Was ist IT-Sicherheit?

Jedes Unternehmen ist anfällig für Cyber-Bedrohungen von innerhalb und außerhalb. Diese Bedrohungen können absichtlich erfolgen, wie bei Cyberkriminellen, oder unbeabsichtigt, wie bei Mitarbeitern oder Auftragnehmern, die versehentlich auf schädliche Links klicken oder Malware herunterladen. 

Die IT-Sicherheit zielt darauf ab, dieses breite Spektrum von Sicherheitsrisiken zu bewältigen und alle Arten von Bedrohungsakteuren und ihre unterschiedlichen Motivationen, Taktiken und Fähigkeiten zu berücksichtigen.

Malware ist eine bösartige Software, die infizierte Systeme unbrauchbar machen, Daten vernichten, Informationen stehlen und sogar Dateien löschen kann, die für das Betriebssystem kritisch sind. 

Zu den bekannten Arten von Malware gehören: 

• Ransomware ist Malware, die die Daten oder das Gerät eines Opfers sperrt und droht, diese weiterhin gesperrt zu halten – oder Schlimmeres damit zu tun –, wenn das Opfer kein Lösegeld zahlt. Laut dem IBM Security® X-Force® Threat Intelligence Index 2023 machten Ransomware-Angriffe im Jahr 2022 17 % aller Cyberangriffe aus.
   

• Ein Trojanisches Pferd ist eine Malware, die Menschen dazu verleitet, sie herunterzuladen, indem sie sich als nützliches Programm tarnt oder sich in legitimer Software versteckt. Ein Remote-Access-Trojaner (RAT) schafft eine geheime Hintertür auf dem Gerät des Opfers, während ein Dropper-Trojaner zusätzliche Malware installiert, sobald er Fuß gefasst hat.
   

• Spyware sammelt heimlich sensible Informationen wie Benutzernamen, Kennwörter, Kreditkartennummern und andere personenbezogene Daten und sendet sie an den Hacker zurück.
   

• Ein Wurm ist eine sich selbst replizierende Malware, die sich automatisch zwischen Apps und Geräten verbreiten kann.

Social Engineering wird oft als „Human Hacking“ bezeichnet und manipuliert Opfer dazu, Maßnahmen zu ergreifen, die vertrauliche Informationen preisgeben, die Sicherheit ihrer Unternehmen gefährden oder das finanzielle Wohlergehen ihrer Unternehmen bedrohen.

Phishing ist die bekannteste und am weitesten verbreitete Art von Social-Engineering-Angriffen. Bei Phishing-Angriffen werden betrügerische E-Mails, Textnachrichten oder Telefonanrufe verwendet, um Menschen auszutricksen. Diese Angriffe zielen darauf ab, Menschen dazu zu bringen, personenbezogene Daten weiterzugeben oder auf Zugangsdaten zuzugreifen, Malware herunterzuladen, Geld an Cyberkriminelle zu überweisen oder andere Handlungen vorzunehmen, durch die sie Opfer von Cyberkriminalität werden könnten. Zu den besonderen Arten von Phishing gehören: 

• Spear-Phishing – äußerst gezielte Phishing-Angriffe, bei denen eine bestimmte Person manipuliert wird, wobei oft Details aus den öffentlichen Social-Media-Profilen des Opfers verwendet werden, um die Täuschung überzeugender zu machen.
   

• Whale-Phishing– Spear-Phishing, das auf Führungskräfte von Unternehmen oder vermögende Privatpersonen abzielt.
   

• Business Email Compromise (BEC) – Betrug, bei dem sich Cyberkriminelle als Führungskräfte, Lieferanten oder vertrauenswürdige Geschäftspartner ausgeben, um Opfer dazu zu verleiten, Geld zu überweisen oder sensible Daten weiterzugeben.

Eine andere Social-Engineering-Taktik, das Tailgaiting, ist weniger technisch, aber nicht weniger bedrohlich für die IT-Sicherheit: Dabei wird eine Person mit physischem Zugang zu einem Rechenzentrum (z. B. jemand mit einem Ausweis) verfolgt (oder „beschattet“) und schleicht sich buchstäblich von hinten an, bevor sich die Tür schließt.

