[datensicherheit.de, 10.12.2021] Daten sind wertvoll – kein Wunder also, dass Cyber-Kriminelle diesen mit hohem Aufwand nachjagen. Anurag Kahol, „CTO“ bei Bitglass, einem Unternehmen von Forcepoint, erläutert in seiner aktuellen Stellungnahme, wie sie dabei vorgehen, auf welche Arten sie diese verwerten und inwieweit Unternehmen das Bewusstsein ihrer Mitarbeiter für Cyber-Angriffe schärfen können.

Foto: Bitglass

Anurag Kahol: In Belegschaften mitunter der Glaube, Unternehmensdaten könnten für Hacker keine interessante Beute sein…

Vorstellung über Hacker oftmals von Stereotyp geprägt

„Social Engineering“-Angriffstaktiken wie beispielsweise Phishing forderten nicht nur technische Vorsichtsmaßnahmen, sondern auch ein entsprechendes Risikobewusstsein auf Seiten potenzieller Opfer. Kahol führt aus: „Ihr Verhalten kann größeren Schaden verhindern, sollte es zu einem Angriff kommen, der technische Schutzmaßnahmen umgeht. Leider hält sich in Belegschaften mitunter hartnäckig der Glaube, die Unternehmensdaten könnten für Cyber-Kriminelle keine interessante Beute sein.“
Dazu trage vor allem eine Fehleinschätzung des Gegenübers bei. Die Vorstellung von Hackern sei „in der breiten Masse der Bevölkerung“ von einem Stereotyp geprägt: „Der talentierte Programmierer, der als Einzelgänger Ziele aussucht, um sein Können zu erproben. Ein Bild, das in den frühen Zeiten des Internets entstanden ist und nicht zuletzt mit Hilfe der Popkultur bis heute nicht ganz aus den Köpfen verschwunden ist.“

Hacker mittlerweile stark professionalisiert

In den vergangenen Jahrzehnten jedoch habe sich die Cyber-Kriminalität stark professionalisiert. Im Digitalen Zeitalter seien Daten zu einem wertvollen Gut geworden, für welches ein großer Markt existiere. „Und es gibt zahlreiche Akteure, die von der Nachfrage profitieren möchten, notfalls auch jenseits des legalen Geschehens. Es überrascht daher wenig, dass das ,Dark Web‘ sich in den vergangenen Jahren zu einem immer größeren Datenumschlagplatz entwickelt hat“, so Kahol.
Dies gehe aus einer aktuellen Studie von Bitglass hervor. Dazu sei ein falscher Daten-„Honeypot“ über das sogenannte Darknet geteilt und die Zugriffe und Weiterleitung der Daten mit eigener Wasserzeichentechnologie verfolgt worden.

Erkenntnisse aus Honeypot-Versuch für Hacker im Darknet

Die Ergebnisse lieferten einen Einblick in die Beschaffenheit des „Dark Web“ und den Umgang mit illegalen Datensätzen:

Anonymität vereinfacht finstere Machenschaften
Das „Dark Web“ werde immer mehr zum Raum der Anonymität. 2015 seien bereits 67 Prozent der Besucher anonym unterwegs gewesen, gegenüber 2021 mit bereits 93 Prozent. „Dabei waren im Einzelhandel 36 Prozent der Klicks anonym, auf Seiten von Behörden waren es 31 Prozent.“

Daten aus dem Einzelhandel und aus Regierungskreisen besonders beliebt
Die größte Aufmerksamkeit der anonymen „Dark Web“-Nutzergemeinde hätten vermeintliche Daten aus dem Einzelhandel (36 Prozent) und von der US-Regierung (31 Prozent) erlangt.

Cyber-Kriminalität ist international
Während die Aufmerksamkeit häufig auf cyber-kriminelle Handlungen von östlichen Nationalstaaten gelenkt werde, zeige sich, dass IP-Adressen von mutmaßlichen Hackern auch aus US-Staaten, Schweden, Belgien sowie Deutschland stammten.

Gestohlene Daten haben eine große Reichweite und schnelle Verbreitung
„Gelangen Daten ins ,Dark Web‘, können sie weite Kreise ziehen. Binnen 24 Stunden wurden die bereitgestellten Datensätze 1.100-mal aufgerufen.“ Im Jahr 2015 habe es noch zwölf Tage gedauert, um diese Marke zu erreichen. Zudem seien die gesichteten Daten elfmal schneller über alle fünf Kontinente hinweg verbreitet worden.

