IT-Sicherheit - Bitte die Basics beachten

von VPNHaus | 15.10.2020

Immer wieder über das Gleiche zu schreiben, ist langweilig. Immer wieder das Gleiche zu lesen, kann hingegen jedes Mal zu Herzrasen führen. Ein schönes Beispiel dafür ist die mittlerweile zweistellige Zahl von Artikeln, die an dieser Stelle über die Wichtigkeit grundlegender Sicherheitsmaßnahmen erschienen sind. Zuverlässiges Patching, Security-Awareness der Mitarbeiter, Netzsegmentierung, Least-Privilege – der ganze Tüddelkram ist zwar nicht sexy und Künstliche-Intelligenz enabled, aber leider nun mal notwendig. Immer und in jedem Fall notwendig. Ohne diese Basistätigkeiten kann man sich auch den ganzen coolen Rest, den mit den blinkenden Lichtern und 42-Zoll Monitoren an der Wand sparen. Indes, so oft auch darüber geschrieben und ihre Wichtigkeit gepredigt wird, so oft wird sie ignoriert.

Um die Konsequenzen etwas eindringlicher zu demonstrieren, kann man zwei aktuelle Fälle heranziehen. Einer ist brandaktuell, er ereignete sich Anfang September. Dabei geht es um ein deutsches Uniklinikum. Eigentlich wäre der Vorfall kaum der Rede wert, die Welt scheint sich an Ransomware gewöhnt zu haben. Jedenfalls gibt es kaum noch eine Erwähnung, wenn wieder irgendwo ein Unternehmen aufgrund von verschlüsselnder Schadsoftware lahmgelegt wird. Man zahlt eben sein Lösegeld und geht zum Tagesgeschäft über. Bei der Klinik funktionierte das nicht, weil ein Patient als Kollateralschaden starb. Der Rettungswagen mit dem Notfall wurde umgeleitet, die Verzögerung beim Transport war zu viel. Am Ende ruderten die Angreifer zurück und gaben den Entschlüsselungs-String preis. Das ist schön, aber eben auch nur Goodwill. Oft ziehen Ransomware-Akteure Daten aus dem Opfernetz ab und drohen damit, sie zu veröffentlichen. Krankenakten online – das lässt sich mit dem DSGVO nicht gut in Einklang bringen.

Mittlerweile weiß man, wie der Angriff ablief. Die Hacker müssen vor Monaten eine bekannte Lücke in Citrix ausgenutzt haben, das Netz infiltriert und dort Backdoors installiert haben. Ob das vor der Bekanntgabe der Schwachstelle passierte oder danach ist eigentlich egal. In so ziemlich jedem Artikel wird darauf hingewiesen, dass Angreifer JEDEN Code ausführen können und dass das Zeitfenster für den Patch sehr kurz ist. Nun gibt es immer Gründe warum das eine getan und das andere gelassen wird. Ohne die IT-Umgebung der Klinik, und das umfasst auch deren Informationssicherheitsmanagement (ISMS), ist es unangemessen, den Zeigefinger zu heben. Aber man kann schon davon ausgehen, dass ein paar der grundlegenden Vorkehrungen wie Patching, Netzsegmentierung und Least-Privilege nicht optimal gehandhabt wurden. Obwohl das – Wiederholung – wirklich nichts neues ist.

Wie kann das sein? Im Jahr 2020 hat jeder, wirklich jeder Aufsichtsrat, Geschäftsführer und Direktor von den Bedrohungen durch Cyberkriminelle gehört. Compliance ist ein Riesenthema, alle jammern und klagen über die resultierenden Auflagen. Es gibt zig Sicherheitsframeworks, an denen man sich orientieren kann und Millionen von Beratern. Jeder, wirklich jeder Firmenlenker sollte das Thema ernst nehmen und seine IT-Abteilung mit Kompetenz und Ressourcen versorgen, damit das nicht passiert, jedenfalls nicht aus solch trivialen Gründen. Ein möglicher Grund für das „Warum“ ist mit dem zweiten Fall verknüpft, der hier vorgestellt werden soll. Er liegt schon länger zurück, genau genommen etwa vier Jahre. Im August 2016 wurde Leoni Opfer einer „Whaling“-Attacke, auch BEC (Business-Email-Compromise) oder CEO-Fraud genannt. Über 40 Millionen Euro wurden damals an die Angreifer überwiesen. Offensichtlich fehlte es an Security Awareness bei den Mitarbeitern. Und zwar nicht bei der bemitleidenswerten Dame, die den Transfer durchführte. Denn zu diesem Zeitpunkt wussten die Angreifer bereits alles über die internen Prozesse bei solchen Transaktionen, das hätte man kaum noch abfangen können. Aber schon lange vorher mussten die Angreifer Zugang zum Netz gehabt haben, um eben diese Informationen zu erhalten. Wahrscheinlich hatte Monate vor dem Angriff irgendwo ein Mitarbeiter einen Link in einer E-Mail geklickt und so die Aufklärungsarbeit ermöglicht.

Für den Fall der deutschen Uniklinik ist das aber aus einem anderen Grund relevant. Letztendlich stehen die Manager für Compliance und geübte Praxis gerade. Doch große Unternehmen schließen für ihre Führungskräfte so genannte Directors & Officers (D&O) Versicherungen ab, die in Fällen wie dem CEO-Fraud einstehen sollen. Die Devise lautet also „Managerhaftung ja, aber bitte nicht so, dass es dem Manager wehtut.“ Darin könnte ein Grund liegen, warum sich trotz aller Apelle, Predigten und dem beständigen Flehen der IT-Sicherheitsbranche immer noch viel zu viele Firmen vor den Angreifern entblößen. Die Versicherung wird es schon richten.