Der Weg des geringsten Widerstands bei Cyber-Bedrohungen
Die IT ist heute in vielen Organisationen technisch besser geschützt als je zuvor. Ein Netzwerk-Scan bei jeder beliebigen Infrastruktur wird heute viel weniger Angriffsfläche als vor 20 Jahren identifizieren. Was sich in der gleichen Zeit nicht verändert hat, ist, dass Angreifer sich nicht gerne an professionell verschlossenen Tresortüren abmühen. Viel lieber benutzen Sie den noch offen stehenden Hintereingang, der vergessen ging. Das Sprichwort, wonach Sicherheit eine Kette sei und diese nur so stark wie das schwächste Glied ist, gilt weiterhin.
Automatisierte Angriffstools
Die Suche nach unzureichend gesicherten Netzwerkdienste ist dabei weiterhin beliebt, schliesslich zeigt die Liste der OWASP Top 10, dass im Allgemeinen genügend Schwachstellen ausprobiert werden können. Zur Ausnützung stehen auch für Laien (im Jargon „Script Kiddies“ genannt) einfach zu bedienende Angriffstools zur Verfügung.
Schlecht erzogenen Script Kiddies ermöglicht dies, Vandalismus an weitgehend zufällig gefundenen Systemen zu betreiben und dabei ihr sonst wohl angeschlagenes Selbstbewusstsein zu stärken. Wer gerne mit einer Räubergeschichte prahlen möchte oder vielleicht sogar einmal mit dem Ereignis eine Fussnote in den Medienberichten generieren möchte, ist fast am Ziel. In diese Kategorie dürften deutlich über 90% der Angreifenden fallen.
Mangelnde Übersicht und fachliche Überforderung
Mit einem gut umgesetzten IT Grundschutz müsste man solchen wenig raffiniert ausgeführten Bedrohungen in der Regel beikommen können. Denn auch im Witz der beiden Wanderer, die auf einen Bär treffen, meinte der Eine zum Anderen: „Ich muss gar nicht schneller laufen können als der Bär, es reicht wenn ich schneller bin als du.“ Übertragen auf die IT bedeutet dies, wenn der wahllos angreifende Troll nicht unmittelbar Erfolg hat und eine offen stehende Tür findet, wird dieser meist das Interesse verlieren und sich das nächste Opfer suchen, welches sich bereitwilliger piesacken lässt.
Doch beispielsweise sind zum Zeitpunkt, an dem dieser Artikel geschrieben wird, noch immer zehntausende Exchange Server nicht gegen zwei Schwachstellen geschützt, welche bereits seit 4 Monaten im Internet aktiv für Angriffe ausgenutzt werden. Und auch zu den durch den CVE-2022-26134 mit einem Severity-Rating von 9.8 von 10.0 möglichen Punkten betroffenen Confluence-Systemen, gibt es nach über 9 Monaten noch immer nicht gepatchte Systeme, welche nun teilweise auch nebenbei auch als Cryptominer für die Hacker arbeiten dürften. Wer in diesem Tempo vor einem Bären flüchtet, darf sich nicht wundern, falls es dann allenfalls nicht ganz reicht.
Dabei sehen sich viele Organisationen heute selbst als ganz ordentlich aufgestellt. So auch zum Beispiel der Fensterhersteller Swisswindows mit ehemals 170 Angestellten, welche nach einem Cyberangriff den Betrieb einstellen musste. Wer glaubt, er könne seine IT mit einer Handvoll interner Mitarbeiter ganz selbst betreiben, dürfte falsche Vorstellungen bezüglich der Breite der Bedrohungen und der Anzahl und Diversität der zu beherrschenden Applikationen, Services und Technologien haben. Selbst sehr kompetente Informatiker können schlicht nur noch einen sehr kleinen Teil aller nötigen Systeme im ausreichenden Umfang überblicken und laufend gegen neue Bedrohungen absichern. Dass der Arbeitsmarkt ausgetrocknet ist und erfahrene Mitarbeiter schwer zu finden sind, erschwert dies nur noch.
IT Grundschutz richtig umsetzen
Die meisten Organisationen beauftragen heute denn auch professionelle IT-Dienstleister mit dem Betrieb vieler Systeme. Und diese IT-Dienstleister kümmern sich immer seltener um einen kaum zu überblickenden Dschungel von unterschiedlichsten Systemen, sondern spezialisieren sich zunehmend auf ganz bestimmte Komponenten und Dienstleistungen, zu welchen sie umfangreiche Kompetenzen im Haus haben. Die restlichen Services werden bei wiederum spezialiserten as-a-Service Providern und Unterlieferanten eingekauft und in das Produktangebot hinzukombiniert.
