Die vergessene Zielgruppe

Über die Wichtigkeit von Security Awareness für Administratoren und Entwickler

Seit vielen Jahren sensibilisieren wir Mitarbeiter zum Thema IT-Sicherheit. Und seit ebenso vielen Jahren helfen wir Kunden im Incident Response, um Hacker wieder aus deren IT-Systemen zu werfen. Was sind unsere Erfahrungen?

Ja, in den meisten Fällen ist der Einstiegspunkt in Unternehmensnetze, der sogenannte „Patient Null“, ein unbedarfter User, der einen E-Mail Anhang öffnet und Makros aktiviert. Es ist und bleibt daher ungemein wichtig, alle Mitarbeiter regelmäßig auf die Gefahren von Phishing und Social Engineering zu schulen.

Wir stellen aber auch immer wieder fest, dass der größte Teil des Schadens bei Hacking-Angriffen nicht durch diese initiale Infektion entsteht, sondern durch eine Vielzahl von weiteren Schwachstellen danach. So ärgerlich ein infizierter User Account auch sein mag: er ist in der Regel nicht existenzbedrohend für das Unternehmen. Das wäre ja auch katastrophal, denn wir werden bei aller Security Awareness nie gänzlich verhindern können, dass nicht irgendwann irgendwer auf irgendeine Schadsoftware klickt.

Die wirklich schwerwiegenden Probleme entstehen erst in den Wochen nach der Erstinfektion, im sogenannten „Lateral Movement“: Die Angreifer springen vom infizierten Benutzer auf den ersten Server, von dort auf weitere Server, bis sie irgendwann das ganze Active Directory des Opfer-Unternehmens unter Kontrolle haben. Dann können Sie sich beliebige Accounts erstellen, alle Daten absaugen und Zeitbomben zur Verschlüsselung der Systeme installieren. Zu diesem Zeitpunkt ist, salopp formuliert, die Hose unten. Ganz unten.

Unsere forensischen Analysen der letzten Jahre zeigen aber auch, dass das nicht so sein müsste. Die allermeisten Sprünge zu weiteren internen Systemen nutzen keine unvermeidbaren „Zero Day“ Schwachstellen aus, sondern ganz triviale Security Basics: fehlendes Hardening, unzureichendes Patching, die Verwendung von schwachen Passwörtern auf Serversystemen, die Verwendung von gleichen Passwörtern auf verschiedenen Serversystemen, nicht ordentlich beendete RDP-Sitzungen, usw.

Man kann also sagen, dass durch fehlende Security Awareness in der IT-Abteilung größerer Schaden für das Unternehmen entsteht, als durch Anwender. Trotzdem schulen die meisten Unternehmen seit zig Jahren nur die Anwender, teilweise immer und immer wieder. Bitte nicht falsch verstehen, das ist grundsätzlich auch richtig: Security Awareness ist ein kontinuierlicher Prozess, der quasi nie endet. Es ist aber auch eine Frage der richtigen Balance.

Der Schaden, den Administratoren oder Entwickler durch mangelndes Security-Bewusstsein anrichten können, ist durch deren erweiterte Rechte (Privileged Accounts) schon von Natur aus deutlich größer. Und viele dieser Kollegen wissen von Cyber Security und modernen Angriffswerkzeugen leider ähnlich viel wie die Anwender. Eine äußerst gefährliche Mischung.

Deshalb empfehlen wir dringend, auch IT-Mitarbeiter aktiv in die Security Awareness Zielgruppe mit aufzunehmen, zu sensibilisieren und zu schulen. Natürlich mit anderen, viel spezielleren Inhalten, wie beispielsweise in unseren Cyber LABs für Administratoren und Entwickler.

IT-Personal ist in der Security-Qualifizierungsmatrix mindestens ebenso wichtig wie Anwender und Führungskräfte. Diese Gruppe vernünftig zu sensibilisieren und zu schulen bringt auf alle Fälle deutlich mehr Sicherheit fürs Geld, als im fünften oder achten Jahr in Folge die Anwender durch Security-Arenen oder Escape Rooms zu schicken.

Am schönsten wäre natürlich, sie können sich beides leisten… träumen darf man ja.

Cyber Security Qualifizierungsmatrix