Hacker rekrutieren eifrig Nachwuchs und nutzen moderne Technologien

Verglichen mit den Ergebnissen des Experiments aus dem Jahr 2015 lasse sich eine klare Entwicklung feststellen: „Der illegale Handel mit Daten floriert und die anonymen Nutzer, die daran Interesse zeigen oder sich gar beteiligen, werden immer mehr.“ Ergänzt werde dies durch einen weiteren beunruhigenden Trend:
Die Cyber-Kriminalität rekrutiere eifrig Nachwuchs und nutze moderne Technologien, um programmier-affinen Neulingen den Einstieg in die finstere Branche zu erleichtern. Die rekrutierten Personalkapazitäten würden wiederum gebündelt, angeleitet und strategisch eingesetzt.

Strategie und Angriffsmotivation der Hacker identifizieren!

Derartige Erkenntnisse sollten Unternehmen nutzen, um ihren Mitarbeitern ein realistisches Bild von Cyber-Kriminellen zu vermitteln. Sie könnten dabei helfen, die Motivation und die Strategie hinter Cyber-Angriffen zu verstehen und im Ernstfall die Risiko-Einschätzung zu treffen. Folgende Lektionen sind laut Kahol in diesem Zusammenhang wichtig:

1. Unternehmen und deren Daten können Primärziel sein
„Dies ist in der Regel das erste Szenario, das man für möglich hält. Industriespionage ist ein klassischer Beweggrund hinter derartigen Angriffen.“ Mit der Professionalisierung der Cyber-Kriminalität gebe es auch dafür neue Möglichkeiten: Beispielsweise könnten Wettbewerber Akteure aus dem „Dark Web“ mit einem „Hack“ oder dem Entwenden bestimmter Unternehmensdaten beauftragen, so dass auch diese künftig häufiger auftreten könnten.

2. Daten-Ausbeute hat nicht immer unmittelbaren monetären Wert
Manche Betriebe seien für Hacker nur deshalb interessant, „weil sie in Geschäftskontakt mit größeren Unternehmen, also lukrativeren und entsprechend schwierigeren Angriffszielen, stehen“. Mit Angriffen auf Dienstleister und Zulieferer versuchten Cyber-Kriminelle durch Entwendung von Daten Wege zu finden, übergeordnete Ziele zu infiltrieren. Der E-Mail-Austausch zwischen authentischen Ansprechpartnern könne bereits helfen, um eine glaubhafte Betrugskampagne gegen ein Partnerunternehmen aufzusetzen.

3. Hacker nutzen breite Sammelkampagnen
Darüber hinaus gebe es auch breit angelegte Datendiebstahl-Kampagnen, welche nicht speziell auf einzelne Unternehmen zugeschnitten seien, sondern lediglich auf eine vielfältige Daten-Ausbeute abzielten. Geeignete Datensätze aus derartigen Kampagnen würden in der Regel an Akteure weitergegeben, „die für kriminelle Projekten mit größerem Umfang Verwendung dafür haben könnten“.

Verständnis schaffen für richtigen Umgang mit diffuser Bedrohung durch Hacker!

„Hacker-Angriffe sind für Unternehmen seit jeher eine diffuse Bedrohung. Um eine ,Zero Trust‘-Sicherheitsstrategie möglichst wirksam zu etablieren, sollten Unternehmen ihren Mitarbeitern helfen zu verstehen, welche Zielsetzungen hinter einem Datendiebstahl stecken können und welche Angriffstaktiken dafür genutzt werden“, so Kahol.
Mit einem derartigen umfassenden, realistischen Bild der Angreifer seien Mitarbeiter wachsamer gegenüber möglichen Risiken und reflektierten ihr eigenes Verhalten kritischer. „Im Falle eines Angriffs, der auf ,Social Engineering‘-Taktiken setzt, können sie so mit größerer Wahrscheinlichkeit die richtige Entscheidung treffen und Schäden abwenden.“

Weitere Informationen zum Thema:

bitglass
2021 Where’s Your Data? Experiment Report

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht

[datensicherheit.de, 15.03.2021] Der Wechsel ganzer Belegschaften vom Büro ins sogenannte Home-Office bringe für IT-Security-Verantwortliche einen großen Verlust an Kontrolle mit sich. Entsprechend empfänden nicht alle IT-Admins die Aussicht auf dauerhafte „Remote Work“ als erfreulich. „Ist man jedoch bereit, die Gestaltungsprinzipien der IT-Security grundlegend zu überdenken, lässt sich das gewohnte Niveau an Kontrolle und Sicherheit beibehalten“, erläutert Anurag Kahol, „CTO“ bei Bitglass, und zeigt Möglichkeiten auf.

