Die Suche nach einer effizienteren Nutzung von Lösungen gehört mit zu den Aufgaben eines IT-Verantwortlichen. Doch wer die Sicherheit der Bequemlichkeit zuliebe opfert, wird früher oder später Probleme damit bekommen. Manche Shortcuts mögen zwar gut gemeint sein und zu diesem Zeitpunkt sinnvoll erscheinen, können aber ernste und unbeabsichtigte negative Folgen haben. Wir stellen Ihnen neun gängige Shortcuts im Bereich der IT-Sicherheit vor, die Unternehmen am Ende Millionen kosten können.

1. Offene Schnittstellen für die Fernwartung über das Internet

In einer dezentralen oder hybriden Organisation ist es wahrscheinlich, dass ein IT-Team irgendwann eine Fernwartung durchführen muss. Der Vorteil der Offenlegung dieser Schnittstellen über das Internet besteht darin, dass sie von überall aus genutzt werden können. Wenn jedoch ein Problem mit dem betreffenden Gerät auftritt, z. B. eine Sicherheitslücke oder ein Fehler bei den Anmeldedaten, gibt es inzwischen über eine Milliarde anderer Personen, die möglicherweise auf das Gerät zugreifen können.

Meistens werden Systeme kompromittiert, von denen Sie nicht einmal wussten, dass sie existieren. Daher sollten Sie genau wissen, was in Ihrer IT-Infrastruktur von Außen erreichbar ist – einschließlich Services, nicht nur Geräte. Alles, was nicht unbedingt mit dem Internet verbunden sein muss, sollte es wahrscheinlich auch nicht sein. Sorgen Sie dafür, dass die Wartung Ihrer Geräte so weit wie möglich automatisiert wird, um Ressourcen einzusparen. Wenn es zu größeren Zwischenfällen kommt (wie beim MoveIt-Hack), sollten Sie schnell herausfinden, ob Sie davon betroffen sind, und entsprechend darauf reagieren.

Tipp: Vermeiden Sie es, die Fernwartung ungeschützt via Internet zu ermöglichen. Stellen Sie sicher, dass ein VPN erforderlich ist, um darauf zuzugreifen, und halten Sie Ihre VPN-Server gehärtet und gepatcht.

2. Wiederverwendete Passwörter

Angenommen, Ihre Passwortrichtlinie zwingt Endbenutzer dazu, zufällige 20-stellige Passphrasen für ihre Active Directory-Passwörter zu erstellen. Sie enthalten Zahlen, Sonderzeichen und sogar ein absichtlich falsch geschriebenes Wort und werden mit einer Datenbank bekannter kompromittierter Kennwörter abgeglichen. Diese Richtlinie würde sicherstellen, dass Ihre Endbenutzer starke Active Directory-Passwörter haben, aber sie würde auch nichts bringen, wenn diese User ihre Passwörter aus Bequemlichkeit über mehrere Geräte, Anwendungen und Websites hinweg erneut verwenden.

Es genügt eine einzige Sicherheitslücke in einer dieser Anwendungen oder Websites, um die Anmeldedaten aller dort registrierten Benutzer preiszugeben, ohne dass diese davon wissen. Sollten Hacker eine Datenbank mit Zugangsdaten stehlen, können sie diese Daten Einzelpersonen zuordnen und herausfinden, wo diese arbeiten. Das könnte den Cyberkriminellen einen leichten Zugang zu Ihrer Organisation bieten. Mit jeder Wiederverwendung eines Passworts erhöht sich die Wahrscheinlichkeit, dass dies geschieht, um ein Vielfaches.

Es genügt eine einzige Sicherheitslücke in einer dieser Anwendungen oder Websites, um die Anmeldedaten aller dort registrierten Benutzer preiszugeben, ohne dass diese davon wissen. Sollten Hacker eine Datenbank mit Zugangsdaten stehlen, können sie diese Daten Einzelpersonen zuordnen und herausfinden, wo diese arbeiten. Das könnte den Cyberkriminellen einen leichten Zugang zu Ihrer Organisation bieten. Mit jeder Wiederverwendung eines Passworts erhöht sich die Wahrscheinlichkeit, dass dies geschieht, um ein Vielfaches.

Tipp: Trotz Schulungen gibt es keine hundertprozentige Garantie dafür, dass Benutzer ihre Passwörter nicht wiederverwenden. Indem Sie eine Lösung einsetzen, die Ihr Active Directory kontinuierlich auf kompromittierte Passwörter überprüft, können Sie aber das Risiko durch die mehrfache Verwendung von Passwörtern verringern.

