7 (weitere) Mythen zur Cybersicherheit, die Ihrem Unternehmen schaden

Vor zwei Jahren schrieb ich über sieben Mythen zur Cybersicherheit , die Geschäftsrisiken schaffen und dazu führen, dass gutmeinende Sicherheitsteams sich auf die falschen Dinge konzentrieren.

Damals befanden wir uns am Anfang einer globalen Pandemie und sowohl unser reales als auch unser digitales Leben veränderten sich rasant, in mancher Hinsicht sogar dauerhaft. Seitdem hat die Welt einen wirtschaftlichen, politischen und technologischen Schock erlitten. Der technologische Fortschritt hat sein ohnehin schon schwindelerregendes Tempo noch weiter beschleunigt. Die Cyberkriegsführung der Nationalstaaten trifft den Durchschnittsbürger direkt ins Portemonnaie. Nach zwei Jahren würden diese Mythen doch sicherlich völlig anders aussehen, oder?

Falsch. Wie uns das Sprichwort „plus ça change“ erinnert: Je mehr sich die Dinge ändern, desto mehr bleiben sie gleich. Alle sieben ursprünglichen Mythen sind noch immer höchst relevant, ich möchte jedoch noch sieben weitere Mythen zur Cybersicherheit anführen, die sich aus der Unveränderlichkeit der menschlichen Existenz ergeben.

Mythos Nr. 1: Nur eine kleine Anzahl der Social-Media-Konten sind gefälscht.

Viele Unternehmen wissen, dass sie Bots haben, doch in Wirklichkeit wissen Social-Media-Unternehmen oft nicht und wollen auch nicht wissen, wie viele Bots sie wirklich haben.

Wir haben vor Jahren mit einer Social-Networking-Site einen Proof of Concept durchgeführt, der zeigte, dass 98 % ihrer Anmeldungen automatisierte Bots waren. Dieses Unternehmen war sehr stolz auf sein schnelles Wachstum und blickte gespannt in die Zukunft. Es stellte sich jedoch heraus, dass es nur ein Zehntel der Abonnentenzahl hatte, die es erwartet hatte.

Wie wichtig dieses Wissen ist, wurde mit der Übernahme von Twitter auf sehr öffentliche Weise deutlich. Der Wert des Unternehmens basiert maßgeblich auf der Anzahl der Nutzer. Die Herausforderung von Elon Musk an das Unternehmen, nachzuweisen, dass der Anteil von Spam-Bots und Fake-Accounts unter 5 % liegt, ist eine berechtigte Erwartung für jeden Investor, Werbetreibenden, potenziellen Geschäftspartner und sogar für die Benutzer.

Ich schätze, dass der Bot-Anteil bei Twitter eher bei 50 % oder mehr liegt. (Notiz: Auf der Grundlage späterer Untersuchungen habe ich diese Schätzung in einem aktuelleren Blogbeitrag revidiert.) Von Unternehmen sollte verlangt werden, dass sie die Echtheit der Benutzer überprüfen und den Bot-Verkehr wirksam verwalten und eindämmen.

Einfach ausgedrückt: Der Erfolg bösartiger Bots weist auf eine Sicherheitslücke hin. Die Verhinderung von Bots ist von entscheidender Bedeutung, um die Integrität der über diese Websites fließenden Informationen zu gewährleisten. Sie sorgt aber auch dafür, dass Unternehmen und andere, mit denen sie Geschäfte machen, über genaue Daten verfügen, damit sie wichtige Geschäftsentscheidungen treffen können.

Mythos Nr. 2: Die Bot-Prävention ist ein internes DIY-Projekt.

Wir haben gesehen, wie gute Unternehmen mit großen Budgets und brillantem technischem Personal jahrelang gegen Bots gekämpft haben. Wenn wir jedoch den Bot-Verkehr in diesen Organisationen analysieren und erwarten, dass dort hochentwickelte Bots stecken, die sich weiterentwickelt haben, um ihre Abwehrmechanismen zu überwinden, ist das einfach nicht der Fall.

