VPN-Verbindung für alle Remote-Arbeitsvorgänge anstelle ungesicherter Fernzugriffsprotokolle wie Secure Shell (SSH), File Transfer Protocol (FTP), Remote Desktop Protocol (RDP) und Server Message Block (SMB), die möglicherweise dem öffentlichen Internet ausgesetzt sind.
Regel 7: Passwort-Disziplin
Nutzer machen sich wenig Mühen mit Passwörtern und entscheiden sich zu oft für den einfachsten Weg, um Anmeldeinformationen zu erstellen und zu verwalten. Eine Multi-Faktor-Authentifizierung (MFA) und die Vorschrift, starke Passwörter zu verwenden, senken erheblich die Wahrscheinlichkeit, dass Hacker Benutzerkonten kompromittieren.
IT-Administratoren müssen zwischen verschiedenen Angeboten abwägen. Für eine MFA können je nach Unternehmen physische Token, Applikationen oder SMS-basierte Tools das geeignete Mittel der Wahl sein, unter Umständen mit anderen Diensten verbunden werden und Kosten sparen.
Regel 8: Hygiene für Wechseldatenträger
Wechseldatenträger lassen sich im Geschäftsalltag nicht immer vermeiden. Dennoch sollten IT-Verantwortliche durch Alternativen ihren Gebrauch reduzieren oder zumindest den vorsichtigen, sorgfältigen Umgang fordern. Dazu gehören:
- ein Pflicht-AV-Scan nach jedem Nutzen;
- SharePoint oder DSGVO-konforme Cloud-Dienste zum Speichern und Teilen von Dateien; sowie
- das Blocken von Wechseldatenträgern aus unbekannten oder nicht vertrauenswürdigen Quellen.
Regel 9: Mit Backup für den Ernstfall vorbereitet sein
Keine IT-Sicherheit kann einen erfolgreichen Angriff für alle Zukunft ausschließen. Backup und Recovery können in diesem Fall die Informationen retten, sofern Unternehmen der Datensicherung die angemessene Aufmerksamkeit entgegenbringen. Dazu gehören:
- eine redundante Sicherung der Daten an verschiedenen Orten;
- zusätzliche, regelmäßig verwaltete Backups durch Remote- und/oder Cloud-Backup-Dienste; sowie
- das Testen der Sicherheitskopien und der notwendigen Abläufe, um Daten wiederherzustellen.
Regel 10: Physische Sperren und Aufsicht über Hardware
Dieser letzte Tipp mag offensichtlich erscheinen, wird aber in vielen Unternehmen völlig vernachlässigt. Der unerlaubte physische Zugriff auf einen Rechner ist aber sowohl im Büro wie auch bei Mitarbeitern im Außendienst eine Gefahr. IT-Sicherheitsverantwortliche sollten ihre Mitarbeiter hinsichtlich Hardwaresicherheit unterstützen, indem Sie Sicherheitsschlösser etwa für Notebooks anschaffen. Vorgesetzte sollten Mitarbeiter daran erinnern, ihre mobilen Geräte zu sichern, wenn sie das Büro verlassen. Auch eine Verschlüsselung lokaler Daten at Rest bietet einen wichtigen Grundschutz der Informationen.
Sowohl mit kleinen Maßnahmen als auch mit grundlegenden Sicherheits- und Managementtechnologien lässt sich die Sicherheit der Unternehmens-IT deutlich erhöhen. Gerade in der Vorbeugung von Angriffen tragen schon einfache Maßnahmen einiges bei, um eine große Zahl von Attacken ins Leere laufen zu lassen. (rhh)