Bei einem DoS-Angriff wird eine Website, eine Anwendung oder ein System mit einer großen Menge an betrügerischem Datenverkehr überflutet, so dass es für legitime Benutzer zu langsam oder überhaupt nicht mehr verfügbar ist. Bei einem DDoS-Angriff (Distributed Denial of Service ) wird ein Netzwerk von mit dem Internet verbundenen, mit Malware infizierten Geräten – ein sogenanntes Botnet – verwendet, um die Zielanwendung oder das Zielsystem lahmzulegen oder zum Absturz zu bringen. 

Ein Zero-Day-Exploit profitiert von einer unbekannten oder noch nicht behobenen Sicherheitslücke in einer Computersoftware, -hardware oder -firmware. Der Begriff „Zero Day“ bezieht sich auf die Tatsache, dass der Software- oder Geräteanbieter „null Tage“ (auf Englisch „zero days“) bzw. keine Zeit hat, die Sicherheitslücke zu schließen, weil böswillige Akteure sie bereits nutzen können, um sich Zugang zu anfälligen Systemen zu verschaffen.

Insider-Threats stammen von Mitarbeitern, Partnern und anderen Benutzern mit autorisiertem Zugriff auf das Netzwerk. Ob unbeabsichtigt (z. B. ein Drittanbieter, der dazu verleitet wird, Malware zu starten) oder böswillig (z. B. ein verärgerter Mitarbeiter, der auf Rache aus ist) – Insider-Threats haben es in sich. Ein aktueller Bericht von Verizon (Link befindet sich außerhalb von ibm.com) zeigt, dass die durchschnittliche externe Bedrohung etwa 200 Millionen Datensätze kompromittiert, während die Bedrohung durch einen internen Bedrohungsakteur bis zu 1 Milliarde Datensätze gefährdet.

Bei einem MITM-Angriff belauscht ein Cyberkrimineller eine Netzwerkverbindung und fängt Nachrichten zwischen zwei Parteien ab und leitet sie weiter, um Daten zu stehlen. Ungesicherte WLAN-Netzwerke sind ein beliebtes Ziel für Hacker, die MITM-Angriffe starten.

Da die Bedrohungen der Cybersicherheit immer schneller und komplexer werden, setzen Unternehmen IT-Sicherheitsstrategien ein, die eine Reihe von Sicherheitssystemen, -programmen und -technologien kombinieren. 

Unter der Aufsicht erfahrener Sicherheitsteams können diese IT-Sicherheitspraktiken und -technologien dazu beitragen, die gesamte IT-Infrastruktur eines Unternehmens zu schützen und die Auswirkungen bekannter und unbekannter Cyberangriffe zu vermeiden oder abzuschwächen.

Da viele Cyberangriffe, wie z. B. Phishing-Angriffe, menschliche Schwachstellen ausnutzen, ist die Schulung von Mitarbeitern zu einer wichtigen Verteidigungslinie gegen Insider-Threats geworden.

Schulungen zum Sicherheitsbewusstsein vermitteln Mitarbeitern die Möglichkeit, Sicherheitsbedrohungen zu erkennen und sichere Gewohnheiten am Arbeitsplatz anzuwenden. Zu den häufig behandelten Themen gehören die Sensibilisierung für Phishing, die Sicherheit von Passwörtern, die Bedeutung regelmäßiger Software-Updates und Fragen des Datenschutzes, z. B. wie Kundendaten und andere sensible Informationen geschützt werden können.

Für die Multi-Faktor-Authentifizierung sind zusätzlich zu einem Benutzernamen und einem Passwort eine oder mehrere Anmeldeinformationen erforderlich. Die Implementierung einer Multi-Faktor-Authentifizierung kann verhindern, dass ein Hacker Zugriff auf Anwendungen oder Daten im Netzwerk erhält. Diese Authentifizierung funktioniert selbst dann, wenn es dem Hacker gelingt, den Benutzernamen und das Passwort eines legitimen Benutzers zu stehlen oder zu erlangen.

Die Multifaktor-Authentifizierung ist für Unternehmen, die Single Sign-on-Systeme verwenden, von entscheidender Bedeutung. Diese Systeme ermöglichen es Benutzern, sich einmal bei einer Sitzung anzumelden und während dieser Sitzung auf mehrere verwandte Anwendungen und Dienste zuzugreifen, ohne sich erneut anmelden zu müssen.

