Cybersecurity-Update: Ex-Hacker und Director Technical Support blicken auf Bedrohungen
Cyberattacken sind für viele Unternehmen zum Endgegner geworden. Die Schäden fallen oft immens aus, obwohl die meisten Entscheider um die Wichtigkeit passender Vorkehrungsmaßnahmen wissen. Wir haben mit Ex-Hacker Mark Semmler und Steffen Köhler, unserem Director Technical Support, darüber gesprochen, welche Bedrohungen es aktuell gibt, was in Zukunft auf uns zukommt und wie Sie als IT-Dienstleister gewappnet sind.
Welchen Bedrohungen sind Unternehmen derzeit ausgesetzt?
Mark Semmler: Die größte Bedrohung ist ganz klar weiterhin die Ransomware-Welle, die eine gigantische Menge an Unternehmen unterschiedlichster Größe beißt, frisst und sogar zerstört. Besonders wichtig für Systemhäuser: Viele der Betroffenen, also die Kunden, haben eine Cyberversicherung, die nach dem Motto ‘Wir lassen unsere Kunden nicht im Regen stehen’ arbeitet. Sprich: Im Schadensfall wird häufig gezahlt, allerdings schauen die Versicherungen ganz genau hin, warum der Schaden eintreten konnte und holen sich das Geld von den Systemhäusern zurück. Für IT-Dienstleister ist Ransomware also ein Lackmustest, ob grundlegende Dinge sauber gelaufen sind, beispielsweise die Datensicherung: Gibt es ein Backup? Ist es rundum getestet? Und ist es so aufgebaut, dass Ransomware-Angreifer nicht an die Daten kommen? Wenn Systemhäuser eine der Fragen mit Nein beantworten, sollten sie schleunigst tätig werden und den Kunden genau erklä-
ren, was ein gutes Backup ist und warum es heute enorm wichtig ist – bitte am besten via Einschreiben, dass Handlungsbedarf besteht. Ansonsten kann das böse für Systemhäuser enden.
Steffen Köhler: Neben diesen von Mark Semmler erwähnten Ransomware-Attacken beobachten wir auch weiterhin Zero-DayExploits, bei denen Schwachstellen in einer Software oder einem Betriebssystem ausgenutzt werden, für die noch keine Sicherheitspatches verfügbar sind. Und Spam sowie Phishing-Mails hören nicht auf – im Gegenteil: Es wird immer stärker versucht, durch betrügerische Nachrichten an Zugangs- und Kreditkartendaten zu kommen.
„Ransomware hat eine sehr hohe Professionalisierung erreicht!“
Mark Semmler Ex-Hacker und IT-Sicherheitsberater
Wie sind Hacker organisiert? Wie arbeitet der klassische Cyberkriminelle? Lässt sich dort ein Wandel erkennen?
Mark Semmler: Die Zeit der engagierten Amateure ist seit Jahren vorbei. Besonders im Ransomware-Bereich haben wir es mit mehr als 100 Gruppen zu tun, die arbeitsteilig organisiert sind und Merkmale klassischer Unternehmen aufweisen. Teilweise arbeiten sie mit Zeitnachweisen, durch die klar erkennbar ist, wann ein Hacker welchen Schritt vorgenommen hat, um ein Opfer zu übernehmen. Wir haben es dementsprechend mit einer Mafia in Version 4.0 zu tun, die enorm hohe Umsätze erzielt. Hinzu kommen natürlich auch noch staatliche Akteure unterschiedlichster Nationen, die aktuell über noch deutlich mehr Möglichkeiten verfügen, wobei sich die beiden Gruppen immer weiter angleichen. Fakt ist: Ransomware hat eine sehr hohe Professionalisierung erreicht.
Wie wichtig ist der Faktor Mensch/die Mitarbeitersensibilisierung?
