Wenn nach einem Cyberangriff die betroffenen Systeme wiederhergestellt sind, die Daten gerettet wurden und die Geschäftsprozesse wieder anlaufen, heißt es erst einmal durchatmen. Gleichzeitig stellt sich aber die Frage: Wie können erneute Cyberangriffe verhindert werden? In dem folgenden Beitrag erfahren Sie, wie Schwachstellen identifiziert und behoben werden können und wie es gelingt, die Cyberresilienz Ihres Unternehmens durch proaktive und präventive Maßnahmen zu stärken.

Nach dem Sturm ist vor dem Sturm

Hat ein Unternehmen einen Angriff überstanden, heißt das leider nicht, dass es in naher Zukunft vor erneuten Cyberangriffen geschützt ist. Im Gegenteil: Der ENISA Threat Landscape 2024 Report der EU-Agentur für Cybersicherheit konstatiert einen zunehmenden Trend zum Mehrfachangriff oder „Double-Dipping“. Dabei nutzen Cyberkriminelle häufig Schwachstellen oder gestohlene Anmeldedaten aus früheren Angriffen. Das Ausmaß zeigt eine internationale Studie aus 2022: Zwei von drei der befragten Unternehmen wurden innerhalb eines Jahres mehr als einmal Ziel einer Attacke, 10 Prozent sogar mehr als zehn mal. Solche Angriffe erfolgten manchmal nur wenige Tage nach dem ersten Angriff, manchmal vergingen dazwischen Monate.

Die Gründe dafür sind vielfältig. Zunächst einmal: Je länger sich Angreifer unerkannt in einem Netzwerk bewegen können, desto tiefer verwurzeln sie sich und sind auch nach einem initialen Angriff nur schwer vollständig zu beseitigen. Oft haben sie bis zum Zeitpunkt des ersten Angriffs oder bis zu ihrer Entdeckung Informationen zu weiteren Sicherheitslücken gesammelt und kennen sich in Teilen des Unternehmensnetzes besser aus als das eigene Security-Team. Nicht selten erhalten sie auch durch die Art und Weise, wie ein Unternehmen auf einen Angriff reagiert, neue Hinweise auf Schwachstellen.

Aber hinter einem erneuten Angriff müssen nicht unbedingt dieselben Akteure stecken. Ein erster erfolgreicher Angriff kann auch der entscheidende Impulsgeber für andere Hacker sein, dass sich ein eigener Cyberangriff auf das Unternehmen lohnt. Dabei braucht es für einen solchen Angriff nicht einmal tiefgreifendes Hacker-Know-how. Denn im Darknet wimmelt es von Ransomware-as-a-Service- oder Initial-Access-Broker-Angeboten (IABs sind Cyberkriminelle, die Angriffspunkte in Unternehmensnetzen aufspüren und an Dritte verkaufen).

Was Cyberkriminellen zudem die Arbeit erleichtert: Viele Unternehmen vergrößern kontinuierlich ihre Angriffsfläche. Durch das Internet der Dinge, eine immer stärkere Vernetzung von Wertschöpfungsketten, mobiles Arbeiten und die zunehmende Verlagerung von Unternehmens-Assets in die Cloud wird der digitale Fußabdruck immer größer und es entstehen mehr und mehr potenzielle Angriffspunkte. Das Problem: Viele dieser potenziellen Angriffspunkte sind dem Security-Team gar nicht bekannt, weil beispielsweise Serverkonfigurationen nicht dokumentiert wurden, nicht mehr genutzte Webseiten und Dienste oder verwaiste Konten in Vergessenheit geraten sind. Oftmals gedeiht in Unternehmen zudem neben der offiziellen IT-Infrastruktur eine unüberblickbare Schatten-IT, bestehend aus IT-Instanzen, die ohne Wissen oder Genehmigung der offiziellen IT-Abteilung genutzt werden – eigene, z. T. selbst entwickelte Anwendungen von Fachabteilungen, private Smartphones oder Tablets im Unternehmensnetzwerk, nicht genehmigte Kommunikationstools wie Skype oder WhatsApp etc. (dazu später mehr).

Was ist also zu tun, damit dieses IT-Ökosystem kein lukratives Ziel für erneute Cyberangriffe ist?