Reaktion auf Vorfälle, manchmal auch Incident Response oder Reaktion auf Cybersicherheitsvorfälle genannt, bezieht sich auf die Prozesse und Technologien eines Unternehmens zur Erkennung und Reaktion auf Cyberbedrohungen, Sicherheitsverletzungen und Cyberangriffe. Das Ziel der Incident Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.

Viele Unternehmen erstellen einen formellen Notfallplan für die Reaktion auf Vorfälle (Incident Response Plan, IRP), in dem die Prozesse und die Sicherheitssoftware festgelegt sind, die sie zur Erkennung, Eindämmung und Behebung der verschiedenen Arten von Cyberangriffen einsetzen. Laut dem Bericht „Cost of a Data Breach 2003“ lagen die Kosten einer Datenschutzverletzung bei Unternehmen, die einen formellen IRP erstellt und regelmäßig getestet haben, um 232.008 USD unter dem Durchschnitt von 4,45 Millionen USD.

Kein einzelnes Sicherheitstool kann Cyberangriffe vollständig verhindern. Dennoch können verschiedene Tools dazu beitragen, Cyberrisiken zu mindern, Cyberangriffe zu verhindern und den Schaden im Falle eines Angriffs zu minimieren. 

Zur gängigen Sicherheitssoftware zur Erkennung und Abwehr von Cyberangriffen gehören: 

• E-Mail-Sicherheitstools, einschließlich KI-basierte Anti-Phishing-Software, Spam-Filter und sichere E-Mail-Gateways

• Antivirensoftware zur Neutralisierung von Spyware oder Malware, die Angreifer verwenden könnten, um die Netzwerksicherheit zu untersuchen, Gespräche abzuhören oder E-Mail-Konten zu übernehmen

• System- und Software-Patches zum Schließen technischer Schwachstellen, die häufig von Hackern ausgenutzt werden

• Sichere Web-Gateways und andere Webfilter-Tools zum Blockieren bösartiger Websites, die häufig mit Phishing-E-Mails verknüpft sind

• Lösungen zur Erkennung von und Reaktion auf Bedrohungen nutzen Analysen, künstliche Intelligenz (KI) und Automatisierung, um Sicherheitsteams bei der Erkennung bekannter Bedrohungen und verdächtiger Aktivitäten zu unterstützen. Sie ermöglichen es den Sicherheitsteams, Maßnahmen zu ergreifen, um die Bedrohung zu beseitigen oder ihre Auswirkungen zu minimieren. Zu diesen Technologien gehören Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).

• Mit offensiver Sicherheit oder „OffSec“ wird eine Reihe proaktiver Sicherheitsstrategien bezeichnet, bei denen dieselben Taktiken wie böswillige Akteure bei realen Angriffen angewendet werden, um die Netzwerksicherheit zu stärken, statt sie zu schädigen.

Offensive Sicherheitsoperationen werden oft von ethischen Hackern durchgeführt, Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten einsetzen, um IT-Systemfehler zu finden und zu korrigieren. Zu den gängigen offensiven Sicherheitsmethoden gehören:

• Schwachstellen-Scans– mit den gleichen Tools, die Cyberkriminelle verwenden, um ausnutzbare Sicherheitslücken und Schwachstellen in der IT-Infrastruktur und den Anwendungen eines Unternehmens zu erkennen und zu identifizieren.

• Penetrationsprüfung – Starten eines simulierten Cyberangriffs, um Schwachstellen in Computersystemen, Reaktionsabläufen und dem Sicherheitsbewusstsein der Benutzer aufzudecken. Einige Datenschutzvorschriften, wie der Payment Card Industry Data Security Standard (PCI-DSS), schreiben regelmäßige Penetrationsprüfungen als Voraussetzung für die Einhaltung vor.
   

• Red Teaming Beauftragung eines Teams ethischer Hacker, einen simulierten, zielgerichteten Cyberangriff auf das Unternehmen zu starten.

Offensive Sicherheit ergänzt Sicherheitssoftware und andere defensive Sicherheitsmaßnahmen – sie deckt unbekannte Cyberangriffswege oder -vektoren auf, die anderen Sicherheitsmaßnahmen möglicherweise entgehen. Und es liefert Informationen, die Sicherheitsteams nutzen können, um ihre defensiven Sicherheitsmaßnahmen zu verstärken.