3. Unnötiges Arbeiten mit Ihrem Administratorkonto

Falls Sie IT-Administrator in Ihrem Unternehmen sind, ist es vielleicht bequemer, von Ihrem Admin-Account aus zu arbeiten. So muss man nicht zwischen verschiedenen Bereichen wechseln und braucht nur einen Posteingang überwachen. Wird Ihr System jedoch durch einen Drive-by-Download oder etwas Ähnliches kompromittiert, besteht die Gefahr, dass Sie die gesamte Organisation durch Ransomware gefährden und nicht nur Ihren Laptop. Falls Sie auch bei der Einrichtung von Laptops ein Domain-Administratorkonto verwenden, könnte außerdem das Zugriffstoken lokal zwischengespeichert werden, was bedeutet, dass Sie auch darüber Ihre Organisation einem Risiko aussetzen, selbst wenn nicht direkt eines Ihrer Geräte kompromittiert wurde.

Es ist zwar unbequem, aber aus den oben genannten Gründen sinnvoll, ein Benutzerkonto mit den nötigsten Berechtigungen für die täglichen Aufgaben zu haben und ein Administratorkonto, das Sie nur verwenden, wenn Sie entsprechend abgesicherte Aufgaben durchführen müssen.

Tipp: Mehrere Konten zu verwalten kostet zwar Zeit und Nerven, ist aber günstiger als die Gefahr und Konsequenzen, die der Verlust eines Administratorkontos nach sich zieht.

4. Änderungen im Netzwerk aus den Augen verlieren

Viele moderne Organisationen entscheiden sich für eine agile Arbeitsweise. Wenn sie zudem über ein umfangreiches Netzwerk und viele damit verbundene Services verfügen, ist es erforderlich, dass alle Beteiligten Prozesse und Sicherheitsmaßnahmen einhalten. Um die Geschwindigkeit und Produktivität nicht zu beeinträchtigen, wird den Mitarbeitern zugetraut, diese Verantwortung selbst zu übernehmen, was jedoch aus der Perspektive der IT-Sicherheit eine gewisse Gefahr darstellt.

Ständig gibt es neue Websites oder Services, API-Änderungen, neue Einstellungen oder Konfigurationen sowie andere Quellen ständiger Veränderungen. Wenn Ihre IT-Sicherheitsabteilung diese Änderungen nicht im Auge behalten kann, kennt sie den Sicherheitsstatus neuer und bestehender Services oder Websites nicht und kann sie daher kaum schützen.

Tipp: Sicherheitslösungen wie EASM ermöglichen es Ihnen, die gesamte Exponierung der Infrastruktur Ihrer Organisation im Auge zu behalten und kontinuierlich automatische Scans zur Überwachung aller Netzwerke und Anwendungen durchzuführen.

5. Keine Isolation der Backup-Server

Wenn Sie ein großes Netzwerk betreiben, könnte es für Ihre IT-Administratoren, die das Netzwerk verwalten, einfacher sein, auch die Sicherungslösungen in Ihren Rechenzentren über dieselben Konten oder dieselbe Infrastruktur zu verwalten. Dadurch besteht jedoch die Gefahr, dass beide gleichzeitig kompromittiert werden. Ransomware-Gruppen versuchen oft zuerst, Ihre Backup-Lösungen zu identifizieren, und wenn es ihnen gelingt, ein Konto zu kompromittieren, das sowohl Zugang zu Servern als auch zu Backup-Lösungen hat, können sie alle Chancen einer Wiederherstellung vollständig vernichten.

Unternehmen sollten alles in ihrer Macht Stehende tun, um eine Trennung der Systeme zu gewährleisten, um sicherzustellen, dass ein Angreifer nicht einfach von den normalen Umgebungen in die Backup-Systeme gelangen kann.

Tipp: Trennen Sie Ihre Konten und Umgebungen, um sicherzustellen, dass die Backup-Server nicht mit denselben administrativen Konten oder derselben Infrastruktur verbunden sind wie die Hauptnetzwerke.

6. Bei Sicherheitsanalysen sparen

Um die Wirksamkeit ihrer Sicherheitsmaßnahmen einzuschätzen, führen einige Unternehmen Table-Top-Übungen durch. Dies kann eine kostengünstige Methode sein, um einen Überblick über die allgemeine Sicherheitslage zu erhalten, da Sie sich auf Ihre eigenen Techniker verlassen können, die Ihr Unternehmen am besten kennen. Allerdings bedeutet dies auch, dass Sie sich auf viele Annahmen stützen. Wenn Ihr Team Ihre Sicherheit entwickelt hat, dann hat es dies aus eigener Perspektive getan. Die Bewertung der eigenen Sicherheit durch Inhouse-Experten ist riskant, denn sie wissen, wie sie funktionieren soll, und werden sie entsprechend testen.