Mark Semmler: Das Thema fängt für mich bei der Unternehmensführung an, getreu des Sprichwortes ‘Der Fisch stinkt vom Kopfe her‘. Wenn ich meinen Mitarbeitenden nicht verbindlich mitteile und erkläre, was sie tun und was sie nicht tun dürfen und warum, kann ich nicht sauer sein, wenn Probleme auftreten. Hier ist schon ein kurzes Paper mit verbindlichen Regeln ein guter Anfang. Denn es gilt: Sicherheit ist subjektiv und das gefühlte “richtige” Maß an Sicherheit unterscheidet sich von Mensch zu Mensch. Hier muss die Unternehmensleitung ihre Führungsaufgabe wahrnehmen und definieren, was von den Mitarbeitern erwartet wird. Fordern allein reicht natürlich nicht. Danach kommt die Befähigung, die Anforderungen auch umsetzen zu können: Ich muss erklären, sensibilisieren und schulen – das ist gut investiertes Geld und man hat auf einen Schlag 70-80 % weniger Probleme.
Steffen Köhler: Für diese angesprochene Mitarbeitersensibilisierung haben sich besonders Lösungen bewährt, die anhand echter Szenarien schulen und automatisiert täuschend echte Simulations-E-Mails an Mitarbeiter versenden, um das Sicherheitslevel zu überprüfen. Hornetsecurity bietet das beispielsweise mit dem Security Awareness Service an. Mithilfe umfangreicher Auswertungen behält die Unternehmensführung dabei jederzeit den Überblick, wie es um die Sicherheitssensibilisierung bei den eigenen Mitarbeitern bestellt ist.
Welche künftigen Cyberattacken sind zu erwarten? Was ist für die Zukunft wichtig?
Mark Semmler: Ich habe meine Glaskugel leider gerade in der Reinigung. (lacht) Ransomware wird auch in den nächsten Jahren weiter eine große Rolle spielen und noch professioneller werden, da sie die Einnahmequelle schlechthin für Cyberkriminelle ist. Auf staatlicher Seite könnte ein weiterer Verteidigungsraum dazukommen – je nach Entwicklung der weltweiten Konflikte. Schon jetzt wird nicht mehr nur noch von ABC-, sondern von ABCD-Waffen gesprochen (D steht für Digital).
Wichtig für IT-Dienstleister wird auch die NIS2-Richtlinie ab dem kommenden Jahr sein. Verkürzt gesagt: Eine Gesetzgebung auf EU-Ebene, die weitere Schutzmaßnahmen für kritische Infrastrukturen fordert, im gleichen Zuge aber auch die Begrifflichkeit weiter fasst. Das bedeutet: Mehr Unternehmen werden in den Bereich kritischer Infrastrukturen fallen. Hier gilt es für Systemhäuser, noch professioneller zu arbeiten, um den steigenden Ansprüchen der eigenen Kunden gerecht zu werden und die oben erwähnten Rückzahlungsforderungen von Versicherungen zu vermeiden. Das heißt: Die Beratung muss unbedingt dokumentiert
werden, um nachweisen zu können, dass auf gewisse Gefahren hingewiesen wurde, sollte der Kunde nicht Folge leisten. Es reicht nicht, Beratung nur als Abverkaufsmittel für das eigene Portfolio zu sehen. Der Kunde muss ganzheitlich mit seinen Bedürfnissen abgeholt und unter Einhaltung von Richtlinien versorgt werden.
Und auch die künstliche Intelligenz wird uns vor Herausforderungen stellen, schließlich kann damit automatisiert Schadcode produziert werden. Gleichzeitig kann KI aber auch auf der "hellen Seite der Macht" Enormes leisten, z. B. bei der Erkennung und Abwehr von Gefahren.
Steffen Köhler: Volle Zustimmung! Besonders EDR-Lösungen, wie wir sie z. B. von Malwarebytes und N-able anbieten, arbeiten bereits jetzt mit der Erkennung potentieller Gefahren auf KI-Basis, indem das Systemverhalten analysiert und Bedrohungen so frühzeitig erkannt werden.
Aber auch der Mensch ist weiter gefordert, wenn es um die Erkennung von Deepfakes geht, die versuchen, im Rahmen von Social Engineering-Angriffen vertrauliche Daten durch gefälschte Stimmen und Videos zu erbeuten. Vorsicht gilt auch weiterhin bei Ex-Mitarbeitern, die Daten stehlen oder Systeme sabotieren können. Hier sind Sicherheitsrichtlinien und Zugriffsbeschränkungen entscheidend für IT-Dienstleister.
Dazu werden Supply-Chain-Attacken weiter zunehmen, bei denen auch Systemhäuser noch mehr in den Fokus geraten, indem Angreifer versuchen, durch Schadsoftware auf die Systeme von Endkunden zu kommen.
