In den vergangenen Jahren führten uns Hacker immer wieder mit Ransomware-Attacken, Phishing-Wellen und Supply-Chain-Angriffen vor Augen, wie lückenhaft viele System-Architekturen sind. Zu den brisantesten Beispielen gehört neben dem Hack der Colonial Pipeline in den USA und dem Angriff auf das Uniklinikum Düsseldorf vor allem die kürzlich entdeckte Zero-Day-Schwachstelle Log4Shell im Java-Logging-Framework Log4J – eine Sicherheitslücke, deren wahres Ausmaß wir erst in Jahren abschätzen werden können. Eines aber lässt sich bereits festhalten: Fünf Branchen sind für Hacker besonders attraktiv und sollten sich entsprechend gut wappnen. Ein robustes Rahmenwerk dafür bieten die Critical Security Controls des Center of Internet Security (CIS): Sie helfen Ihrem Unternehmen, die eigene Netzwerksicherheit mit Best Practices zu vergleichen und Optimierungspotenziale in der IT-Security zu identifizieren.
Welche fünf Branchen besonders gefährdet sind? Ganz einfach: Diejenigen, auf deren Systemen besonders wertvolle, besonders sensible und besonders streng regulierte Daten zu finden sind – denn hier winkt bei einem erfolgreichen Angriff der höchste Profit. Neben dem Finanzwesen und der Gesundheitsbranche gehören hierzu (vielleicht ein wenig überraschend) auch das Baugewerbe, die ITK-Branche und der Mittelstand. Letzterer stellt zwar keine Branche im engeren Sinne dar, gehört aber – wie im Folgenden noch zu sehen sein wird – mit Fug und Recht auf die Top Five der begehrtesten Angriffsziele.
Finanzindustrie
Die Finanzindustrie steht schon immer im Fokus cyberkrimineller Aktivitäten. Dabei sind die Attacken in aller Regel finanziell motiviert: Im Worst-Case kann es den Angreifern sogar gelingen, direkten Zugriff auf das Kapital der Bankkunden und Anleger zu erlangen. Darüber hinaus verwalten die Finanzinstitute aber auch Unmengen an sensiblen, für Angreifer hoch lukrativen Daten: Von persönlichen Finanzdaten über geschäftskritische Informationen bis hin zu Insider-Informationen oder Datenbeständen für Data Analytics.
Erschwerend kommt hinzu, dass das Finanzwesen im Zuge der Digitalisierung aktuell einen dynamischen, wenn nicht sogar disruptiven Wandel durchläuft: Ein agiler Schwarm aggressiver junger Fintechs, die sogenannten Challenger Banks, setzt sich mit innovativen digitalen Service-Angeboten immer mehr vom übrigen Markt ab und zwingt die etablierten Anbieter dazu, ebenfalls mit Hochdruck zu digitalisieren. Damit steigt branchenweit die Abhängigkeit von Technologie und Daten, und die größeren Angriffsflächen erhöhen auch die Gefahr eines Breaches.
Gesundheitswesen
Auch die Gesundheitsbranche gehört seit vielen Jahren zu den Top-Zielen der Cyberkriminellen. Immerhin liegen auf den Servern der Healthcare-Anbieter die wohl sensibelsten und am strengsten regulierten Daten der Welt – und die sind natürlich von enormem Wert.
Laut dem „Global Threat Report 2021“ von NTT verzeichnete das Gesundheitswesen allein im ersten Pandemiejahr einen Anstieg der Cyberattacken um 200 % im Vergleich zum Vorjahr. Den Löwenanteil der bösartigen Aktivitäten machten dabei mit 97 % die Web-Application- und anwendungsspezifischen Angriffe aus. Dies geht vermutlich auf die zunehmende Öffnung der Netzwerke für Remote-Zugriffe zurück: Sowohl Mitarbeiter als auch Patienten werden im Zuge von Telemedizin-Konzepten immer öfter an zentrale Ressourcen angebunden, was die Patientenversorgung in der Regel verbessert, allerdings zusätzliche Angriffspunkte schafft.
Neben dem Identitätsdiebstahl und der Ransomware-Erpressung (wie etwa im Fall der Uniklinik Düsseldorf1) spielt auch die Cyberspionage im Gesundheitswesen und in der Gesundheitsforschung eine immer größere Rolle. Dies illustriert beispielsweise der Angriff auf die Europäische Arzneimittelagentur (EMA), bei dem Unbekannte unrechtmäßig auf Impfstoffdokumente zugriffen. Die Spionage betrifft neben Regulierungsbehörden auch Universitäten und Pharmaunternehmen, wie Angriffe auf die Impfstoff-Lieferkette dokumentieren.
