Security Awareness Training für Administratoren und Entwickler

Warum Security Schulungen gerade bei dieser Zielgruppe so wichtig sind.

Security Awareness Trainings für Administratoren und Entwickler hatte lange Zeit niemand so richtig auf dem Schirm. Das sollte sich ändern.

Die vergessene Zielgruppe: Admins und Entwickler


Seit vielen Jahren sensibilisieren wir mit unseren Kunden Mitarbeiter zum Thema IT-Sicherheit. Und seit ebenso vielen Jahren helfen wir Kunden im Incident Response, um Hacker wieder aus deren IT-Systemen zu werfen. Was sind unsere Erfahrungen?

Ja, in den meisten Fällen ist der Einstiegspunkt in Unternehmensnetze, der sogenannte „Patient Null“, ein unbedarfter User, der einen E-Mail-Anhang öffnet und Makros aktiviert. Es ist und bleibt daher ungemein wichtig, alle Mitarbeiter regelmäßig auf die Gefahren von Phishing und Social Engineering zu schulen.

Wir stellen aber auch immer wieder fest, dass der größte Teil des Schadens bei Hacking-Angriffen nicht durch diese initiale Infektion entsteht, sondern durch eine Vielzahl von weiteren Schwachstellen danach. So ärgerlich ein infizierter User-Account auch sein mag: er darf ein Unternehmen nicht mehr umbringen. Assume compromise! Ein infizierter Rechner ist nicht schön, aber wir werden bei aller Security Awareness nie gänzlich verhindern können, dass nicht irgendwann irgendwer auf irgendeine Schadsoftware klickt.

Der eigentliche Knock-out entstehen erst in den Wochen nach der Erstinfektion, im sogenannten „Lateral Movement“: Die Angreifer springen vom infizierten Benutzer auf den ersten Server, von dort auf weitere Server, bis sie irgendwann das ganze Active Directory des Opfer-Unternehmens unter Kontrolle haben. Dann können Sie sich beliebige Accounts erstellen, alle Daten absaugen und Zeitbomben zur Verschlüsselung der Systeme installieren. Zu diesem Zeitpunkt ist, salopp formuliert, die Hose unten. Ganz unten.

Unsere forensischen Analysen der letzten Jahre zeigen aber auch, dass das nicht so sein müsste. Die allermeisten Sprünge zu weiteren internen Systemen nutzen keine unvermeidbaren „Zero-Day“-Schwachstellen aus, sondern ganz triviale Security-Basics: fehlendes Hardening, unzureichendes Patching, die Verwendung von schwachen Passwörtern auf Serversystemen, die Verwendung von gleichen Passwörtern auf verschiedenen Serversystemen, nicht ordentlich beendete RDP-Sitzungen, usw.

Durch fehlende Security Awareness bei Administratoren und Entwicklern entsteht somit größerer Schaden für das Unternehmen als durch die Anwender. Trotzdem schulen die meisten Unternehmen seit zig Jahren nur die Anwender, teilweise immer und immer wieder. Bitte nicht falsch verstehen, das ist grundsätzlich auch richtig: Security Awareness ist ein kontinuierlicher Prozess, der quasi nie endet. Es ist aber auch eine Frage der richtigen Balance.

Der Schaden, den Administratoren oder Entwickler durch mangelnde Awareness anrichten können, ist durch deren erweiterte Rechte (Privileged Accounts) schon von Natur aus deutlich größer. Und viele dieser Kollegen wissen von Cyber Security und modernen Angriffswerkzeugen leider ähnlich viel wie die Anwender. Eine äußerst gefährliche Mischung.

Security Trainings für Administratoren und Entwickler

Deshalb empfehlen wir dringend, auch Administratoren und Entwickler aktiv in die Security-Awareness-Zielgruppe mit aufzunehmen, zu sensibilisieren und zu schulen. Natürlich mit anderen, viel spezielleren Inhalten als nur Cyber Security Grundlagen. Spezielle Inhalte für IT-Profis bieten beispielsweise unsere Cyber-LABs für Administratoren und Entwickler.

Administratoren und Entwickler sind in der Security-Qualifizierungsmatrix mindestens ebenso wichtig wie Anwender und Führungskräfte. Diese Gruppe vernünftig zu sensibilisieren und zu schulen bringt auf alle Fälle deutlich mehr Sicherheit fürs Geld, als im fünften oder achten Jahr in Folge die Anwender durch Security-Arenen oder Escape-Rooms zu schicken.

Am schönsten wäre natürlich, Sie können sich beides leisten - träumen darf man ja.