15 Cybersecurity-Fallen und Lösungen für KMUs

Cyber Security News

In dieser Gesprächsrunde geben Sicherheitsexperten, die sich auf kleinere Unternehmen konzentrieren, praktische Tipps, wie man mit weniger Ressourcen die Abwehrkräfte stärken kann.

Kleine und mittlere Unternehmen (KMUs) mit 100 oder weniger Mitarbeitern sind anfälliger denn je für katastrophale Cybersecurity-Verletzungen und Angriffe.

Die gute Nachricht ist, dass es viele Dinge gibt, die sie mit außerordentlich geringen zusätzlichen Investitionen tun können, die IT-Managern dabei helfen, ihre Organisationen so abzusichern, dass der nächste Bedrohungsakteur zu weicheren Zielen weiterzieht.

Threatpost versammelte eine Gruppe von Experten, darunter Timur Kovalev, CTO von Untangle, Erich Kron von KnowBe4 und Greg Murphy, CEO von Order, um die Herausforderungen, mit denen KMUs heute konfrontiert sind, zu entschlüsseln und einfache, umsetzbare Dinge zu untersuchen, die jedes Unternehmen tun kann.

Zusammen mit dem Threatpost-Redaktionsteam wurden die 15 häufigsten Fehler, die Unternehmen im Bereich der Cybersicherheit machen, herausgearbeitet und Abhilfemaßnahmen diskutiert – alles, von einer fehlenden grundlegenden Segmentierung über eine gründliche Bestandsaufnahme der Anlagen bis hin zu einfachen Patches und regelmäßigen Backups, kann den Unterschied ausmachen, wenn es darum geht, Ihre Daten vor Kompromittierung zu schützen.

Der folgende Text ist ein leicht bearbeitetes Transkript des Live-Webinars vom 24. Februar mit dem Titel 15 Cybersecurity Pitfalls and Fixes for SMBs, das von Becky Bracken von Threatpost moderiert wurde.

Hören Sie sich das Webinar unter dem obigen Link kostenlos und auf Abruf an, und sehen Sie sich alle unsere kostenlosen Live-Webinar-Veranstaltungen auf Abruf an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

Was sind die größten SMB-Cybersecurity-Fehler?

Becky Bracken: Hallo, alle zusammen! Mein Name ist Becky Bracken, Ihre Threatpost-Moderatorin. Willkommen zu unserem Februar-Webinar. Heute haben wir ein interessantes Thema. Wir sehen uns 15 häufige Fehler an, Fauxpas, wenn Sie so wollen, die kleine und mittlere Unternehmen typischerweise begehen, wenn es darum geht, ihre Cybersicherheit zu sichern.

Das Ziel unserer heutigen Diskussion ist es, dass alle Teilnehmer praktische, umsetzbare Ratschläge mitnehmen, die sie noch heute implementieren können und die sich speziell auf kleine und mittelständische Unternehmen beziehen. Wir wissen, was die Fortune-100-Unternehmen tun, und das erfordert Arbeitskraft und eine Menge Geld. Und das ist für die große Mehrheit der Unternehmen nicht zumutbar. Deshalb wollen wir unsere Diskussion wirklich darauf abstimmen.

Zu diesem Zweck. Wir haben ein Widget eingerichtet, und ich denke, es sollte in der rechten Ecke Ihres Bildschirms zu sehen sein. Sie können während unserer Präsentation jederzeit Fragen stellen. Wir ermutigen Sie, das zu tun. Wir möchten sicherstellen, dass diese Zeit für Sie nützlich ist und die Probleme anspricht, die Sie im wirklichen Leben sehen. Bitte reichen Sie Ihre Fragen also frühzeitig ein, reichen Sie sie oft ein, und wir werden sie während der gesamten Präsentation beantworten und uns am Ende etwas Zeit nehmen, um einige von ihnen wirklich auszupacken.

Ich muss mich nicht lange damit aufhalten, aber ich möchte nur eine Momentaufnahme davon geben, wo wir in Bezug auf Cybersicherheit im SMB-Markt stehen.

Und gerade jetzt versuchen viele Unternehmen, diese unglaublich sorgfältige Kalibrierung zwischen Budgets, zwischen Ressourcen und steigendem Angriffsrisiko und erhöhter Angriffsfläche auszugleichen.