Schwachstellen identifizieren und analysieren

Eine effektive Verbesserung und Absicherung der Unternehmens-IT hängt wesentlich von einer gründlichen Aufarbeitung des erfolgten Angriffs ab, gefolgt von der Identifizierung und Überwachung aller relevanten Systeme und Daten. Nur so können Schwachstellen gezielt behoben und die Systeme kontinuierlich verbessert werden, um zukünftige Angriffe effektiver abzuwehren. Und hier ist Geschwindigkeit ein wichtiger Faktor: Je schneller Sicherheitsverletzungen identifiziert und Schwachstellen behoben werden können, desto geringer ist die Wahrscheinlichkeit eines erneuten Angriffs.

Allerdings sind Security-Teams nach einem Cyberangriff meist mit der Reaktion auf den Vorfall, mit der Wiederherstellung der Daten und Betriebsfähigkeit sowie der Säuberung der Systeme ausgelastet. Eine zeitnahe, vollständige Überprüfung der Technologien und Prozesse ist da selten möglich. Zudem besteht die Gefahr, in der Eile wichtige Schwachstellen zu übersehen. Das gilt besonders für kleine und mittelgroße Firmen, deren IT-Teams kleiner sind als die großer Unternehmen.

Prioritäten setzen, um erneute Angriffe zu verhindern

Um die Ressourcen des Sicherheitsteams so effektiv wie möglich einzusetzen, ist es daher sinnvoll, sich zunächst auf die häufigsten Angriffsziele zu konzentrieren.

Laut einer Studie des Branchenverbands Bitkom zielten 2024 ein Drittel (35 Prozent) aller Cyberangriffe auf Passwörter – häufig mit Erfolg, denn die Verwendung schwacher oder kompromittierter Passwörter ist immer noch weit verbreitet. Prüfen Sie also Ihr Active Directory auf schwache, bereits kompromittierte und mehrfach verwendete Passwörter und setzen sie strikte Passwortrichtlinien durch. Lösungen wie Specops Password Policy unterstützen Sie dabei u. a. mit kontinuierlichen Scans auf kompromittierte Passwörter und nutzerfreundlichen Richtlinien und Feedback für Ihre Mitarbeiter.

Privilegierte Konten sollten darüber hinaus durch Multi-Faktor-Authentifizierung gesichert werden. Apropos „privilegierte Konten“: Falls noch nicht geschehen, unterziehen Sie die Konten Ihrer Mitarbeiter einem Rechte-Check nach dem Least-Privilege-Prinzip und gewähren sie jedem nur die Rechte, die er wirklich benötigt.

Viele Cyberangriffe sind nach wie vor auf veraltete Software und nicht rechtzeitig eingespielte Updates zurückzuführen. Kontrollieren Sie also, ob Betriebssysteme, Firmware und Gerätetreiber aktuell sind und ersetzen Sie gegebenenfalls veraltete Systeme und Hardware. Auch Fehlkonfigurationen sind häufige Angriffspunkte. Prüfen Sie, ob Sie Ihre Regeln für den Datenverkehr schärfen können oder ob es unnötig offene Ports bei Firewalls gibt, die einen erneuten Cyberangriff erleichtern können.

Allerdings ist eine lückenlose Überprüfung der gesamten Soft- und Hardwarelandschaft eine besondere Herausforderung. Denn häufig haben Unternehmen gar keinen vollständigen Überblick über alle relevanten Assets wie Server, Datenbanken, Anwendungen, Drittsysteme, Cloud-Dienste, Netzwerkschnittstellen oder IoT-Geräte etc. – zumal wahrscheinlich einige davon gar nicht offiziell betrieben werden (Stichwort Schatten-IT – siehe oben).

Angriffsfläche überwachen

Die Tatsache, dass es oftmals Wochen oder Monate dauert, ehe ein Cyberangriff entdeckt oder eine Schwachstelle identifiziert wird, unterstreicht die Relevanz von Prävention, um erneute Cyberangriffe auf ein bereits angeschlagenes Unternehmen zu verhindern.

