(MA) IT-Sicherheit ist ein komplexes Thema, welches sich so schnell weiterentwickelt, dass es selbst fachkundigen Menschen mit informationstechnischer Vorbildung schwer fällt, Schritt zu halten. Der Einzug von komplexen Cloud-Infrastruktur-Anbietern, dem industriellen Internet der Dinge (IIOT), künstlichen Intelligenzen und einer massiv wachsenden Vernetzung von Hardware, Software und Prozessen gepaart mit datenschutzrechtlichen Anforderungen macht IT-Sicherheit zu einem Sachverhalt, der die Ressourcen eines Unternehmens mitunter schnell verbrauchen kann. Was aber ist das richtige Level oder die richtige Menge an Zeit, Geld und Kapazität von Mitarbeitenden, das Unternehmen zur Verfügung stellen sollten, um einerseits nicht morgen von einer Cyber-Attacke in den Ruin getrieben zu werden, auf der anderen Seite jedoch auch nicht jeden verdienten Euro in IT-Sicherheit zu verbrennen?

Eine allgemeingültige Antwort auf diese Frage existiert nicht. Ein guter Ansatz ist jedoch die Orientierung an weit verbreiteten und praktisch relevanten Bedrohungen. Einleitend wird dazu nachfolgend die aktuelle IT-Bedrohungslage grob beschrieben. In Zukunft werden wir in dieser Reihe Erfahrungen aus unserer Praxis teilen und echte Angriffsszenarien diskutieren.

Phishing

Phishing (Neologismus von fishing, engl. für ‚Angeln‘) ist eine Unterform von Social Engineering und verursacht bereits seit Jahren bei Unternehmen den größten Schaden. Angreifer versuchen durch Phishing den Benutzer zu täuschen und diesen dazu zu bringen, sensible Informationen preis zu geben. Das Niveau von Phishing Angriffen hat sich in den letzten Jahren deutlich erhöht. Die Inhalte von Phishing Nachrichten sind nur noch schwer von realen Nachrichten zu unterscheiden und Angreifer nutzen zudem moderne Kommunikationsdienste (Instagram, WhatsApp etc.) um noch authentischer zu wirken.

Schnittstellen

Kaum ein Unternehmen kommt ohne Schnittstellen zwischen dem internen Unternehmensnetzwerk und mobilen Geräten (Laptops, Tablets, Smartphones usw.) aus. Schon vor Ausbruch der COVID-19 Pandemie hatten etwa 39 Prozent  der Arbeitnehmer die Möglichkeit auf Homeoffice und Tätigkeiten im Außendienst sind ohne Zugriff auf interne Daten nur schwer möglich. Solche Schnittstellen öffnen zwangsläufig Einfallstore für Angreifer. Sind diese nicht entsprechend abgesichert, kann dies schwerwiegende Folgen haben. Erschwerend kommt hinzu, dass eine Kompromittierung der mobilen Geräte der Mitarbeiter gleichzeitig eine Bedrohung für das interne Netzwerk darstellt. Insbesondere bei BYOD Richtlinien kann dies zu Problemen führen. Somit müssen sowohl Schnittstellen als auch Endgeräte abgesichert werden.

Web-Security

Die Website eines Unternehmens ist der öffentliche Auftritt eines Unternehmens und spiegelt dessen Identität wider. Branchenunabhängig findet der erste Kundenkontakt heutzutage primär auf der Website des Unternehmens statt. Die Kompromittierung des Internetauftritts kann schwerwiegende monetäre, reputative und rechtliche Konsequenzen nach sich ziehen. Trotz dieser Risiken ist das Problembewusstsein diesbezüglich bis heute als sehr gering einzustufen, 9 von 10 Websites sind mit einer Vielzahl von Techniken angreifbar.

Cloud-Security

Die Nutzung von Cloud Lösungen steigt stetig. Knapp 69% der Unternehmen nutzten im Jahr 2019 bereits hybrid Cloud Lösungen  und es wird erwartet, dass bis zum Jahr 2021 ca. 94% der digitalen Arbeitslast in der Cloud stattfinden wird.  Dieser Trend ist nachvollziehbar. Die Liste der Vorteile enthält, neben vielen weiteren Punkten, Kernaspekte wie Skalierbarkeit, Flexibilität und Kostenreduktion. Leider ist die Liste der Nachteile und potenziellen Risiken ebenfalls sehr lang. Zudem müssen an dieser Stelle auch datenschutzrechtliche Überlegungen berücksichtigt werden. Ein unstrukturierter Umzug in die Cloud kann somit am Ende mehr Kosten als Vorteile bringen.