Es gibt Führungskräfte, die Technologie einsetzen wollen, um Geld zu sparen und Ressourcen zu schonen, aber oft wird bei diesen Gesprächen nicht berücksichtigt, wie man diese neuen Tools, die wir einsetzen, intelligent absichert.

Im Moment ist Ransomware die größte Bedrohung, die es da draußen gibt.

Und erst kürzlich kam ein Bericht heraus, der einen 14-prozentigen Anstieg der Ransomware-Angriffe in den USA feststellte, was durchweg höher ist als im Rest der Welt, und die geforderten Lösegelder sind um 320 Prozent gestiegen. Und wir sehen eine doppelte Erpressung, bei der Sie nicht nur das Lösegeld zahlen müssen, um Ihre Daten zurückzubekommen, sondern auch für das Privileg, dass diese Daten nicht im Dark Web für jeden zum Kauf oder Verkauf veröffentlicht werden.

Selbst wenn Sie zahlen, gibt es immer noch keine Garantie, dass es damit getan ist, und oft ist es das auch nicht. Der Einsatz wird also immer höher geschraubt.

Wir haben ein Panel zusammengestellt, auf das wir wirklich stolz sind, um über einige Dinge aus der realen Welt zu sprechen, die heute passieren. Alle unsere Podiumsteilnehmer vertreten heute ihre eigenen kommerziellen Interessen, haben sich aber freundlicherweise bereit erklärt, uns mit praktischen Ratschlägen zu versorgen und ihr Fachwissen mit uns zu teilen.

Lassen Sie uns also unsere Diskussionsteilnehmer kennenlernen.

Zuerst haben Sie Timur Kovalev. Er ist der CTO von Untangle und hat, wie Sie hier sehen können, einen tiefen Brunnen von Fachwissen, das er heute mit unserem Publikum teilen kann.

Wir haben Erich Kron. Er ist ein Verfechter des Sicherheitsbewusstseins für KnowBe4 und sein Fachgebiet dreht sich um Benutzerschulungen und darum, Ihren Mitarbeitern zu helfen, zu verstehen, dass Sicherheit eine tägliche Praxis ist.

Wir haben auch Greg Murphy, und er ist der CEO von Ordr und als Sicherheitsexperte, wiederum mit jahrzehntelanger Erfahrung.

Sie können wirklich zu dem sprechen, was wir heute sehen. Also, hallo, Sie alle. Danke, dass Sie sich uns anschließen.

Wie zuversichtlich sind Sie, dass Sie auf einen Angriff vorbereitet sind?

Wie ich schon sagte, haben wir dies in 15 häufige Fehler unterteilt, aber bevor wir darauf eingehen und bevor ich unsere Diskussionsteilnehmer loslasse, möchte ich ein Gefühl dafür bekommen, wo unser Publikum steht.

Wir haben eine Umfrage, und ich werde sie jetzt starten, damit sie auf Ihrem Bildschirm erscheint.

Wie zuversichtlich sind Sie, wenn Sie heute hier sitzen, dass Ihre Organisation auf einen Angriff vorbereitet ist?

Sie haben “sehr, bring es”. Das ist unsere sehr zuversichtliche Crew. Dann gibt es die, “Mann, ich weiß nicht so recht, ich bin fast nervös, dass ich nicht weiß, was ich wissen muss.” Und es gibt die nicht so selbstbewusste.

Also, wenn ihr euch eine Minute Zeit nehmen könntet, um eure Antworten zu protokollieren.

OK, also 57 Prozent von Ihnen sind nicht zuversichtlich, 29 Prozent mittel-zuversichtlich und 14 Prozent von Ihnen sind Rockstars. Sie sind bereit.

Also, mit diesem Gedanken im Hinterkopf, lassen Sie uns mit den 15 häufigsten SMB-Sicherheitsfehlern beginnen. Wir haben uns mit unserem Gremium zusammengesetzt und diese 15 herausgearbeitet. Diese Liste ist natürlich nicht vollständig. Sie basieren lediglich auf dem heutigen Stand und dem, was sie sehen. Ich kann das Wort an Greg übergeben. Greg, können Sie uns mit Nummer eins beginnen: Unternehmen denken, sie seien zu klein, um ein Ziel zu sein.

