Auch wenn es nicht mehr ganz der Start des Jahres ist, so stelle ich mir immer wieder die Frage: Was sind die Trends im Cyber-Security-Umfeld, für die sich Unternehmen in diesem Jahr wappnen müssen? Ich will aber nicht in meine eigene Glaskugel schauen, sondern eher den Blick nach außen wagen und zusammenfassen, was denn die verschiedenen Analysten und Experten als Trends identifiziert haben und mit welchen Arten von Angriffen durch Hacker sich Unternehmen bedroht sehen.
Zunächst einmal die Frage, welche Bedrohungen gesehen werden – über alle Reports hinweg sind das fünf Arten:
Was kann aus Unternehmenssicht gegen diese Bedrohungen unternommen werden? Wie sollten Unternehmen hier agieren? Oder ist man dem Ganzen etwa schutzlos ausgeliefert?
Nein – zum Glück gibt es entsprechende Maßnahmen, die sich hier lohnen und die unbedingt von Unternehmen angegangen werden sollten. Unter „lohnen“ ist dabei zu verstehen, dass durch die Maßnahmen Risiken und Schadenssummen reduziert werden.
Zur Absicherung gegen Ransomware und speziell gegen Human-Operated-Ransomware sollten Unternehmen auf aktuelle EDR/XDR-Lösungen setzen. Hierbei ist auch sicherzustellen, dass die durch KI unterstützten automatisierten Reaktionen auf Angriffe aktiviert sind. Nur so kann ein Unternehmen sicherstellen, dass es von den neuesten Innovationen profitiert und im Fall der Fälle auf einen Angriff auch in kürzester Zeit reagieren kann.
Darüber hinaus kann auch eine konsequente Umsetzung einer Zero-Trust-Architektur vor den Auswirkungen eines Malware-Angriffs schützen. Natürlich kann ich den Angriff dadurch nicht zu 100 % verhindern, aber ein Unternehmen schützt sich vor potenziell katastrophalen Auswirkungen wie einer vollständigen Verschlüsselung aller Systeme. Auch hier gilt: Der Weg ist das Ziel, denn Zero-Trust-Technologien entwickeln sich ständig weiter und die eigene Architektur und Umsetzung sollten laufend überprüft und weiterentwickelt werden.
Das Thema Angriffe auf MFA ist schon im letzten Jahr immer stärker in den Fokus gerückt. Aus meiner Sicht hilft hier nur, konsequent MFA um Phishing-resistente Verfahren zu ergänzen (z. B. Number-Matching-Verfahren im MFA und/oder die Nutzung von Azure AD certificate-based Authentication). Noch besser ist es, direkt zu prüfen, ob ein Wechsel zu Passwordless-Anmeldeverfahren möglich ist. Und wenn sowieso bereits an dem Thema gearbeitet wird: gleich auch mitprüfen, ob die Least-Privilege-Umsetzung noch aktuell ist und in welchem Maße speziell privilegierte Accounts über z. B. Just-in-time-Vergabe von Berechtigungen sowie die Nutzung von dedizierten Systemen für die Durchführung von entsprechenden administrativen Aufgaben (Jump Server und/oder dedizierte gesicherte Workstations) nutzen.
Supply-Chain-Risiken lassen sich natürlich nur in Teilen durch technische Maßnahmen abfangen. Hier sollte gewährleistet werden, dass ein Unternehmen bei der Zusammenarbeit über Unternehmensgrenzen hinweg die eigenen Ressourcen optimal absichert. Das fängt schon bei einfachen Themen an wie der sauberen Umsetzung eines Lifecycle-Managements für Gast-User in cloudbasierten Collaboration-Lösungen wie Teams.
Darüber hinaus ist es eine Best Practice vieler Unternehmen, die Lieferanten – abhängig von entsprechenden Risikoeinstufungen – über Governance- und Compliance-Vorgaben sowie entsprechende Überprüfung durch Lieferanten-Security-Audits (meist durch standardisierte Fragebögen) aus Cyber-Security-Sicht zu überwachen. Dieser Ansatz ist aus meiner Sicht nicht immer ideal. Gerade kleine Unternehmen haben große Schwierigkeiten, einen Fragebogen auf Basis ISO27001 sauber auszufüllen, und können meist auch kein vollumfängliches ISMS vorweisen. An dieser Stelle wäre es aus meiner Sicht besser, wenn große Unternehmen, die oft auch von kleineren Lieferanten abhängig sind, diesen mit konkreten Cyber-Security-Ratgebern und Umsetzungshilfe unter die Arme greifen. Damit könnte die Supply-Chain-Sicherheit nochmal deutlich verbessert werden.
Den Mangel an Fachkräften kann auch ein großes Unternehmen nur schwer umgehen. Ein Gegenmittel ist die Nutzung von Tools, die einen größtmöglichen Grad der Automatisierung bieten. Darüber hinaus sollten Unternehmen prüfen, welche Dienste zwingend notwendig im Unternehmen erbracht werden müssen und welche an entsprechend spezialisierte Provider ausgelagert werden können.
Last, but not least noch die Frage, wie man als CISO sich auf potenzielle neue Bedrohungen durch generative AI-Mechanismen (auf denen etwa auch ChatGPT basiert) schützen kann. Zum einen ist davon auszugehen, dass Security-Anbieter diese Technologien Schritt für Schritt in ihre Tools einbauen werden. Aber auch andere Schritte zum Schutz sind möglich: Unternehmen können sich durch konsequente Passwordless Authentication vor dem Risiko eines Angriffs auf Username und Kennwort und entsprechende MFA-Werkzeuge (nicht Phishing Safe MFA wie z.B. SMS/Telefonanruf oder einfacher Approval per Authenticator App) schützen. In so einem Fall wäre es dann auch egal, ob der Angreifer seine Tools zur Passwort-Erzeugung um generative AI-Komponenten erweitert, um noch effizienter und effektiver angreifen zu können. Der Angriffsvektor Username/Kennwort wird ja bei Passwordless eliminiert.
Es zeigt sich also, dass wir den Angriffstrends definitiv nicht schutzlos ausgeliefert sind. Wichtig ist: aktiv werden oder noch besser aktiv bleiben und konsequent die Security-Architekturen und Tools weiterentwickeln und auf die neuesten Angriffstrends ausrichten.
