5 Schritte zum Umgang mit unvermeidbaren Datenschutzverletzungen 2023

Cyberangreifer beschleunigen das Tempo ihrer Angriffe, indem sie Unternehmen in Sachen Innovation überholen. 2023 werden groß angelegte Sicherheitsverletzungen dadurch unvermeidlich sein. In den letzten zwei Monaten waren T-Mobile, LastPass und das Virginia Commonwealth University Health System von großen Sicherheitsverletzungen betroffen. 

Bei einer Sicherheitslücke, die der amerikanische Mobilfunkanbieter am 19. Januar dieses Jahres entdeckte, wurden 37 Millionen Kundendatensätze von T-Mobile kompromittiert. Die Passwortverwaltungsplattform LastPass wurde Opfer mehrerer Angriffe, die zum Verlust von 25 Millionen Benutzeridentitäten führten. Anfang des Monats entdeckte die VCU eine Sicherheitslücke, durch die Daten von mehr als 4.000 Organspendern und -empfängern über einen Zeitraum von mehr als 16 Jahren abgegriffen wurden.

Sicherheitslücken: Die Folgen eines fehlgeschlagenen Perimeterschutzes 

Sicherheitsprobleme entstehen, wenn Cyber-Angreifer neue Wege finden, die Perimeterverteidigung zu umgehen, um unerkannt auf Netzwerke zuzugreifen und diese mit bösartigen Nutzdaten, einschließlich Ransomware, zu infizieren. Unternehmen, die Millionen oder sogar Milliarden von Dollar durch erfolgreiche Angriffe verloren haben, weisen oft auf die vielen Fehler in der Perimeter-Verteidigung hin.

Eine der größten Herausforderungen bei der Verhinderung von Datenschutzverletzungen besteht darin, dass sie durch verschiedene Faktoren verursacht werden können, darunter menschliches Versagen und externe Angriffe. Diese Unterschiede erschweren es perimeterbasierten Sicherheitssystemen, Einbruchsversuche zu erkennen und zu stoppen. Ebenso beunruhigend ist die Tatsache, dass die Verweildauer auf fast neun Monate angestiegen ist.

Trotz höherer Ausgaben für Cybersicherheit werden Sicherheitsverletzungen im Jahr 2023 zunehmen  

CCEOs und die Vorstände, für die sie arbeiten, betrachten Ausgaben für Cybersicherheit zu Recht als eine Strategie zur Risikominderung und zum Risikomanagement, in die es sich zu investieren lohnt. Der State of Security Preparedness 2023 Report von Ivanti zeigt, dass 71% der CISOs und Sicherheitsexperten davon ausgehen, dass ihre Budgets in diesem Jahr um durchschnittlich 11% steigen werden. Die weltweiten Ausgaben für das Management von Informations- und Sicherheitsrisiken werden im Jahr 2026 einen Rekordwert von 261,48 Milliarden US-Dollar erreichen, gegenüber 167,86 Milliarden US-Dollar im Jahr 2021. Das beunruhigende Paradoxon ist, dass Ransomware und immer raffiniertere Angriffe trotz dieser ständig steigenden Budgets für Cybersicherheit und Zero-Trust weiterhin erfolgreich sind.

Das Gleichgewicht der Kräfte verschiebt sich zugunsten der Cyberangreifer, einschließlich organisierter Cyberkrimineller und APT-Angriffsgruppen (Advanced Persistent Threats). Sie beobachten ein Unternehmen monatelang und greifen dann mit einer "low and slow"-Strategie an, um nicht entdeckt zu werden, wobei die Cyber-Angriffe immer ausgefeilter und schwerwiegender werden. Die angegriffenen Unternehmen verlassen sich zu sehr auf perimeterbasierte Abwehrsysteme, die von den fortschrittlichsten Cyber-Angreifern immer wieder umgangen werden.

Die Studie von Ivanti prognostiziert, dass dieses Jahr eine große Herausforderung für CISOs und ihre Teams darstellen wird, da Ransomware, Phishing, Software-Schwachstellen und DDoS-Angriffe zunehmen werden: "Bedrohungsakteure zielen zunehmend auf Schwachstellen in der Cyber-Hygiene ab, einschließlich veralteter Schwachstellen-Management-Prozesse", sagte Srinivas Mukkamala, Chief Product Officer bei Ivanti, gegenüber VentureBeat.