Fehler Nr. 1: Sie denken, sie sind zu klein, um ein Ziel zu sein

Greg Murphy: Es gibt also definitiv Leute da draußen, die es auf kleine Unternehmen wie unseres abgesehen haben.

Greg Murphy, Ordr CEO

Ich denke, wenn man über die Bedrohungslandschaft nachdenkt, ist es wahr, dass ein kleines Unternehmen, ein SMB, mit weniger als tausend Mitarbeitern, wahrscheinlich nicht ganz oben auf der Zielliste für nationalstaatliche Akteure steht.

Aber wenn man sich anschaut, wer da draußen gerade unterwegs ist, dann gibt es eine Menge Krimineller, die auf Geld, Daten und Informationen für ihre eigenen schändlichen Zwecke aus sind. Und das sind die, die es auf den Mittelstand abgesehen haben. Ich kann mir also nicht vorstellen, dass jemand in Übersee sitzt und es auf die meisten kleinen Unternehmen mit ein paar hundert Mitarbeitern abgesehen hat.

Aber wenn man sich die Daten ansieht, ist das schiere Volumen der Angriffe auf große Unternehmen wahrscheinlich größer als auf kleine Unternehmen, aber wenn man sich die Daten ansieht, denke ich, dass es auch viel wahrscheinlicher ist, dass Angriffe auf kleine Unternehmen unentdeckt und ungemeldet bleiben.

Wenn man sich also etwas wie SolarWinds anschaut, ein Angriff auf einige der größten und am besten geschützten Unternehmen der Welt, der sechs oder neun Monate lang unentdeckt blieb. Ja, denken Sie an Angriffe auf ein KMU, das mit einem Mann namens Jim, Sie, der sich abmüht, die ganze Arbeit der gesamten Sicherheitsorganisation zu erledigen.

Die Chancen, dass sie in der Lage sein werden, diese Angriffe und Verstöße mit der gleichen Präzision zu erkennen wie die großen Organisationen.

Ich denke, die andere Tatsache ist, dass SMB-Organisationen über begrenzte Ressourcen verfügen, so dass diese Verstöße mit größerer Wahrscheinlichkeit zur Offenlegung von Daten führen.

Weniger als 10 Prozent der Angriffe führen zur Offenlegung von Daten. Aber im SMB-Bereich sind es eher 50 Prozent. Während es also vielleicht nicht so viele Akteure gibt, die es auf Sie als KMU abgesehen haben, wie auf große öffentliche Einrichtungen, ist die Wahrscheinlichkeit, dass Sie davon erfahren, wenn sie eindringen, wahrscheinlich geringer.

Und die Wahrscheinlichkeit, dass es zu einer Datenoffenlegung führt, ist wesentlich größer. Ich denke also, wenn ich ein KMU bin, möchte ich mich nicht damit trösten und meine Sicherheitsstrategie auf der Idee basieren lassen, dass ich zu klein bin, um das Ziel zu sein. Ich möchte sicherstellen, dass ich angemessene Schutzmaßnahmen für die Arten von Handlungen gegen die Arten von Akteuren ergreife und einsetze, die es wahrscheinlich auf mein Unternehmen abgesehen haben, was wahrscheinlich diese bösartigen Kriminellen sind.

BB: Richtig, OK. Timur, was denken Sie darüber?

Timur Kovalev: Ich stimme völlig zu.

Wenn wir uns die Akteure ansehen, die tatsächlich einige dieser bösartigen Angriffe auf der ganzen Welt ausführen, können wir darüber und über mehrere Gruppen nachdenken, richtig?

[Blocked Image: https://alltechnews.de/daten/2021/04/15-Cybersecurity-Fallen-und-Loesungen-fuer-KMUs.png]

Timur Kovalev, CTO, Untangle

Wir haben natürlich den nationalstaatlichen Akteur, der für ein typisches KMU ziemlich schwer zu schützen ist. Vor allem jetzt, da einige Beweise darauf hindeuten, dass mehr als tausend Entwickler an dem SolarWinds-Angriff beteiligt waren und so weiter. Und ich denke, dass dies etwas ist, das nicht in den Kontext eines typischen KMU-IT-Administrators passt.