Wie können sich Unternehmen zusätzlich schützen?
Mark Semmler: Die Lösungen müssen individuell für das Unternehmen passen. Der erste Schritt eines Systemhauses sollte also sein, zunächst die Anforderungen an die Sicherheit des Kunden zu erfassen. Wer verlangt was in Sachen Informationssicherheit von meinem Kunden? Danach sollte man die Kernprozesse des Kunden erfassen, um zu schauen, wofür die IT eigentlich gebraucht wird und zu erkennen, was in Bezug auf die Anforderungen der Worst Case wäre. Klingt komplex, ist aber nicht viel Arbeit und es kommen spannende Zahlen zutage, z. B. welche Ausfallzeit der Kunde in seiner IT maximal in Kauf nehmen kann. Erst danach können die richtigen Lösungen gesucht werden, weil die Anforderungen und die Kernelemente der IT bekannt sind. Mit Bordmitteln kann ein Basisschutz umgesetzt werden, der durch organisatorische Regelungen und spezialisierte Produkte ergänzt werden muss, die miteinander verzahnt sind und unterschiedliche Teilbereiche abdecken. Die Administration muss dabei so einfach wie möglich sein, da die Manpower unter Umständen begrenzt ist. Setzt man jetzt noch eine kontinuierliche Verbesserung der Maßnahmen um, ist man auf einem sehr guten Weg.
Steffen Köhler: Mark hat in einer der vorherigen Fragen schon darüber gesprochen, aber es kann nicht oft genug betont werden: Backups, Backups, Backups! Bei EBERTLANG bieten wir zahlreiche Datensicherungslösungen für die unterschiedlichsten Anwendungsfälle. Beispielsweise lassen sich mit Altaro VM Backup und unserem Cloudspeicher EL storage ganz einfach Immutable Backups erstellen, die vor versehentlicher Löschung und Ransomware-Angriffen schützen. Auch Microsoft 365 ist vor Cyberattacken nicht sicher, hier bieten wir unter anderem Lösungen von N-able, Hornetsecurity, Cortex und OpenText
Patching ist auch ein ganz entscheidender Faktor, um Systeme auf dem aktuellsten Stand zu halten – idealerweise mithilfe von Automatisierung in Form einer RMM-Lösung, wie das ConnectWise und N-able anbieten. Zusätzlich sollte eine Software zur Schwachstellenidentifikation eingesetzt werden, um Netzwerke automatisiert nach potentiellen Angriffsmöglichkeiten in Anwendungen und Systemen zu durchsuchen, beispielsweise mit Malwarebytes
Und natürlich müssen Standards wie Endpoint-Security, beispielsweise von ESET oder Kaspersky, E-Mail-Firewalls und Passwortmanager weiterhin zum festen Inventar eines jeden IT-Dienstleisters gehören.
Gibt es rückläufige Formen von Bedrohungen?
Mark Semmler: Klares Nein! Wir haben immer noch die altbekannten Vektoren, die erfunden wurden, als die Gummistiefel noch aus Holz waren. (lacht) Und sie funktionieren heute noch. Klar sterben auch einzelne Dinge wegen ausgemusterter Technik aus. Die Grundprinzipien sind aber gleich geblieben. Deswegen haben wir noch einen langen Weg vor uns.
Was können Unternehmen von Ex-Hackern wie Ihnen lernen, Herr Semmler?
Mark Semmler: Wenn Sicherheit strukturiert angegangen wird, ist das Thema sehr einfach umzusetzen. Daher ist es zu einem ganz großen Teil eine Frage der Organisation. Meine Empfehlung für Systemhäuser und deren Kunden: Schauen Sie sich Regelwerke an. Da ist sehr viel enthalten, wie Informationssicherheit entspannt abgefrühstückt werden kann. Viele staunen, dass schnell und einfach Fortschritte erzielt werden können. Und: Wer sich strukturiert mit Informationssicherheit beschäftigt, der wird definitiv in den nächsten Jahren nicht arbeitslos werden.
Sie sind auf der Suche nach passenden Lösungen, um die Sicherheit bei Ihren Kunden weiter zu erhöhen? Unser Security-Team hilft Ihnen gerne weiter.
+49 (0)6441 67118-842
security@ebertlang.com