Unternehmen bekämpfen Bots, indem sie IPs, Regionen und autonome Systeme blockieren. Und hier können wir die Entwicklung des bösartigen Bot-Verkehrs beobachten: Angriffe gehen mittlerweile von Hunderttausenden, ja sogar Millionen von IP-Adressen aus. Diese Abwehrmaßnahmen auf Netzwerkebene helfen Ihnen nur bis zu einem gewissen Punkt.

Mein Mantra ist, dass clientseitige Signale das Wichtigste sind. Sie müssen über Verhaltensbiometrie verfügen. Sie müssen den Browser abfragen und das Gerät abfragen. Durch die Gesamtheit aller dieser Signale können Sie nicht nur Bots, sondern auch böswillige Menschen identifizieren.

Die Unternehmen glauben auch, dass sie sich durch Personaleinstellung aus der Situation befreien können. Allerdings ist es unmöglich, genügend IT-Mitarbeiter einzustellen, um ein derart großes Problem zu lösen. Der einzige Weg, die Automatisierung wirklich zu bekämpfen, ist die Automatisierung.

Mythos Nr. 3: Der Fokus sollte immer auf einer mysteriösen neuen Bedrohung am Horizont liegen.

Diejenigen unter uns, die in der Sicherheitsbranche, der Fachpresse und der Unternehmens-PR tätig sind, haben die gemeinsame Angst vor jenen Bedrohungsakteuren, die ständig Neuerungen entwickeln und uns immer einen Schritt voraus sind. Doch in vielerlei Hinsicht sind die Angriffe immer noch dieselben, mit nur geringfügigen Abweichungen.

Die meisten Bots, die wir heute sehen, weisen den gleichen Grad an Raffinesse auf wie vor fünf Jahren. Sie kommen einfach von unterschiedlichen Orten. Credential Stuffing funktioniert trotz Zwei-Faktor-Authentifizierung und/oder CAPTCHA weiterhin. Angreifer werden keine neuen Angriffsmethoden entwickeln, solange die ursprünglichen Methoden erfolgreich bleiben. Sie müssen lediglich einen Weg finden, den neuen Abwehrmechanismen auszuweichen.

Unternehmen müssen neue Bedrohungen berücksichtigen und versuchen, sich darauf vorzubereiten. Allerdings muss die Branche auch weiterhin die Bedrohungen des letzten Jahres eindämmen.

Mythos Nr. 4: Die Verwaltung mehrerer Clouds ist eine schwierige Herausforderung, die unerreichbare Talente erfordert.

Die Welt mit mehreren Clouds ist eine Realität, in der viele, wenn nicht die meisten Unternehmen heute leben. Ob aufgrund einer Übernahme, der Integration mit einem Partner oder einfach nur wegen der Nutzung der besten Funktionen: Multi-Cloud wird sich durchsetzen.

Wenn ich Unternehmen frage, ob sie mehrere Clouds nutzen, höre ich jedoch immer wieder die Antwort „ja, leider“. Unternehmen, die über mehrere Clouds hinweg arbeiten, tun dies manchmal widerwillig und nutzen nicht die Chance, das Beste aus allen Welten zu nutzen.

Heutzutage gibt es keinen Grund mehr, warum die Verwaltung und Sicherung Ihrer IT-Infrastruktur über mehrere Clouds hinweg mühsam sein sollte. Cloud-Anbieter haben Interoperabilität in ihre Strategien integriert und es gibt viele weitere Anbieter, deren Lösungen darauf ausgelegt sind, den Integrationsaufwand zu beseitigen, ihre Funktionalität über Clouds hinweg zu abstrahieren und sie über eine einfache, einheitliche Schnittstelle bereitzustellen.

Mythos Nr. 5: Es reicht aus, die Architektur und Geräte des Unternehmens zu sichern.

Sicherheitsteams konzentrieren sich auf die Infrastruktur des Unternehmens, seine Server, seine Computer, seine Desktops – auf alles innerhalb der Organisation. Worauf sie sich größtenteils nicht konzentrieren, sind die Heimnetzwerke aller Mitarbeiter der Organisation .