Aber dann gibt es auch Gruppen von Teenagern, die von Mamas Keller aus hacken, richtig? Sie haben diese Typen. Sie haben legitime kriminelle Unternehmen, die gewinnorientiert sind, die Bilanzen haben, die Buchhalter haben, die tatsächlich Dinge für Profit und für ihre eigenen Einnahmen tun.

Wenn man sich also die Werkzeuge ansieht, die diesen Organisationen zur Verfügung stehen, wenn man sich den Schwarzmarkt ansieht, und wenn man sich einige der Dinge ansieht, die im Internet passieren, dann kann man tatsächlich Toolkits zur Ausbeutung kaufen. Man kann Toolkits kaufen, mit denen einige dieser Angriffe durchgeführt werden können.

Und aus der Perspektive eines böswilligen Akteurs ist die Idee nicht unbedingt, ein bestimmtes Unternehmen ins Visier zu nehmen und an dessen Daten zu gelangen. Es ist ein bisschen wie beim Angeln. Je größer das Netz ist, das Sie auswerfen, desto mehr Fische werden Sie fangen. Auch wenn es jemand nicht auf Ihr einzelnes Unternehmen abgesehen hat, so hat er es doch auf das Unternehmen abgesehen, und zwar im Kontext eines ganzen großen Netzes, das er auswirft.

Sie sollten sich also der Tatsache bewusst sein, dass es nicht um Sie geht, sondern um die Ziele, die diese Leute verfolgen. Und das ist wichtig zu verstehen und sich darauf vorbereiten zu können.

Fehler Nr. 2: Keine Bewertung des Geschäftsrisikos

BB: Und Erich, da Sie viel Zeit damit verbringen, mit Unternehmen zu sprechen, im Wesentlichen über deren Einstellung zur Sicherheit. Was ist die allgemeine Haltung, die Sie bei kleinen und mittleren Unternehmen sehen? Wie denken sie über Cybersicherheit und wie manifestiert sich das?

Erich Kron: Ja, also viele der Leute, mit denen ich spreche, sagen: “Wir sind zu klein, niemand wird uns angreifen. Ich habe nichts, was irgendjemand haben will, okay?”

[Blocked Image: https://alltechnews.de/daten/2021/04/1617638217_486_15-Cybersecurity-Fallen-und-Loesungen-fuer-KMUs.jpg]

Erich Kron, Anwalt für Sicherheitsbewusstsein, KnowBe4

Und wo das vor 10 Jahren vielleicht noch Sinn gemacht hat, haben Dinge wie Ransomware das Spiel verändert, richtig? Es spielt keine Rolle, wer Ihre Daten will, Sie wollen Ihre Daten, richtig. Also, Ransomware hat das wirklich verändert.

Aus diesem Grund sehen wir, dass KMUs so oft Ziel von Ransomware sind. Und ich habe sogar mit meinem Chiropraktiker darüber gesprochen. Er sagte: “Wenn die Nationalstaaten da draußen sind und SolarWinds und diese Leute kriegen können, habe ich keine Chance. Warum es also überhaupt versuchen?

Und das ist eine unglückliche Mentalität, die man da hat, weil sie wahrscheinlich nicht von Nationalstaaten ins Visier genommen werden. Aber ich höre das in vielen verschiedenen Zusammenhängen, wo sie denken, ich weiß nicht einmal, dass wir hier eine Chance haben. Und das sehe ich viel zu oft.

Die Idee ist, dass inkrementelle Verbesserungen es schwieriger machen, in Ihr System einzudringen, und dass dies ausreichen könnte, um einen durchschnittlichen Angreifer dazu zu bringen, zu einem anderen, vielleicht weicheren Ziel überzugehen.

Fehler Nr. 3: Sie haben keine Bestandsaufnahme der Assets gemacht

BB: OK, Nummer zwei: Sie haben keine gründliche Bestandsaufnahme der Anlagen gemacht. Was denken Sie darüber, Greg? Wo sollen wir damit anfangen?