Bild: Bitglass

Anurag Kahol: Gestaltungsprinzipien der IT-Security grundlegend überdenken, um gewohntes Niveau an Kontrolle und Sicherheit beizubehalten!

Nachrangige IT-Security: Im Home-Office kontrollieren Benutzer Geräte und Software mehr oder weniger selbst

Kahol führt aus: „Für IT-Security-Verantwortliche muss sich ein abrupter Wechsel vom Büro- in den vollständigen Remote-Betrieb wie ein Umzug aus einer soliden ummauerten Villa in den Wilden Westen anfühlen. Traditionelle Grenzen des On-Premises-Betriebs und damit auch die Kontrolle, die dieser bietet, gibt es nicht mehr.“ Im Home-Office kontrollierten die Benutzer Geräte und Software mehr oder weniger selbst.
„Und damit fangen für IT-Admins die Schwierigkeiten an“: Der zu sichernde Bereich potenziere sich schlagartig. Nur ein Klick auf einen bösartigen E-Mail-Anhang, das Surfen auf einer Website mit Malware, ein offenes WLAN-Netzwerk oder ein ungesichertes Endgerät, das ein Mitarbeiter nutzt, könne Angreifern Zutritt zur IT-Unternehmensinfrastruktur verschaffen, wo sie noch größeren Schaden anrichten könnten.

Produktivitätsdruck kann IT-Security im Home-Office erheblich beeinträchtigen

Ausschließlich auf die Besonnenheit und Zuverlässigkeit der Belegschaft zu vertrauen, wäre ein schlechter Rat. Selbst mit ausführlicher Sensibilisierung bestehe vor allem in Stress-Situationen die Wahrscheinlichkeit, dass Mitarbeiter entgegen besseren Wissens einen riskanten Fehler machten. Kahol warnt: „Der Druck, produktiv zu sein, ist für Arbeitnehmer im Home-Office ohnehin schon leicht erhöht.“
Tatsächlich komme die Unternehmensberatung McKinsey zu dem Schluss, dass „Remote Work“ im Jahr 2020 die seit Langem bestehenden Herausforderungen der Cyber-Sicherheit – physische und psychologische Stressfaktoren, welche Mitarbeiter dazu zwingen würden, Kontrollen zu umgehen, um ihre Aufgaben zu erledigen – verstärke. „Kurz gesagt: Der Produktivitätsdruck kann die Sicherheit im Home-Office erheblich beeinträchtigen.“

Durchsetzen von Datensicherheits-Richtlinien muss über diverse IT-Security-Anwendungen hinweg sichergestellt werden

Um auch unter diesen Bedingungen ein ausreichendes Sicherheitsniveau herzustellen, griffen IT-Admins zu den Tools, die sich im regulären Bürobetrieb für die Anbindung weniger externer Teilnehmer im Bürobetrieb bewährt hätten: In erster Linie kämen Firewalls, Anti-Viren-Programme und VPN-Verbindungen als Sicherheitsvorkehrungen für den Zugriff auf Unternehmensressourcen zum Einsatz.
Für die IT-Manager bedeute dieser Ansatz einen spürbaren Mehraufwand: „Sie müssen neue oder gegebenenfalls die persönlichen Endgeräte der Mitarbeiter absichern und die dort installierte Software stets aktuell halten.“ Das Durchsetzen von Datensicherheits-Richtlinien müsse über diverse Security-Anwendungen hinweg sichergestellt werden. „Verursacht die Firewall bei einer hohen Nutzerauslastung Bandbreitenprobleme bei den Anwendern, sehen sich die IT-Admins mit einem erhöhten Aufkommen an Support-Anfragen konfrontiert. Alles in allem: Weniger Kontrolle, erhöhte Sicherheitsrisiken und suboptimale Managementprozesse.“

Auf IT-Security-Ebene geht Kontrolle verloren – doch Unternehmensführung gewinnt Geschmack an neuen Wegen

Was auf der IT-Security-Ebene dabei an Kontrolle verloren gehe, gewinne die Geschäftsebene hinzu. Im digitalisierten Unternehmen ließen sich neue Wege der Unternehmensführung einfacher umsetzen, da die IT-Gestaltung schnelle, effiziente Umstrukturierungen zulasse. Daher solle in vielen Firmen „Remote Work“ künftig zumindest für Teile der Belegschaft dauerhaft beibehalten oder allgemein als Option bestehen bleiben.
Einer Umfrage von Gartner nach wollten 74 Prozent der Unternehmen nicht, dass ihre Mitarbeiter in ein Büro zurückkehren. Führungskräfte auf der ganzen Welt drängten darauf, so schnell wie möglich neue Remote-Geschäftsprozesse zu etablieren, und sie seien bereit, das dafür notwendige Budget bereitzustellen.

