Nach wie vor tun sich Unternehmen schwer damit, Sicherheitsrisiken zu erkennen und zu beheben, während mit zunehmender Digitalisierung die Einfallstore für Cyber-Kriminelle immer größer werden.
4,35 Millionen US-Dollar – so hoch sind weltweit die durchschnittlichen Kosten für Unternehmen bei Datenschutzverletzungen. Und die Kosten steigen mit jedem Jahr. Das Problem: Während Unternehmen sich schwertun, Sicherheitsrisiken zu erkennen und schnell zu beseitigen, finden Cyber-Kriminelle stetig neue Lücken und entwickeln ausgereiftere Methoden, um in Unternehmensnetzwerke einzudringen.
Der Oktober, als alljährlicher European Cyber Security Month, soll Unternehmen genau dafür sensibilisieren. Deswegen sollten IT-Verantwortliche die größten Schwachpunkte kenn, um ihr Unternehmen am besten schützen zu können.
- Trennung zwischen IT und Security: Die Sicherheit spielte in der Softwareentwicklung lange Zeit nur eine untergeordnete Rolle. Und auch heute, angesichts der Tatsache, dass Anwendungen immer schneller (weiter-)entwickelt werden müssen, um die sich verändernden Nutzerbedürfnisse schnellstmöglich zu befriedigen, werden Sicherheitstests oft als unnötige Verzögerung empfunden. Doch sie sind entscheidend, um etwaige Schwachstellen im Code zu finden und zu beheben, bevor Anwendungen live gehen und Kriminellen Tür und Tor öffnen. Unternehmen sollten daher dem Shift-Left-Ansatz folgen und Wege finden, die Sicherheitsaspekte wesentlich früher und über den gesamten Softwarelebenszyklus zu integrieren. Neue Technologien setzen dafür beispielsweise schon bei einzelnen Dateien oder Teilapplikationen an. Ab dem ersten Moment, in dem eine Software konzipiert wird, muss die Sicherheit mitgedacht werden.
- Der Überblick fehlt: Ähnlich wie der Shift-Left-Ansatz ist auch das Konzept der Software Bill of Materials (SBOM) – es ist zwar nicht neu, kommt aber in vielen Unternehmen trotzdem noch nicht zum Einsatz. Gemeint ist damit eine detaillierte Auflistung aller einzelnen Komponenten einer Software und ihrer Beziehung innerhalb der Softwarelieferkette. Dies ermöglicht Unternehmen nicht nur, einen genauen Überblick über aktuelle Schwachstellen zu gewinnen, die es zu zügig zu beheben gilt. Sondern es beschleunigt zudem auch ihre Reaktionszeit im Falle eines Angriffs oder wenn neue Sicherheitslücken, etwa in Bibliotheken von Drittanbietern, entdeckt werden. Doch es reicht nicht aus, einmalig eine SBOM zu erstellen und diese in (un)regelmäßigen Abständen zu aktualisieren. Stattdessen sollten Unternehmen Analyse-Tools integrieren, die Informationen zu Software, genutzten Bibliotheken oder Open-Source-Code in Echtzeit liefern.
- Neue Technologien, neue Risiken: Zwar ist das Bewusstsein für eine Vielzahl von Risiken, beispielsweise in der Lieferkette von Open-Source-Bibliotheken, in den IT-Abteilungen in den letzten Jahren gestiegen. Doch mit der Nutzung und Integration neuerer Technologien entstehen auch neue Risiken, die nicht zwingend in Echtzeit überwacht werden können. So gewinnen beispielsweise Serverless Computing und Function as a Service (FasS) in der Welt der Softwarearchitektur derzeit immer mehr an Bedeutung. Jedoch werden die entsprechenden Anbieter regelmäßig Ziel von Angriffen und sind nicht ohne Schwachstellen. Unternehmen sollten sich deshalb vor der Einführung und Nutzung neuer Technologien etwaige Sicherheitsrisiken bewusst machen. Darauf basierend müssen sie auch entscheiden, wie sie ihre eigene Sicherheitsstrategie anpassen oder ob sie eher weitere Security-Tools implementieren, um Anwendungen und Daten vor Kriminellen zu schützen.
- Gefahren aus dem Inneren: Am Ende des Tages sind die eigenen Mitarbeiter immer noch eines der größten Sicherheitsrisiken für Unternehmen. Diese Insider können bewusst oder unbewusst großen Schaden anrichten, indem sie etwa Firmengeheimnisse verkaufen, Datensätze löschen oder durch Social-Engineering-Angriffe manipuliert werden. Um dieses Risiko zu senken, sollten Unternehmen zum einen durch Schulungen das Sicherheitsbewusstsein in ihrer Belegschaft erhöhen und eine vertrauensvolle, kollegiale Unternehmenskultur fördern. Zum anderen können Security-Tools zum Einsatz kommen. Beispielsweise analysieren Lösungen für User Entity Behavior Analytics (UEBA) Daten, um Muster auf Benutzer- und Unternehmensebene zu erkennen und aufzudecken, die womöglich auf schädliches Verhalten von Mitarbeitern hinweisen. So können Sicherheitslücken minimiert werden, bevor sie überhaupt entstehen.
Laurent Strauss ist Chief Cyber Security Strategist bei Micro Focus.