GM: Das ist eine meiner Lieblingsfragen, denn wenn ich jemanden treffe, der mit Sicherheit zu tun hat, ist die erste Frage, die ich ihm immer stelle: Wie sicher sind Sie, dass Sie wissen, was mit Ihrem Netzwerk verbunden ist?

Und ich habe noch nie erlebt, dass ein Sicherheitsexperte zu mir zurückkommt und sagt: “Wissen Sie was, ich bin absolut sicher. Ich weiß genau, was sich in meinem Netzwerk befindet. Das Inventar, das Sie haben, ist wahrscheinlich falsch.

Das gängigste Anlageninventar ist eine Art Excel-Tabelle, die höchstwahrscheinlich vor sechs Monaten aktualisiert wurde, als es einen Praktikanten gab, den man herumschicken konnte, um nachzusehen, was im Netzwerk angeschlossen war.

Die Vorstellung, dass ein Anlageninventar existiert, mag also im KMU nicht zutreffen, aber es ist mit ziemlicher Sicherheit nicht auf dem neuesten Stand.

Ich denke, dass es wirklich klug ist, Wege zu finden, diesen Prozess zu automatisieren. Sie können sich nicht darauf verlassen, dass eine jährliche Inventur genau ist, und diese manuellen Inventuren sind, wenn überhaupt, nur über Ihre Asset-Tags möglich. Sehe ich eine Workstation? Sehe ich Inventar oder ein Gerät, von dem ich erwarte, es zu sehen? Es geht nicht wirklich darum, welche Software läuft. Ist das Gerät aktuell? Das ist wichtig.

Eine automatisierte Inventarisierungslösung ist also für Unternehmen jeder Größe von entscheidender Bedeutung. Das ist ein riesiger, nicht nur ein blinder Fleck, den Organisationen haben, ich denke, es ist eher ein schwarzes Loch.

Wenn wir in Unternehmen gehen, stellen wir fest, dass 40 Prozent oder mehr der Geräte, die mit dem Netzwerk verbunden sind, nicht im Inventar vorhanden sind. Und das bedeutet, wenn man sie nicht sieht, wenn man nicht weiß, was da ist, hat man per Definition keine Sicherheitsstrategie, um sie zu schützen.

Sie müssen damit beginnen zu wissen, was in Ihrer Umgebung angeschlossen ist. Und ich möchte auch darauf hinweisen, dass dies nicht nur ein Sicherheitsproblem ist. Dies ist eigentlich nur eine Kosten-Geschäftsgrundlagen-Diskussion.

Ich habe kürzlich mit einem kleinen Krankenhaus gesprochen. Sie haben medizinische Geräte geleast und für buchstäblich Hunderte von Geräten gezahlt. Sie hatten einen Leasingvertrag für etwas, das nirgendwo in ihrer Umgebung war. Also zahlen sie jeden Monat eine Rechnung für Anlagen, die sie nicht haben.

Es geht darum, sicherzustellen, dass alles, was Sie haben, in diesem Anlageninventar enthalten ist, aber auch darum, sicherzustellen, dass all diese Dinge, die Sie gekauft haben, tatsächlich in Ihrem Netzwerk sind und angeschlossen sind, weil Sie sonst nur gutes Geld für schlechtes ausgeben.

Aus der Sicht des Geschäftsbetriebs und der Sicherheit muss man also mit einer Bestandsaufnahme der Anlagen beginnen, und man muss aus dem Modus herauskommen, in dem Menschen herumlaufen, um manuelle Bestandsaufnahmen zu machen und Tabellenkalkulationen zu aktualisieren. In der heutigen Welt ist das einfach nicht mehr tragbar und liefert nicht die Art von Informationen, die man in einer sich so schnell verändernden Welt braucht.

BB: Siehst du das, Erich?

EK: Die sind meistens ziemlich weit weg. Sie wissen schon, “oh, dieser Smart-TV im Konferenzraum”.

Die andere Sache ist, ob sie wissen, was es eigentlich tut. Ich kam in einen Job, wo es eine Lücke zwischen mir und dem Sicherheitsmanager gab, von etwa einer Woche, und ich komme dort an, und da ist eine Maschine, die buchstäblich beschriftet war mit “Ich weiß nicht, was das macht. Aber wenn wir es ausschalten, kommen die Programmierer nicht mehr ins Internet.”

