Hackerangriffe im US-Wahlkampf und geraubte Nutzerdaten bei Dailymotion, Yahoo und anderen Branchenriesen: In den Vereinigten Staaten herrschte im Jahr 2016 Daueralarm — und auch in Deutschland, Österreich und der Schweiz gab es zum Beispiel durch Ransomware und Routerangriffe eine Vielzahl ernster IT-Sicherheitsvorfälle. In einem Interview mit dem US-Magazin CIO blickt Bomgars CEO Matt Dircks auf einige der schlagzeilenträchtigen IT-Sicherheitsvorfälle zurück und veranschaulicht, was sich in der IT-Branche 2017 alles ändern muss.
Schwaches Passwortmanagement
Die großflächige DDoS-Attacke (Distributed Denial of Service) auf den US-amerikanischen DNS-Dienst (Domain Name System) Dyn, die im Oktober mehrere Webgrößen wie Amazon, Twitter und Airbnb vom Netz nahm, ist zum Teil auf einfache Fehler und Nachlässigkeiten zurückzuführen. Hacker nutzten aus, dass die voreingestellten Standardpasswörter bei vielen IoT-Endgeräten (Internet of Things) schwach waren und nie verändert wurden. So hatten sie leichtes Spiel, eine Armee an ferngesteuerten Haushaltsgeräten aufzubauen und für ihre Zwecke fernzusteuern.
An dieser Stelle müssen Unternehmen ansetzen und in den kommenden Monaten ein besseres Passwortmanagement durchsetzen. Dabei sind die besten Kennwörter diejenigen, die Nutzer und Hersteller gar nicht erst kontrollieren können. Das bedeutet: Organisationen müssen Passwort-Vault-Lösungen implementieren, die Passwörter sicher verwahren, ohne sie Nutzern gegenüber offenzulegen müssen. Zur Passwortsicherheit gehört auch eine regelmäßige Überprüfung und Rotation der eingesetzten Kennwörter. Matt Dircks formuliert es so: „Im Idealfall kennt der Nutzer sein genutztes Passwort gar nicht.“
Privilegierte Konten mit schlechtem Schutz
Die lukrativsten IT-Angriffe richten sich gegen Nutzer mit erhöhten Zugriffsrechten. Hacker konzentrieren ihre Aktivitäten daher auf die Zugangsdaten privilegierter Nutzer wie zum Beispiel IT-Experten, CEOs und Vendoren. Unternehmen müssen sich dieser Gefahrenlage äußerst bewusst sein und Sicherheitsvorkehrungen treffen. Das fängt bei der Identifizierung dieser Benutzerguppen an und geht über das Monitoring der Aktivitäten hinaus bis zur Begrenzung ihrer Zugriffsmöglichkeiten anhand von zeitlichen und rollenbasierten Vorgaben. Im Gespräch mit CIO vergleicht Matt Dircks das erforderliche Privileged Access Management mit der Situation in einem Bankgebäude: „Selbst, wenn ich Zutrittsrechte für die Ebenen 1 und 7 habe, berechtigt mich das nicht zum Zugang auf Ebene 6 — Sicherheitssysteme erkennen das, verwehren den Zutritt und lösen Alarm aus.“
Schuldzuweisungen bei der IT-Sicherheit
Die Bedrohungsszenarien sind mittlerweile so vielfältig, dass es in vielen Firmen nicht die Frage ist, ob etwas passiert, sondern lediglich wann — diese Realität findet Matt Dircks „erschreckend“. Zugleich ist die Abhängigkeit der Unternehmen von Sicherheitsdienstleistern inzwischen so groß, dass viele Organisationen bei einer erfolgreichen Attacke nur schwer beurteilen können, wer für die Sicherheitslücke oder ihre Behebung letztendlich verantwortlich ist. In welchen Aufgabenbereich fällt es beispielsweise, die unterschiedlichen Technologien im Unternehmenseinsatz abzusichern, zu verwalten und zu aktualisieren? Oder gibt es vielleicht sogar im Unternehmensverbund ein vernetztes Produkt, das sich gar nicht patchen lässt?
Matt Dircks dazu: „Die Kette ist nur so stark wie ihr schwächstes Glied.“ Schuldzuweisungen an andere Stellen lassen sich in komplexen Umgebungen am besten dadurch vermeiden, dass Unternehmen für eine offene Kommunikation zwischen Geschäfts- und IT-Verantwortlichen sorgen. Nur, wenn beide Gruppen die potentiellen Gefahren, verfügbare Handlungsoptionen sowie vorhersehbare Schwierigkeiten und Herausforderungen als gemeinsame Verantwortung verstehen, lassen sich die verschiedenen Schwachstellen bei der IT-Sicherheit effektiv bekämpfen.
„Dumme“ Endgeräte
Aktuell liegt der Schwerpunkt in der allgemeinen Berichterstattung auf den Sicherheitsgefahren, die sich aus dem Siegeszug von IoT-Geräten und -Anwendungen ergeben, aber Matt Dircks glaubt, dass in der Diskussion um „dumme“ IoT-Endgeräte ein wichtiger Aspekt komplett vergessen wird. So wird übersehen, dass die in den 50er und 60er Jahren installierten Technologien zum Betrieb von Stromnetzen und Verkehrssystemen fast komplett ungesichert sind. Mit Blick auf diese Lage sagt Matt Dircks: „Ich halte es für durchaus wahrscheinlich, dass wir einen Großangriff auf Strom- und Verkehrsinfrastrukturen wie dem Eisenbahnnetz im Jahr 2017 erleben.“
Der komplette Artikel auf Englisch steht hier als Link bereit, wenn Sie alle Aussagen im Original nachlesen möchten. Ihre Sicht der Dinge und persönlichen Erfahrungen interessieren uns aber auch und Sie können sie gerne unten in den Kommentaren darstellen.