IT-Security für Remote-Szenarien neu zu entwickeln!

„IT-Security muss für Remote-Szenarien neu entwickelt werden“, betont Kahol. Die Ankündigung von dauerhafter „Remote Work“ scheine für viele IT-Admins zunächst keine erfreuliche Aussicht zu sein. „Für sie bedeutet dies, eine größere Menge an Risiken mit umständlicheren Methoden zu managen. Das ist jedoch nur auf den ersten Blick der Fall. Bei genauer Betrachtung zeigt sich, dass das IT-Management von ,Remote Work‘ im Jahr 2020 meist nur auf Grund der kurzfristigen Umsetzung derart aufwändig war.“
Die Nutzung von VPN-Verbindungen und Firewalls sei zwar ein geeigneter Weg, um im Bürobetrieb einigen wenigen Mitarbeitern Remote-Zugriff zu erlauben. Werde dieser Ansatz jedoch auf die gesamte Belegschaft ausgerollt, erweise er sich als umständlich und wenig leistungsfähig.

Stärkung der IT-Security: Prozesse so einfach wie möglich halten!

„Neue Möglichkeiten entstehen jedoch, wenn man sich von dem Prinzip ,Notfall-Remote für alle‘ löst und bereit ist, die Gestaltung seiner IT-Security von Grund auf neu zu denken“, erläutert Kahol. Konsolidierung könne dabei ein grundlegender, erster Schritt sein: „Wenn Unternehmen ihre On-Premises-Implementierungen vollständig in die Cloud verlagern, lässt sich deren Verwaltung vereinfachen.“
Die Anwendung von Richtlinien lasse sich durch „Policy Engines“, welche Security-Tools wie CASBs oder SWGs anleiteten, zentral durchführen. „Wenn Prozesse so einfach wie möglich gehalten werden, sinkt auch die Wahrscheinlichkeit, dass Schwachstellen unbemerkt bleiben, da eine fragmentierte Sicherheitsumgebung, die sich nur schwer kontrollieren lässt, auf diese Weise vermieden wird.“

Im Remote-Betrieb schnell Balance zwischen IT-Security, Verfügbarkeit und Produktivität herzustellen

Effektive Konsolidierung und Vereinfachung erlaubten ein kosteneffizienteres Arbeiten. Bereitstellungen und deren Konfigurationen ließen sich innerhalb von Tagen statt Wochen durchführen und ermöglichten es Unternehmen, im Remote-Betrieb schnell die Balance zwischen Sicherheit, Verfügbarkeit und Produktivität herzustellen.
„Zu guter Letzt sollte sichergestellt werden, inwieweit ein neuer Ansatz resilient gegenüber künftigen Bedrohungen und Entwicklungen ist.“ Die Infrastruktur sollte in der Lage sein, sich schnell und dynamisch an Änderungen der Arbeitslast anzupassen, und gleichzeitig Engpässe im Backhaul-Verkehr zu vermeiden, welche sich im Laufe der Zeit auf die Produktivität auswirken könnten.

Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält IT-Security entscheidende Bedeutung

Die Verlagerung auf „Remote Work“ sei ein weiterer Meilenstein der voranschreitenden Digitalisierung. Kahol betont: „Wenn Geschäftsprozesse vorwiegend digital abgewickelt werden, erhält die IT-Security eine entscheidende Bedeutung.“
Dieser könnten Unternehmen nur gerecht werden, „wenn sie bereit sind, die Gestaltung ihrer IT-Security grundlegend neu zu denken“. Mit den beschriebenen Grundsätzen schafften IT-Admins geeignete Voraussetzungen, um den IT-Bedrohungen einen Schritt voraus zu sein und gleichzeitig so effizient zu arbeiten wie in On-Premises-Umgebungen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.10.2020
Home-Office: Arbeitnehmer weltweit in neue Routinen gedrängt / Paolo Passeri erklärt, wie sich die Cyber-Sicherheit durch Corona und Home-Office verändert hat

datensicherheit.de, 08.10.2020
TÜV SÜD: Tipps zur IT-Sicherheit für Rückkehr aus dem Home-Office / Arbeiten im Home-Office während der Corona-Krise hat Angriffsfläche spürbar vergrößert

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe

datensicherheit.de, 29.09.2020
KMU: Home-Office als Einfallstor für Cyber-Kriminelle / Malwarebytes-Bericht offenbart massive Sicherheitslücken durch Mitarbeiter im Home-Office