Seit vielen Jahren sensibilisieren wir Mitarbeiter zum Thema IT-Sicherheit. Und seit ebenso vielen Jahren helfen wir Kunden im Incident Response, um Hacker wieder aus deren IT-Systemen zu werfen. Was sind unsere Erfahrungen?
Ja, in den meisten Fällen ist der Einstiegspunkt in Unternehmensnetze, der sogenannte „Patient Null“, ein unbedarfter User, der einen E-Mail Anhang öffnet und Makros aktiviert. Es ist und bleibt daher ungemein wichtig, alle Mitarbeiter regelmäßig auf die Gefahren von Phishing und Social Engineering zu schulen.
Wir stellen aber auch immer wieder fest, dass der größte Teil des Schadens bei Hacking-Angriffen nicht durch diese initiale Infektion entsteht, sondern durch eine Vielzahl von weiteren Schwachstellen danach. So ärgerlich ein infizierter User Account auch sein mag: er ist in der Regel nicht existenzbedrohend für das Unternehmen. Das wäre ja auch katastrophal, denn wir werden bei aller Security Awareness nie gänzlich verhindern können, dass nicht irgendwann irgendwer auf irgendeine Schadsoftware klickt.
Die wirklich schwerwiegenden Probleme entstehen erst in den Wochen nach der Erstinfektion, im sogenannten „Lateral Movement“: Die Angreifer springen vom infizierten Benutzer auf den ersten Server, von dort auf weitere Server, bis sie irgendwann das ganze Active Directory des Opfer-Unternehmens unter Kontrolle haben. Dann können Sie sich beliebige Accounts erstellen, alle Daten absaugen und Zeitbomben zur Verschlüsselung der Systeme installieren. Zu diesem Zeitpunkt ist, salopp formuliert, die Hose unten. Ganz unten.
Unsere forensischen Analysen der letzten Jahre zeigen aber auch, dass das nicht so sein müsste. Die allermeisten Sprünge zu weiteren internen Systemen nutzen keine unvermeidbaren „Zero Day“ Schwachstellen aus, sondern ganz triviale Security Basics: fehlendes Hardening, unzureichendes Patching, die Verwendung von schwachen Passwörtern auf Serversystemen, die Verwendung von gleichen Passwörtern auf verschiedenen Serversystemen, nicht ordentlich beendete RDP-Sitzungen, usw.
Man kann also sagen, dass durch fehlende Security Awareness in der IT-Abteilung größerer Schaden für das Unternehmen entsteht, als durch Anwender. Trotzdem schulen die meisten Unternehmen seit zig Jahren nur die Anwender, teilweise immer und immer wieder. Bitte nicht falsch verstehen, das ist grundsätzlich auch richtig: Security Awareness ist ein kontinuierlicher Prozess, der quasi nie endet. Es ist aber auch eine Frage der richtigen Balance.
Der Schaden, den Administratoren oder Entwickler durch mangelndes Security-Bewusstsein anrichten können, ist durch deren erweiterte Rechte (Privileged Accounts) schon von Natur aus deutlich größer. Und viele dieser Kollegen wissen von Cyber Security und modernen Angriffswerkzeugen leider ähnlich viel wie die Anwender. Eine äußerst gefährliche Mischung.