Kevin Mandia, CEO von Mandiant, sagte in einem Gespräch mit George Kurtz auf der Fal.Con-Veranstaltung von CrowdStrike im letzten Jahr: "Ich bin erstaunt über den Einfallsreichtum, wenn jemand die Cyberhygiene in die Tat umsetzt. 

Operationen sind der bevorzugte Angriffsvektor 

Ein Angreifer braucht nur eine ungeschützte Angriffsfläche oder ein umgangenes Abwehrsystem, das auf jahrzehntealter Technologie basiert, um Lieferketten lahmzulegen und hohe Lösegelder zu fordern. Häufig wird das höchste Lösegeld für das weichste Ziel gezahlt.

Das operative Geschäft ist ein beliebtes Ziel für Cyber-Angreifer, die den Betrieb und die Lieferkette eines Unternehmens stören und lahmlegen wollen. Das operative Geschäft ist ein attraktives Ziel für Cyber-Angriffe, da wesentliche Teile des Technologie-Stacks auf veralteten ICS-, OT- und IT-Systemen basieren, die auf Leistung und Prozesssteuerung optimiert sind und die Sicherheit häufig vernachlässigen.

Der Cyberangriff auf A.P. Møller-Maersk, gefolgt von Angriffen auf Aebi Schmidt, ASCO, COSCO, Eurofins Scientific, Norsk Hydro, Titan Manufacturing and Distributing, Colonial Pipeline und JBS, zeigt die besondere Verwundbarkeit von Unternehmen. Auch  Stuxnet, SolarWinds und Kaseya unterstreichen dies.

Ransomware stört weiterhin industrielle Abläufe, wobei neue Stämme in Prozesse der Betriebstechnologie (OT) integriert werden und Netzwerke platt machen, um sich in OT-Umgebungen auszubreiten, wobei OT-Umgebungen vorsorglich abgeschaltet werden, um die Verbreitung von Ransomware zu verhindern. Quelle: Dragos Industrial Ransomware Analysis: Q4 2022. Veröffentlicht am 23. Januar 2023

Schritte, die Unternehmen unternehmen können, um mit Sicherheitsverletzungen umzugehen

"Beginnen Sie mit einer einzigen Schutzoberfläche ... denn so können Sie die Cybersicherheit in kleine, mundgerechte Stücke zerlegen. Das Beste daran ist, dass es keine Unterbrechungen gibt", rät John Kindervag, ein Branchenführer und Schöpfer von Zero Trust, in einem kürzlich erschienenen Interview mit VentureBeat. Kindervag ist derzeit Senior Vice President of Cybersecurity Strategy und ON2IT Group Fellow bei ON2IT Cybersecurity. 

Das Management muss sich an den Gedanken gewöhnen, dass es akzeptabel ist, eine Schnittstelle nach der anderen in einer vordefinierten Reihenfolge zu schützen. In einem Interview während der RSA gibt Kindervag Leitplanken für die richtige Umsetzung von Zero Trust: "Das Wichtigste ist zu wissen, was ich schützen muss. Ich telefoniere oft mit Leuten, die sagen: 'Ich habe Widget X gekauft, wo soll ich es hinstellen? Nun, was schützen Sie? Darüber habe ich mir noch keine Gedanken gemacht. Nun, dann werden Sie scheitern. In seinem Interview mit VentureBeat betonte er, dass Zero Trust nicht komplex, teuer oder umfangreich sein muss, um erfolgreich zu sein. Er fügte hinzu, dass es sich nicht um eine Technologie handelt, auch wenn Anbieter von Cybersicherheitslösungen Zero Trust falsch darstellen.

#1 Überprüfen Sie alle Zugriffsrechte, löschen Sie irrelevante Konten und schalten Sie die Administratorrechte zurück.

Cyber-Angreifer kombinieren die Kompromittierung von Geschäfts-E-Mails, Social Engineering, Phishing, gefälschte MFA-Sitzungen (Multi-Faktor-Authentifizierung) und vieles mehr, um ihre Opfer zur Preisgabe ihrer Passwörter zu bewegen. Achtzig Prozent aller Sicherheitsverletzungen beginnen mit kompromittierten privilegierten Zugangsdaten.