Tipp: Um Annahmen über Ihre Sicherheitslage wirklich zu überprüfen, sollten Sie ein unabhängiges Red Team engagieren, das die Widerstandsfähigkeit Ihres Unternehmens mit neuen Ideen und Perspektiven beurteilt, denn sonst werden Sie nie erfahren, wie gut Sie wirklich in der Lage sind, Bedrohungen zu erkennen und auf diese zu reagieren.

7. Rückstand beim Patching

Patching wird manchmal als ein Projekt angesehen, das zu einem bestimmten Zeitpunkt durchgeführt werden muss, um die Sicherheit auf den neuesten Stand zu bringen. Das mag einfacher sein, ist aber nicht der beste Weg. Patching sollte eine ständige und wiederkehrende Aufgabe sein – es ist zu wichtig, um als etwas anderes betrachtet zu werden. Die Durchführung von Patches als Projekt zu einem bestimmten Datum führt zu Zeiten, in denen Ihre Systeme eher anfällig sind.

Sicherheit ist in erster Linie Präventivarbeit, daher ist es wichtig, die Kontrolle über das Patchen zu behalten und die Fortschritte zu messen. Solche Vergleiche lassen sich leicht mit Funktionen wie Trend-Berichten in einer Lösung für risikobasiertes Schwachstellenmanagement (Risk Based Vulnerability Management, RBVM) erstellen. So erhalten Sie detaillierte Einblicke in das Risikoniveau Ihrer Arbeitsbereiche und Umgebungen.

Tipp: Legen Sie KPIs für die Teams fest, wie lange es dauert, bis Schwachstellen gepatcht/behoben sind und wie auf Abweichungen im Verhalten der Teams reagiert wird. Erwägen Sie die Investition in eine RBVM-Lösung für die Priorisierung der Patches.

8. Die Annahme, dass Hacker Sie nicht angreifen werden

Manche Unternehmen sind sich vielleicht nicht einmal bewusst, dass sie diese Annahme machen. Wenn man davon ausgeht, dass sich Hacker nur auf die größten Unternehmen oder die bekanntesten Branchen konzentrieren, könnte man versucht sein, einen entspannteren Ansatz für die Sicherheit einzuschlagen. Wenn Sie davon ausgehen, dass es niemand aktiv auf Sie abgesehen hat, dann liegen Sie wahrscheinlich richtig. Wenn Ihre Sicherheit jedoch Lücken aufweist, ist es viel wahrscheinlicher, dass Sie aus opportunistischen Gründen angegriffen werden.

Es ist für jedes Unternehmen wichtig, sich mit den Aktivitäten der Angreifer in seiner Umgebung vertraut zu machen, indem es entweder spezielle Interessengruppen ausfindig macht, nationale CERT-Informationen prüft oder (am besten) eine Threat Intelligence-Lösung nutzt.

Tipp: Threat-Intelligence-Lösungen können Ihnen dabei helfen, Ihr Risikoniveau zu verstehen – und was diese Risiken ausmacht. Zum Beispiel, welche Informationen über Ihr Unternehmen im Dark Web kursieren.

9. Benutzerfreundlichkeit über Sicherheit zu stellen

In modernen Unternehmen arbeiten Menschen mit unterschiedlichem Werdegang und unterschiedlichen Fähigkeiten an den verschiedensten Orten. Einige sind technisch versierter als andere, daher ist es ein Risiko, den Komfort der User auf dem Rücken der Sicherheit zu erhöhen. In Ihrer Organisation wird es Nutzer geben, die das Thema Sicherheit nicht so ernst nehmen wie Sie. So mag es beispielsweise verlockend sein, die Anforderungen für den Remotezugang zu vereinfachen, aber dann sind Sie nur eine fehlerhafte Identifizierung eines Benutzers davon entfernt, dass Angreifer in Ihr Unternehmen eindringen. Das kann schnell teuer werden.

Tipp: Nutzen Sie Lösungen, die es Ihnen ermöglichen, Sicherheit und Benutzerfreundlichkeit in einem ausgewogenen Verhältnis zueinander stehen zu lassen. Beispielsweise eine Self-Service-Password-Reset-Lösung, die mit gewichteten MFA geschützt ist. So können Sie selbst den Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit definieren.

Senken Sie Ihr Risiko ab heute

Unsere Experten beraten Sie gerne dabei und zeigen Ihnen, wie Sie mit den Lösungen von Outpost24 die Sicherheitslage Ihrer Organisation verbessern können.