Baugewerbe
Aktuellen Studien zufolge (z.B. im „Hiscox Cyber Readiness Report 2020“2 des Spezialversicherers Hiscox in Zusammenarbeit mit Forrester Consulting) waren über 50 % der Unternehmen aus der deutschen Baubranche bereits Opfer eines Cyberangriffs. Bei näherer Betrachtung der Zahlen fällt dabei vor allem der überdurchschnittlich hohe Anteil der Phishing-Attacken auf. Dieser könnte ein Indikator für unzureichend geschulte Mitarbeiter und fehlende Security-Awareness sein.
Auch wenn das Baugewerbe nach Einschätzung vieler Experten bislang sehr zurückhaltend digitalisiert, verlagern sich auch hier immer mehr Geschäftsprozesse in die IT-Welt. Dabei ist wie immer Vorsicht geboten: Wer mit Bauplänen, Projektangeboten, Evaluierungen, Geschäftsgeheimnissen und Infrastrukturplänen seiner Kunden arbeitet, muss die gebührende Sorgfalt walten lassen, um Schäden und finanzielle Verluste zu vermeiden.
Das Schadenspotenzial in der Branche ist enorm, wie das Beispiel des französischen Bauunternehmens Ingérop verdeutlicht: 2018 wurden dem Unternehmen über einen deutschen Server rund 65 Gigabyte an Daten gestohlen, darunter viele Dokumente aus kritischen Infrastruktureinrichtungen wie Atomkraftwerken und Atommüll-Endlagern, Hochsicherheitsgefängnissen und Straßenbahnnetzen, von den persönlichen Daten der mehr als 1.200 Mitarbeiter ganz zu schweigen.
IT- und Telekommunikationsbranche
Der Cloud- und Digitalisierungsboom der letzten Jahre hat die ITK-Branche nachhaltig verändert, und ungleich leistungsfähiger, aber auch komplexer gemacht. In der Befragung „Digital Trust Insights 2022“3 der PwC Wirtschaftsprüfungsgesellschaft bezeichneten 82 Prozent der deutschen Führungskräfte die Komplexität in ihren Unternehmen als zu hoch. 60 Prozent gehen davon aus, dass die Cyberkriminalität 2022 zunehmen wird – insbesondere über die Vektoren Mobile, IoT und Cloud.
Zahlreiche Studien untermauern diese Einschätzung: Mit dem rasanten Anstieg mobiler Endpunkte, smarter IoT-Devices und offener APIs werden die Menge und der Wert der weltweit verarbeiteten Daten auf ein Vielfaches zunehmen, und auch die Angriffsfläche der Unternehmen weiterwachsen. ITK-Unternehmen müssen also darauf achten, nicht nur ihre Produkte und Infrastrukturen weiterzuentwickeln, sondern auch den Security-Stack kontinuierlich zu optimieren.
Kleine und mittelständische Unternehmen
Der Digitalisierungsschub der letzten Jahre ist auch am Mittelstand nicht vorbeigegangen. Zur Aufrechterhaltung des Geschäftsbetriebes während der Pandemie waren umfangreiche Investitionen in neues digitales Equipment erforderlich – Stichwort: Teleworking –, die sich nicht verschieben ließen (und die häufig durch staatliche Digitalisierungsprogramme flankiert wurden). Allerdings gingen die Digitalisierungsvorhaben nur selten mit ähnlich ambitionierten Security-Investitionen Hand in Hand, sodass in puncto Sicherheit heute enormer Nachholbedarf besteht.
Während große Unternehmen heute praktisch ausnahmslos dedizierte Mitarbeiter oder ganze Abteilungen für die Cyber-Sicherheit beschäftigen, sind KMUs aufgrund der geringeren Ressourcen oft unzureichend geschützt: Nur etwa die Hälfte beschäftigt inhouse eigene Security-Experten. Für Angreifer stellen ungeschützte KMUs als „Weg des geringsten Widerstandes“ natürlich ein attraktives Angriffsziel dar.
Selbst wenn also keine Etats für großangelegte Security-Initiativen vorhanden sind, sind die KMUs gut beraten, ihre Einfallstore soweit es geht zu minimieren. Um für den Falle der Fälle – einen erfolgreichen Angriff – gewappnet zu sein, gilt es zudem, laterale Bewegungen durch das Netzwerk so gut es geht zu unterbinden.