Häufig wird festgestellt, dass Auftragnehmer, Vertriebs-, Service- und Supportpartner von vor Jahren noch immer Zugang zu Portalen, internen Websites und Anwendungen haben. Die Löschung der Zugriffsrechte nicht mehr gültiger Accounts und Partner ist von entscheidender Bedeutung.

Die Sicherung gültiger Accounts mit MFA ist das absolute Minimum. MFA muss für alle gültigen Accounts sofort aktiviert werden. Es überrascht nicht, dass es im Jahr 2022 durchschnittlich 277 Tage - also rund neun Monate - dauerte, bis eine Sicherheitslücke erkannt und geschlossen wurde.

#2 Betrachten Sie die Multifaktor-Authentifizierung zuerst aus der Perspektive der Benutzer

Die Sicherung jeder gültigen Identität mit MFA ist eine Selbstverständlichkeit. Die Herausforderung besteht darin, diese so unauffällig und sicher wie möglich zu gestalten. Kontext- und risikobasierte Analysetechniken haben das Potenzial, die Benutzererfahrung zu verbessern. Trotz der Herausforderungen, die mit der Einführung verbunden sind, sagen CIOs und CISOs gegenüber VentureBeat, dass MFA zu ihren bevorzugten Quick Wins gehört, da es einen messbaren Beitrag zur Sicherheit eines Unternehmens leistet, indem es eine zusätzliche Schutzebene gegen Datenschutzverletzungen bietet.

Andrew Hewitt, Senior Analyst bei Forrester, erklärte gegenüber VentureBeat, dass der beste Ausgangspunkt für die Sicherung von Identitäten "immer die Einführung von Multifaktor-Authentifizierung ist. Dies kann einen großen Beitrag zur Sicherung von Unternehmensdaten leisten. Dann geht es darum, die Geräte zu registrieren und mit einem Unified-Endpoint-Management-Tool (UEM) einen soliden Compliance-Standard aufrechtzuerhalten".

Forrester rät Unternehmen außerdem, bei MFA-Implementierungen in Erwägung zu ziehen, die bestehenden "What-you-know"-Implementierungen (Passwort oder PIN-Code) um "What-you-are"-Faktoren (Biometrie), "What-you-do"-Faktoren (Verhaltensbiometrie) oder "What-you-have"-Faktoren (Token) zu erweitern.

#3 Halten Sie Cloud-basierte E-Mail-Schutzprogramme auf dem neuesten Stand

CISOs haben VentureBeat mitgeteilt, dass sie ihre E-Mail-Sicherheitsanbieter dazu drängen, ihre Anti-Phishing-Technologien zu verbessern und eine zuverlässige Überprüfung potenziell gefährlicher URLs und das Scannen von Anhängen durchzuführen. Führende Anbieter in diesem Bereich setzen Computer Vision ein, um URLs zu identifizieren, die unter Quarantäne gestellt und entfernt werden müssen.

Cybersicherheitsteams wenden sich Cloud-basierten E-Mail-Sicherheitssuites zu, die integrierte E-Mail-Hygienefunktionen bieten, damit diese Aufgabe schnell erledigt werden kann. Paul Furtado, VP Analyst bei Gartner, rät in seinem Forschungsbericht How to Prepare for Ransomware Attacks (Wie Sie sich auf Ransomware-Angriffe vorbereiten können), "E-Mail-fokussierte Security Orchestration Automation and Response (SOAR)-Tools wie M-SOAR oder Extended Detection and Response (XDR) in Betracht zu ziehen, die E-Mail-Sicherheit umfassen. Diese Tools automatisieren und verbessern die Reaktion auf E-Mail-Angriffe.

#4 Self-healing endpoints sind eine starke erste Verteidigungslinie, insbesondere im operativen Bereich.

Von den Lieferketten, die sie ermöglichen, bis hin zu den Kundentransaktionen, die sie abwickeln, sind sie der zentrale Katalysator, der ein Unternehmen am Laufen hält. Ihre Endpunkte sind die kritischste Angriffsfläche, die es zu sichern und widerstandsfähiger gegen Cyberangriffe zu machen gilt.