Die durchschnittliche, technische Widerstandsfähigkeit der Systeme hat sich dadurch stark erhöht. Auch in KMU stehen die Hardwarekomponenten heute in grossen Rechenzentren und sind gegen Elementarschäden und unerlaubtem Zutritt gut geschützt. Für den Notfall gibt es Ausweichstandorte mit redundanter Hardware. Fällt ein Softwareservice aus, führen Cloud-Orchestrationssoftware wie Kubernetes ohne manuelle Eingriffe vollautomatische Failover durch und starten die Services einfach auf anderen Servern neu.
Technische Schwachpunkte aufstöbern
Wo gibt es in einer derart professionalisierten IT-Landschaft mit spezialisierten Anbietern noch technische Sicherheitslücken? Notorisch problematisch können dabei diejenigen Systeme und Prozesse sein, welche nur an der Peripherie zum Kerngeschäft der IT-Abteilungen liegen. Dort herrscht oft ein tieferer Reifegrad in den Betriebsprozessen und die vorhandenen Komponenten sind nicht zentral inventarisiert. Dort ist entsprechend die Wahrscheinlichkeit höher, dass technische Vorsichtsmassnahmen vergessen gehen. Dazu gehören beispielsweise:
- Systeme der sogenannten Schatten-IT, das heisst Systeme, die vom Business selbst auf eigene Faust betrieben werden, weil die IT keine passenden Lösungen bietet oder sich nicht zuständig fühlt. Das Problem hierbei ist nicht, dass diese nicht auch durch die IT Abteilung betreiben werden. Im Gegenteil, die aktuellen Trends in Richtung Mircoservices und Produktentwicklungsteams laufen genau in die Richtung, dass das Business sich stärker verantwortlich zeichnet. Das Problem liegt darin, dass diese im Schatten betrieben werden, das heisst, sie werden teilweise nicht in firmenweite Inventare aufgenommen und sind nicht in Standardprozessen wie das Security Management eingebunden.
- Server und Netzwerkgeräte, die ausserhalb eines Rechenzentrums stehen und daher eher über mangelnde Zugangskontrollen, unterbruchsfreie Stromversorgung oder Elementarschäden gesichert sind und vielleicht auch nur reduziert in sonst standardisierte Sicherheitsprozesse wie Updates/Patching einbezogen werden. Dazu zählen auch Netzwerk-fähige Peripherie wie Drucker, Scanner usw.
- Unsichere Abfallentsorgung von vertraulichen Dokumenten sowie Hardware wie mobilen Datenträgern und Festplatten wie z.B. beim Datendiebstahl bei der Zürcher Justizbehörden
- Remote- und Heimarbeitsplätze der Mitarbeitenden
- Mobile Geräte wie Smartphones, Tablets usw., welche nur durch schwache PINs oder voraussehbare Gesten gesichert sind und auf die laufend neue scheinbar legitime Apps installiert werden. Wie zum Beispiel eine der 8’000 Apps wie die Apps „Notruf Graubünden Nord“, „Adoptionshelfer“ oder die App der „Fachkanzlei für Strafrecht“, welche einen Teil ihrer Daten mittels der darin genutzten Pushwoosh-Komponenten offenbar an die als amerikanische Firma getarnte russische Firma in Novosibirsk übermittelt, ohne dass dies Nutzer, die Auftraggeber der Apps oder die App-Entwickler realisiert haben..
Kurz gesagt eigentlich fast alles, was eines von zwei Kriterien erfüllt: a) mangels klarer Zuständigkeit kümmert sich niemand ganzheitlich um das System und die dazugehörigen Prozesse oder b) jemand ist zwar beauftragt sich zu kümmern, doch es handelt sich um eine Nebenaufgabe wofür nicht ausreichend Ressourcen der Zuständigen investiert werden.
Was muss eine Unternehmensleitung sicherstellen?
- Das Inventar der schützenswerten Assets, d.h. Informationen, Ressourcen, Geräte, Anlagen usw., muss regelmässig auf Vollständigkeit geprüft werden. Was nicht Allgemein bekannt ist, kann auch nicht professionell gemanaget werden.
- Für jede Asset-Kategorie und jedes Asset wird ein (Sicherheits-)Verantwortlicher bestimmt, der für den angemessenen Schutz verantwortlich ist. Zur Bestimmung, was angemessen im Einzelfall bedeutet, sollte für jedes Asset eine Schutzwürdigkeitsprüfung durchgeführt und regelmässig überprüft werden.
- Die für den angemessenen risikobasierten Schutz erforderlichen Ressourcen müssen bewilligt und deren Umsetzung kontrolliert werden. Hier besonders zu beachten ist, dass der Friedhof der wirkungslosen Strategien selten mangels guter Konzepte angewachsen ist, sondern mangels Implementierung. Die wirksame Umsetzung muss daher messbar kontrolliert werden. Vereinbarte Massnahmen gehören zugewiesen, terminiert und abgehakt. Wiederkehrende Aufgaben wie Softwareupdate und Security-Patches lassen sich protokollieren und prüfen.