Privileged Access Management sorgt für ein höheres Niveau an Sicherheit
So unterschiedlich die fünf genannten Branchen auch sind, folgt die Mehrzahl der Cyberangriffe dem gleichen Muster: Erst verschaffen sich die Angreifer mit gestohlenen oder per Social Engineering abgefischten Zugangsdaten Zutritt zum Netzwerk. Dann bewegen sie sich lateral von System zu System und eskalieren ihre Zugriffsrechte, bis sie die wertvollsten Daten des Unternehmens finden. Diese werden dann gestohlen, verschlüsselt oder vernichtet – je nachdem, was den höchsten Profit verspricht.
Den besten Schutz vor solchen Attacken bietet eine konsistente Access-Management-Strategie, die das Augenmerk auf den Schutz privilegierter Accounts mit weitreichenden Zugriffsrechten legt. Eine Kernkomponente ist hierbei das sogenannte Least-Privilege-Prinzip: Authentifizierte Anwender erhalten stets nur ein Mindestmaß an Privilegien für einen begrenzten Zeitraum, um ihre aktuelle Aufgabe umzusetzen. Eine robuste PAM-Lösung sollte zusätzlich auch Multi-Faktor-Authentifizierung (MFA) sowie eine konsequente Strategie für das Passwortmanagement umfassen, beispielsweise in Form von automatischen Passwort-Updates für Netzwerkkonten und die Speicherung in sicheren Vaults. Auf diese Weise bleiben kritische Zugangsdaten wie Infrastruktur-Accounts, DevOps-Zugänge oder SSH-Schlüsselpaare zuverlässig geschützt. Für optimalen Schutz haben sich Red-Team-Übungen, erweiterte Audits und dedizierte Mitarbeiterschulungen zum Schutz vor Social Engineering bewährt.
CIS Critical Security Controls als Leitplanke für konsistentes PAM
Auch wenn viele Unternehmen bereits einige dieser PAM-Komponenten einsetzen, fehlt es allerdings oft an einer vollumfänglichen Strategie, die das Thema holistisch adressiert und vollumfänglichen Schutz bietet. Genau diesen ganzheitlichen Ansatz liefert nun das gemeinnützige Center for Internet Security (CIS) mit seinem Critical Security Controls (CSC)4 Framework – einem 18 Punkte umfassenden Rahmenwerk, an dem sich Unternehmen orientieren können, um jeden Aspekt ihrer Cyber-Sicherheit auf den Prüfstand zu stellen. Für KRITIS-regulierte Unternehmen besonders relevant: In der aktuellen achten Version rücken die Themen „Access Control Management“ und „Priviliged Access Management“ deutlich stärker in den Fokus. Viele der Handlungsempfehlungen beziehen sich entweder ausdrücklich oder implizit auf das Thema PAM und unterstreichen den hohen Stellenwert eines angemessenen Schutzes privilegierter Konten bei der Umsetzung konsistenter Cyber-Sicherheits-Strategien. Unternehmen aller betroffenen Branchen erhalten mit den CIS-Kontrollen eine klare Leitplanke, anhand derer sie ihre IT-Security überprüfen und kontinuierlich optimieren können.
Wir von iC Consult unterstützen Sie gerne bei der Planung und Umsetzung einer maßgeschneiderten PAM-Lösung, die den CIS-Empfehlungen gerecht wird und einen durchgängigen Schutz Ihrer Systeme gewährleistet. Nehmen Sie gerne Kontakt mit uns auf und unseren kostenlosen Pre-Workshop in Anspruch. Nutzen Sie einfach unser Kontaktformular oder erfahren Sie hier mehr.
Referenzen
1 IT-Ausfall an der Uniklinik Düsseldorf, Universitätsklinikum Düsseldorf, 17.09.2020, https://www.uniklinik-duesseldorf.de/ueber-uns/pressemitteilungen/detail/it-ausfall-an-der-uniklinik-duesseldorf
2 Hiscox Cyber Readiness Report 2020, Hiscox Ltd, 2020, https://www.hiscox.co.uk/sites/uk/files/documents/2020-06/Hiscox_Cyber_Readiness_Report_2020_UK.PDF
3 Digital Trust Insights 2022, PwC Germany, https://www.pwc.de/de/im-fokus/cyber-security/digital-trust-insights.html
4 The 18 CIS Critical Security Controls, Center for Internet Security, https://www.cisecurity.org/controls/cis-controls-list