CISOs müssen veraltete, perimeterbasierte Endpunktsicherheitssysteme durch selbstheilende Endpunkte ersetzen, die eine höhere Cyber-Resilienz bieten. Führende Cloud-basierte Endpunktschutz-Plattformen können den Status von Geräten, Konfigurationen und die Kompatibilität mit anderen Agenten überwachen und gleichzeitig Sicherheitsverletzungen verhindern. Zu den führenden Anbietern selbstheilender Endpunkte gehören Absolute Software, Akamai, BlackBerry, CrowdStrike, Cisco, Ivanti, Malwarebytes, McAfee und Microsoft 365. Cloud-basierte Endpunktschutz-Plattformen (EPPs) bieten einen effizienten Einstieg für Unternehmen, die schnell loslegen möchten.

#5 Verfolgen, protokollieren und analysieren Sie jeden Zugriff auf das Netzwerk, die Endpunkte und die Identität, um Einbruchsversuche frühzeitig zu erkennen.

Es ist wichtig zu verstehen, wie Investitionen und Projekte für einen Zero Trust Network Access (ZTNA) von Nutzen sein können. Netzwerküberwachung in Echtzeit kann helfen, Anomalien oder unbefugte Zugriffsversuche zu erkennen. Tools zur Protokollüberwachung sind sehr effektiv, wenn es darum geht, ungewöhnliche Geräteeinstellungen oder Leistungsprobleme zu erkennen, sobald sie auftreten. Analytics und künstliche Intelligenz für den IT-Betrieb (AIOps) helfen bei der Erkennung von Anomalien und der Verknüpfung von Leistungsereignissen in Echtzeit. Zu den führenden Anbietern in diesem Bereich zählen Absolute, DataDog, Redscan und LogicMonitor.

Absolute Insights for Network (ehemals NetMotion Mobile IQ) wurde im März letzten Jahres eingeführt und zeigt, was die aktuelle Generation von Monitoring-Plattformen zu bieten hat. Es wurde entwickelt, um Performance-Probleme bei Endnutzern schnell und in großem Umfang zu überwachen, zu untersuchen und zu beheben, auch in Netzwerken, die nicht dem Unternehmen gehören oder von ihm verwaltet werden. Darüber hinaus erhalten CISOs einen besseren Einblick in die Effektivität der Durchsetzung von ZTNA-Richtlinien (z. B. gesperrte Hosts/Websites, Adressen/Ports und Web-Reputation), was eine sofortige Analyse der Auswirkungen und eine weitere Feinabstimmung der ZTNA-Richtlinien zur Minimierung von Phishing-, Smishing- und bösartigen Web-Zielen ermöglicht.

Cyber-Resilienz schaffen, indem man sich der Unvermeidlichkeit eines Angriffs stellt

Einer der wirksamsten Ansätze, mit denen sich Unternehmen auf Sicherheitsverletzungen vorbereiten können, besteht darin, diese als unvermeidlich zu akzeptieren und damit zu beginnen, die Ausgaben und Strategien auf die Cyber-Resilienz auszurichten, anstatt sie zu vermeiden. Cyber-Resilienz muss Teil der DNA eines Unternehmens werden, um einen Einbruchsversuch zu überleben.

Es ist damit zu rechnen, dass immer mehr Einbrüche auf den Betrieb abzielen - ein weiches Ziel mit Legacy-Systemen, die die Lieferketten steuern. Cyber-Angreifer suchen nach Multiplikatoren für Lösegeld und versuchen, das Unternehmen mit Ransomware lahmzulegen, um ihre Ziele zu erreichen.

Die in diesem Artikel beschriebenen Schritte sind ein Ausgangspunkt, um eine bessere Kontrolle über die Cybersicherheit im Unternehmen zu erlangen. Es sind pragmatische Schritte, die jede Organisation unternehmen kann, um einen Einbruch zu verhindern, der sie lahmlegt.

Die Original-Version in Englisch erschien am 10. Februar 2023 auf venturebeat.com. Mit freundlicher Genehmigung des Autors Louis Columbus durften wir den Beitrag in deutscher Sprache in unserem Blog veröffentlichen.