Nicht nur bei Privatnutzern, sondern auch in vielen Unternehmen haben sich Annahmen leider verfestigt, dass die Folgen ein Cyberangriffs schon nicht so schlimm seien oder man erst gar nicht das Ziel von Hackern sein könne. Sechs Irrtümer, die sich hartnäckig halten.
Bei ihrem Kampf gegen Cyberangriffe treffen Experten des IT-Sicherheitsunternehmens Sophos immer wieder auf Fehleinschätzungen.Ob groß oder klein – in fast allen Unternehmen und Organisationen, die das Sophos Rapid Response Team zu Hilfe rufen, tauchen die gleichen Sicherheitsirrtümer auf. Was Legende ist und Hackern leider das Leben erleichtert: Hier die häufigsten IT-Sicherheitsirrtümer.
"Wir sind als Opfer doch viel zu klein"
Zu klein, zu uninteressant oder wenig lukrativ, um bedroht zu sein? Kriminelle nehmen darauf wenig Rücksicht. Jede Person oder jedes Kleinstunternehmen ist ein potenzielles Opfer. Die meisten Hackerangriffe erfolgen weiterhin nicht im spektakulären James-Bond-Style, sondern werden von Hackern auf der Suche nach leichter Beute ausgeübt. Zu den beliebtesten Zielen zählen Unternehmen mit nicht gepatchten Sicherheitslücken oder Fehlkonfigurationen.
"Endpoint-Schutz reicht völlig aus"
Wirklich? Die Haltung, dass Endpoint-Schutz ausreicht, um Gefahren zu stoppen und Server keine eigenen Sicherheitsmaßnahmen benötigen, wird von Angreifern gern ausgenutzt: Jeder Fehler in der Konfiguration, beim Patchen oder der Sicherheit, macht Server zu einem Ziel höchster Priorität für Hacker.
Die Liste der Angriffstechniken, mit denen versucht wird, Endpoint-Software zu umgehen oder zu deaktivieren und eine Erkennung durch IT-Sicherheitsteams zu vermeiden, wird von Tag zu Tag länger. Verschleierter Schadcode, der direkt in den Speicher injiziert wird, "dateilose" Malware-Angriffe, das Laden von DLLs (Dynamic Link Library) sowie Angriffe, die neben alltäglichen IT-Admin-Tools und -techniken auch legitime Fernzugriffsagenten wie Cobalt Strike verwenden. Traditionelle Antiviren-Technologien haben Schwierigkeiten, solche Aktivitäten zu erkennen und zu blockieren.
Eine Fehlannahme ist es auch, dass geschützte Endpoints Eindringlinge daran hindern können, sich ihren Weg zu ungeschützten Servern zu bahnen. Server sind mittlerweile das Angriffsziel Nummer eins und Angreifer können mit gestohlenen Zugangsdaten leicht einen direkten Weg zu diesen „Kronjuwelen“ in Unternehmen finden, warnen Experten vom Sicherheitsunternehmen Sophos. Das betrifft übrigens auch Linux-Rechner.
"Wir blockieren IP-Adressen aus Hochrisiko-Regionen wie Russland, China und Nordkorea. Das schützt uns vor Hackern"
Schön wär’s, leider führt das Blockieren von IP-Adressen aus bestimmten Regionen zu einer trügerischen IT-Sicherheit. Denn Angreifer hosten ihre schädliche Infrastruktur in vielen Ländern, zum Beispiel mit Hubs in den USA, den Niederlanden oder anderen europäischen Ländern.
"Die Auswirkungen von Ransomware bedroht uns nicht, wir haben ja Backups"
Backups von Daten sind wichtig für den Fall eines Datenverlusts, einer technischen Störung oder einer Cyber-Attacke. Aber: Sind diese Backup-Systeme mit dem Netzwerk verbunden, sind sie in Reichweite von Angreifern und anfällig dafür, bei einem Ransomware-Angriff verschlüsselt, gelöscht oder deaktiviert zu werden. Auch gilt es zu bedenken, dass die Begrenzung der Anzahl von Personen mit Zugriff auf die Backups die Sicherheit nicht wesentlich erhöht, da die Angreifer diese im Netzwerk wahrscheinlich schon mit Zugangsdaten ausgespäht haben.
Auch bei der Speicherung von Backups in der Cloud ist Vorsicht geboten. In einem vom Sophos untersuchten Fall schickten die Angreifer dem Cloud-Service-Provider eine E-Mail von einem gehackten IT-Administrator-Konto und forderten ihn auf, alle Backups zu löschen. Der Anbieter kam der Aufforderung nach.
Eselsbrücke für sichere Backups, damit die Datenwiederherstellung zuverlässig klappt: 3-2-1: drei Kopien unter Verwendung von zwei verschiedenen Systemen, von denen eines zusätzlich offline ist. Ein zusätzlicher Hinweis: Offline-Backups schützen die Daten nicht vor Ransomware-Angriffen, bei denen die Kriminellen die Daten stehlen und damit drohen, sie zu veröffentlichen, anstatt sie "nur" zu verschlüsseln.
"Unsere Mitarbeiter verstehen Sicherheit"
Das mag sein, aber Cyberkriminelle gehen immer raffinierter vor und wenden Social-Engineering-Taktiken an, also spähen ihre Opfer im Vorfeld aus, um ihre Phishing-E-Mails vertrauenserweckender zu formulieren. Die Nachrichten sind oft präzise in fehlerfreier Rechtschreibung verfasst, überzeugend und sorgfältig ausgewählt. Mitarbeiter müssen genau wissen, wie sie verdächtige Nachrichten erkennen können und was zu tun ist, wenn sie eine solche erhalten. Wen benachrichtigen sie, damit andere Mitarbeiter in Alarmbereitschaft versetzt werden können?
"Okay, wenn Hacker doch mal unsere Daten verschlüsselt haben , zahlen wir halt das Lösegeld, um sie nach einem Ransomware-Angriff wiederherstellen zu können"
Dieser Trugschluss ist wohl der bitterste, denn laut der "State of Ransomware"-Umfrage 2021 stellt ein Unternehmen, das das Lösegeld zahlt, im Durchschnitt nur etwa zwei Drittel (65 Prozent) seiner Daten wieder her. Lediglich 8 Prozent erhielten alle Daten zurück, und 29 Prozent konnten weniger als die Hälfte wiederherstellen. Die Zahlung des Lösegelds ist keine Lösung, um wieder auf die Beine zu kommen.
Außerdem ist die Wiederherstellung der Daten nur ein Teil des Wiederherstellungsprozesses – in den meisten Fällen legt die Ransomware die Computer komplett lahm, wodurch Software und Systeme von Grund auf neu aufgebaut werden müssen, bevor die Daten wiederhergestellt werden können. Die Wiederherstellungskosten für Firmen sind im Durchschnitt zehnmal so hoch wie die Lösegeldforderung. Zahlen sollte man im Übrigen nicht. Die meisten IT-Sicherheitsexperten raten davon ab.
Bildquelle: Anthe Delater/Pixelio.de
