IT-Security: Eine Frage der Kultur
Ein Impuls pro Jahr reicht nicht aus für ein nachhaltiges IT-Security-Awareness-Training – der Fortschritt läuft einfach zu schnell. Die Forderung nach besserer und regelmäßiger Sensibilisierung schließt allerdings nicht nur die Mitarbeitenden ein, sondern auch IT-Teams und das Top-Management. Dies zeigen aktuelle Angriffe.
In meinem vorigen Artikel hatte ich dafür geworben, dass nicht nur „normale Mitarbeitende“ in den Genuss von Awareness-Kampagnen kommen. Impulse zur Sensibilisierung für Gefahren sollten nämlich immer auch die IT und das Top-Management erhalten, schließlich gibt es viele technische und organisatorische Schwachstellen. Schaut man sich jedoch die aktuellen Nachrichten aus der Security-Szene mit erfolgreichen Angriffen an, kommt das Gefühl auf: Wirklich viel wurde nicht gegen die Probleme unternommen.
Dabei steht IT-Security noch immer an der Spitze der CIO-Tagesordnung. Und in der Umfrage „IT-Agenda“ der Beratungsfirma Metrics zeigt sich, dass die Security-Budgets 2024 deutlich stärker wachsen als die allgemeinen IT-Budgets, nämlich um knapp 14 Prozent verglichen mit 4,3 Prozent. Das klingt gut, aber: Von 2020 auf 2021 hatte der Anstieg noch 21 Prozent betragen. Dieser Corona-Bonus scheint aufgebraucht, zumal auch die Kosten für Security-Technologie und externe Fachleute als Folge der Inflation kräftig gestiegen sind.
Sowohl auf der technischen als auch auf der „menschlichen“ Seite der Verteidigung lässt der Handlungsbedarf jedoch nicht nach, im Gegenteil. Denn es gibt zwei Entwicklungen, die das Aussitzen des Problems nach dem „Prinzip Hoffnung“ verbieten:
1. Die Regulierung: Unternehmen und ihre Verantwortlichen müssen reagieren. Der kommende Cyber Resilience Act (CRA) beispielsweise soll Verbraucher und Unternehmen schützen, die digitalisierte Produkte oder Software verwenden. Das wichtigste Wort ist hier vermutlich „Produkthaftung“.
Zudem nimmt die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU (NIS2-Richtlinie) Organisationen in die Pflicht, die für die Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IT basieren. Gefordert ist eine Kultur der Sicherheit in Branchen wie Energie, Verkehr, Versorgung, Gesundheit sowie Finanzdienstleistungen, einschließlich digitaler Infrastrukturen. Unternehmen, die als Betreiber wesentlicher Dienste oder Zulieferer eingestuft werden, müssen ihre Abwehrkräfte stärken und die zuständigen Behörden über schwerwiegende Vorfälle informieren.
2. Der Fortschritt: Angreifer finden auch neben den Zero-Day-Exploits immer wieder innovative Ansätze. Ein Beispiel dafür, wie Schwachstellen entstehen können, sind die sogenannten „Non-Human Attacks“, also im weitesten Sinne Angriffe über Maschinen statt über Menschen. „The Hacker News“ bezeichnen das Vorgehen als ein Art „Aufsteiger des Jahres“, denn es nimmt den Weg des geringsten Widerstands, indem vorhandene Zugriffsrechte etwa zwischen Applikationen und Ressourcen ausgenutzt und Privilegien leicht eskaliert werden.
Diese Service-Accounts beziehungsweise Dienstkonten werden von Programmen angelegt – und dann oft sich selbst überlassen: Als „nicht-menschliche“ Services automatisieren sie etwa in Form von API-Schlüsseln oder Token wichtige Operationen. Weil sie oft weitreichende, unüberwachte Zugriffsrechte besitzen, werden sie zu einem bevorzugten Ziel für Cyberangriffe: Ein Traum für Hacker, da sie nur selten normalen Sicherheitsmaßnahmen wie MFA, SSO oder IAM-Richtlinien unterliegen. Immer häufiger werden Service-Accounts kompromittiert, denn mit ihnen kann man praktisch unbemerkt agieren und sich im Netzwerk ausbreiten – auch weil Rechte und Passwörter kaum widerrufen oder geändert werden.
Morgen ist es zu spät für Awareness
Auf jeden Fall erinnert mich die Entwicklung an den zwölf Jahre alten Roman „Blackout“, der die Auswirkungen von Angriffen auf smarte Geräte und die Stromversorgung thematisiert. Sein Untertitel lautet: „Morgen ist es zu spät.“ Hier schließt sich der Kreis zu den Investments in Technologie und Awareness, um die Wahrscheinlichkeit sowie die Auswirkungen erfolgreicher Cyber-Angriffe zu reduzieren. Denn betroffen ist potenziell jede Organisation, die einmal nicht aufpasst: von Microsoft und HP Enterprise bis zur Südwestfalen-IT und zur GitHub-Website von Mercedes.
Awareness: Security News in die Mailbox
Um das Sicherheitsrisiko auf allen Ebenen zu reduzieren, fasst metafinanz die interessantesten Security-Vorfälle in wöchentlichen Security News Collections zusammen. Individuelle Abstracts mit Links auf die Quellen informieren nicht nur unsere eigenen Mitarbeitenden regelmäßig über die aktuelle Bedrohungslage, sondern auch CISOs und ISOs aus anderen Organisationen. So können diese gezielt die Awareness der Belegschaft und ihres Top-Managements steigern. Der kostenlose Basis-Service spart Zeit, und er zeigt übersichtlich, wie Kriminelle gegen ihre Ziele vorgehen.
Sicherheitskultur entwickeln
Ob Führungskräfte, IT-Fachleute oder User: Menschen brauchen ein Bewusstsein über die Probleme, die sie aus Unkenntnis oder Fahrlässigkeit verursachen können. Organisationen müssen dafür eine starke Sicherheitskultur entwickeln und durchsetzen, um die Bedeutung sicherer Vorgehensweisen zu verankern. Und gelegentlich seine IT auf Schwachstellen zu testen, wäre auch nicht schlecht. Bei Autos nennt sich das seit 1951 „Hauptuntersuchung“.