Ein Angreifer möchte vielleicht den CEO ins Visier nehmen, um an Erkenntnisse über Fusionen und Übernahmen oder andere strategische Informationen zu gelangen. Doch damit Geld zu verdienen ist nicht so einfach, wie es beim Angriff auf einen Kreditorenbuchhalter oder einen IT-Administrator der Fall ist. In einer Zeit, in der die Arbeit von zu Hause aus üblicher ist als je zuvor, werden Heimnetzwerke zu einem Schlupfloch für Betrüger .

Mythos Nr. 6: Sie können Ihren Mitarbeitern vertrauen.

Insider-Bedrohungen haben einen enormen Vorteil, einfach weil es in der Natur des Menschen liegt, das Beste von den Menschen um uns herum anzunehmen. Fakt ist jedoch, dass Sie nicht 50 oder 100 Mitarbeiter einstellen können, ohne das sehr reale Risiko einzugehen, dass ein oder zwei schwarze Schafe ins Boot geholt werden.

Unzufriedene Mitarbeiter hinterlassen nicht nur schlechte Bewertungen auf Glassdoor. Sie können vertrauliche Dateien auf einen USB-Stick kopieren und einfach gehen. Es gibt sogar zunehmende Bedenken, dass sie möglicherweise Schadsoftware im System hinterlassen.

Ich hege schon lange die Theorie, dass wahrscheinlich auch hinter vielen Ransomware-Angriffen Insider stecken. Ein IT-Administrator kann im Darknet problemlos eine Identität erstellen, dieser Identität Zugriff auf das System gewähren, um Malware zu installieren, und dann eine Lösegeldforderung stellen – und im Gegenzug fordern, dass das Unternehmen einfach das Lösegeld zahlt. Es ist wichtig anzumerken, dass ich hierfür noch keine Beweise gesehen habe, aber der Anreiz ist sicherlich da.

Mythos Nr. 7: Die größten Cyberbedrohungen gehen von staatlichen Akteuren aus, die es auf die Infrastruktur abgesehen haben.

Als vor einem Jahr die Colonial Pipeline angegriffen wurde und es dadurch zu langen Warteschlangen an den Tankstellen kam, die den Verbrauchern an der Ostküste zur Last fielen, machte das international Schlagzeilen.

Über die Millionen Amerikaner, die jedes Jahr im Internet betrogen werden, wird allerdings kaum oder gar nicht gesprochen. Viele von ihnen sind schon älter und leben von ihren Ersparnissen für den Ruhestand. Dies stellt eine enorme Bedrohung für unser soziales Sicherheitsnetz dar und kann verheerende Auswirkungen auf die Menschen und ihre Familien haben – weitaus schlimmere, als wenn sie in der Schlange stehen und mehr für Benzin bezahlen müssten.

Ich habe jahrelang bei der Polizei in Fällen von Internetkriminalität ermittelt, meistens mit frustrierenden Ergebnissen, und dieses Thema ist eine meiner Leidenschaften. Angriffe auf unsere Infrastruktur sind schwerwiegend und durchaus real. Doch wenn man sich die Geschichten dieser Opfer anhört, wird klar, dass dem weit verbreiteten Cyberbetrug mehr Aufmerksamkeit gewidmet werden sollte, als dies der Fall ist.

Wenn Sie mehr über die Verwaltung und Abwehr von Bots, die Identifizierung und Eindämmung von Bedrohungen oder die Implementierung von Zero Trust in Ihrem Unternehmen erfahren möchten, finden Sie hier einige zusätzliche Leseempfehlungen:

• Bot-Verwaltung: Lösungen für App-Sicherheit und -Schutz
• Verteilte Cloud-Bot-Abwehr
• E-Book „Automatisierte Bedrohungen identifizieren und eindämmen“
• F5 Distributed Cloud Services
• Mit Zero Trust Ihr Unternehmen bei der Remote-Arbeit absichern
• So implementieren Sie ein Zero-Trust-Sicherheitsmodell

_____

Von Dan Woods, Global Head of Intelligence, F5