Viele Angriffe erfolgen über ungeschützte, unbekannte oder unüberwachte Assets oder Cloud-Zugänge, die dann von Angreifern als Sprungbrett genutzt werden, um weiter in das Unternehmensnetz vorzudringen. Eine sehr wirkungsvolle Präventionsmaßnahme ist es daher, ein External Attack Surface Management (EASM) zu implementieren. Dabei wird das IT-Ökosystem eines Unternehmens lückenlos inventarisiert, genauer gesagt alle mit dem Internet verbundenen Ressourcen inklusive verwaister Dienste und der gesamten Schatten-IT. So können ungenutzte Dienste deaktiviert, offene Ports geschlossen und veraltete Software upgedatet werden. Ein großer Vorteil ist, dass EASM-Systeme wie die EASM-Plattform von Outpost24 nur minimalen Input benötigen (IP-Adresse oder Domain), um kontinuierliche, automatisierten Scans durchzuführen und gefundene potenzielle Schwachstellen einer automatischen Risikoanalyse zu unterziehen.

Verständnis der Sicherheitslage vertiefen – mit Penetrationstests

Eine sinnvolle Ergänzung zu EASM sind Penetrationstests. Dabei werden gezielt besonders sensible Bereiche des IT-Ökosystems aus dem Blickwinkel von Cyberkriminellen betrachtet. Mit autorisierten, simulierten Angriffen wird die Sicherheit des Systems eingehend manuell evaluiert, wobei auch der Zusammenhang mit der jeweiligen Funktion und Performance einbezogen wird. Die Ergebnisse werden in detaillierten Berichten dargestellt, die konkrete Schwachstellen und deren Behebung beschreiben

Allerdings sind klassische Penetrationstests immer Momentaufnahmen, die Schwachstellen und Sicherheitslücken der IT-Infrastruktur zu einem bestimmten Zeitpunkt abbilden. Für Unternehmen mit komplexen, dynamischen IT-Ökosystemen empfehlen sich daher regelmäßige oder kontinuierliche Penetrationstests, bei denen die Tiefe und Präzision manueller Tests mit automatisierten Schwachstellen-Scans kombiniert wird (Penetration Testing as a Service, PTaas). Um dabei falsch positive Ergebnisse zu vermeiden, werden gefundene Schwachstellen zunächst von Fachleuten begutachtet. Mit PTaaS-Lösungen wie denen von Outpost24 können so auch Webanwendungen umfassend gesichert werden, wenn Änderungen daran vorgenommen oder neue Angriffsmethoden entdeckt wurden.

Sicherheitsfaktor Mensch nicht vergessen

Denken Sie auch an Ihre Mitarbeiter und beziehen Sie sie in Ihre präventiven Sicherheitsmaßnahmen mit ein. Denn nicht selten beginnt ein erfolgreicher Cyberangriff mit „Human Hacking“ –manipulierten oder kurzzeitig unaufmerksamen Mitarbeitenden, die etwa unbedacht einen Link in einer Phishing-Mail anklicken. Laut dem 2024 Data Breach Investigations Report von Verizon waren bei 68 Prozent der untersuchten Angriffe auch Social Engineering oder menschliches Versagen im Spiel.

Sensibilisieren und schulen Sie Ihre Mitarbeiter für Cybersicherheit, damit sie Phishing-Mails und Social-Engineering-Methoden erkennen können. Informieren Sie sie über sichere Praktiken für Passwörter und Cloud-Dienste. Und bieten Sie regelmäßige Auffrischungskurse an, um das Wissen aktuell zu halten.

Fazit

Jeder Cyberangriff stellt Unternehmen vor große Herausforderungen, aber er bietet auch eine Chance, um die IT-Infrastruktur nachhaltig zu stärken und so erneute Cyberangriffe bereits im Vorfeld abzuwehren. Präventive Maßnahmen wie External Attack Surface Management und regelmäßige Penetrationstests können erheblich zur Absicherung der IT-Landschaft beitragen, indem sie einen aktuellen Überblick über das gesamte IT-Ökosystem gewähren und Schwachstellen aufdecken. Auch die Schulung und Sensibilisierung der Mitarbeiter spielt eine entscheidende Rolle, um menschliches Versagen und Social Engineering zu verhindern.