„Ransomware ist tatsächlich nur ein kleiner Teil der Bedrohungen“

Die Gefahr durch Ransomware-Angriffe ist den meisten IT-Verantwortlichen mittlerweile bewusst. Doch handele es sich dabei nur um einen kleinen Teil der zahlreichen Bedrohungen für die IT-Sicherheit, so Thomas Uhlemann, Security Specialist bei Eset. Im Interview mit com! professional erklärt er, auf was es bei der Cyberabwehr wirklich ankommt.

Thomas Uhlemann Security Specialist bei Eset

(Quelle: Eset)

Thomas Uhlemann: Ransomware ist tatsächlich nur ein kleiner Teil der täglich aktualisierten Bedrohungen. Oft wird aber Ransomware über sogenannte Double- oder Triple-Extorsion-Angriffe mit anderen Attacken kombiniert.

Im Konkreten geht es dabei um Datendiebstahl – ob zur weiteren Erpressung oder zur weiteren Verwendung für zukünftige Attacken, auch bei Partnern der Opfer. Die E-Mail bleibt der Hauptverbreitungsweg für alle Bedrohungsarten. Hier muss dringend der Fokus auf frühzeitige Erkennung und Abwehr von Schadcode und Phishing gelegt werden.

Uhlemann: Zero Trust richtig umgesetzt sollte eigentlich die Grundlage jeder IT-Security-Planung sein. Das Prinzip, dass alle Nutzer und Systeme nur so viele Rechte wie unbedingt nötig im Netzwerk haben, dämmt erfolgreiche Netzwerkangriffe – etwa über das Remote Desktop Protocol mittels geknackter oder gestohlener Zugangsdaten – bestmöglich ein. Zero Trust ist also mehr als ein Hype, sondern essenziell, kann aber für sich allein nicht das gesamte Sicherheitskonzept abbilden. Dazu gehören natürlich noch Multi-Faktor-Authentifizierungen und manches mehr.

Uhlemann: Man könnte das Identitätsmanagement als „Aufsatz“ auf Zero Trust sehen oder als parallele Grundlage für Unternehmen. Neben der Rechteverwaltung ist hier der entscheidende Punkt, dass Identitäten regelmäßig überprüft und aktualisiert werden. Wenn etwa Mitarbeiter ausscheiden, müssen deren Accounts und Zugänge entsprechend eingeschränkt oder ganz deaktiviert werden, um Datenverlust oder andere Angriffe zu vermeiden.

Uhlemann: Knapp 80 Prozent aller erfolgreichen Angriffe auf Unternehmen basieren auf dem Ausnutzen von Zugangsdaten. Hier meist durch vergestohlene, zu einfache, wiederverwendete oder geknackte Passwörter. Deswegen ist es entscheidend, das Thema Passwort entsprechend zu verabschieden – dort, wo das geht. Digitale Identitäten, durch Signaturen, Zertifikate oder Token, die ihrerseits wieder zum Beispiel durch biometrische Daten gesichert und verifiziert werden können, sind nach aktuellem Stand der einfachste und sichere Weg weg vom Passwort.

Uhlemann: Die jüngste Vergangenheit zeigt uns, dass beim Erstellen der digitalen Identitäten, etwa der entsprechenden Zertifikate, unbedingt das Thema Sicherheit weiter oben ansetzen muss. Es ist aktuell noch viel zu leicht, Zertifikate unberechtigt ausgestellt zu bekommen. Kriminelle sind immer auf der Jagd, wenigstens für einen kurzen Zeitraum, möglichst Root-Zertifikate zu erlangen, um ihre Angriffe zum Beispiel an den Überprüfungsmechanismen von Betriebssystem et cetera vorbeizuschmuggeln. Andere bereits beobachtete Angriffe zielen auf das Ausnutzen von inkorrekt implementierten Überprüfungsmechanismen oder das Stehlen von Identitäten über kompromittierte Browser ab. Auch hier muss und wird ständig nachgebessert.

Uhlemann: Ich denke, dass es da wie bisher auch im nächsten Jahr eher mau aussieht. Durch die weitere Verbreitung von 5G-vernetzten Geräten dezentralisiert sich die (Unternehmens-)Kommunikation zusätzlich, was weitere Herausforderungen für Firmen mit sich bringt. Zusätzlich dazu gibt es noch viel zu viele Geräte mit fehlerhafter Firmware, die man nicht so einfach aktualisieren kann, was Cyberkriminelle natürlich mit der Zunge schnalzen lässt. Allein die schiere Masse an (I)IoT-Geräten bietet genügend Angriffsfläche.

Uhlemann: Wir werden vorläufig auch weiter an den Basics arbeiten müssen. Grundlegende Konzepte, wie Zero Trust und Identitätsmanagement, aber auch das Verankern auf Vorstandsebene und bei allen Mitarbeitern, dass IT-Security nicht die Arbeit behindert, sondern Arbeitsplätze sichert, müssen weiter vertieft werden.

Klar ist auch: IIoT und damit 5G werden eine Herausforderung bleiben. Zudem wird es spannend sein zu sehen, ob sich das Metaverse durchsetzen kann und wie sorgfältig oder eben auch sorglos Unternehmen sich dort präsentieren – und wie Kriminelle dies für sich nutzen wollen.