Also wussten sie, dass es existiert und dass es ihr Internet zerstört, richtig? Und es gibt solche Dinge, die da draußen herumschwirren, die Legacy sind, die es schon eine Weile gibt, aber sie wissen nicht, was es macht.

BB: Was ist mit Ihnen, Timur? Was sehen Sie in Bezug auf Asset-Bestände und wie sie im Universum existieren?

TK: Ja, also, ich bin auf jeden Fall damit einverstanden, dass man versucht, ein gewisses Maß an Automatisierung darum herum aufzubauen, einfach weil es das Problem löst, es aktuell und so zu halten, wie es sein kann. Es gibt aber auch einige kostenlose oder ziemlich billige Tools, mit denen man das ebenfalls machen kann.

Es hängt also davon ab, wie automatisiert Sie es haben wollen und wie viel einfacher Sie es haben wollen, im Vergleich zu einem Praktikanten, der das Inventar im gesamten Unternehmen sammelt, richtig?

Aber ich denke, eine der Herausforderungen, und das ist wahrscheinlich etwas, das ein kleines bis mittleres Unternehmen berücksichtigen muss, ist, dass es bei der Inventarisierung digitaler Assets oft nicht nur um die Dinge geht, die Sie in Ihrem Büro haben. Es geht nicht nur um die PCs, die Ihre Benutzer benutzen. Sie müssen es ganzheitlicher betrachten und sagen: Habe ich eine Website und wo befindet sich diese?

Fehler #4: Unsichere digitale Assets

TK: Nun, die Website befindet sich vielleicht nicht auf dem Firmengelände, richtig, aber sie könnte zusätzliche Daten über andere Wege preisgeben. Ich denke, eine der Möglichkeiten, sich dem Problem zu nähern, ist, alle digitalen Assets herauszufinden, für die man bezahlt.

Wenn Sie also für Web-Hosting bezahlen, dann stecken dahinter wahrscheinlich auch digitale Assets.

Wenn Sie für einen Laptop bezahlen, während Sie sich bewusst sind, dass da ein Laptop herumfliegt, wenn Sie eine Cloud-Infrastruktur haben, und Sie haben Sachen in S3-Buckets, dann sind Sie sich der Tatsache bewusst, dass es dort eine potenzielle Gefährdung gibt und gehen von dieser Perspektive aus.

Und in der Lage zu sein, zu sagen: “Hier verteile ich meine Ressourcen auf monatlicher Basis” und in der Lage zu sein, mit ihnen zu identifizieren, wo Verstöße auftreten könnten.

Sie finden vielleicht heraus, dass Sie Schwachstellen haben, die außerhalb Ihrer Organisation existieren. Sie wissen, dass ich einen Cloud-Service eines Drittanbieters benutze, um X, Y und Z zu erledigen. Was wird mit Ihrem Unternehmen passieren, wenn dieser Cloud-Service ausfällt oder infiltriert wird und Daten von diesem Cloud-Service exfiltriert werden? Und dann entsteht ein umfassenderes Bild Ihrer Risikoexposition.

Fehler Nr. 5: Keine Netzwerksegmentierung

BB: Verstanden, OK. Wir gehen jetzt zur Netzwerksegmentierung über, und Greg, so ziemlich alles, was wir besprochen haben, scheint für Sie auf diese Idee der intelligenten Netzwerksegmentierung zurückzukommen. Können Sie uns also sagen, was das ist, warum es wichtig ist und wo man anfangen sollte?

GM: Auf jeden Fall.

Wenn man sich fast jedes Sicherheits-Framework, jedes Sicherheitsprogramm ansieht, ist es einfach grundlegend. Sie müssen eine Form der Segmentierung einführen, und das ist wirklich entscheidend, um sicherzustellen, dass, wenn etwas passiert, es sich nicht seitlich über Ihre gesamte Organisation ausbreitet. So wird verhindert, dass sich ein Sicherheitsverstoß mit einem Satz von Geräten in einem Bereich Ihres Unternehmens ausbreitet und den gesamten Geschäftsbetrieb zum Erliegen bringt.

Dies ist also die grundlegendste Form der Hygiene, die Sie haben müssen. Die Analogie, die ich immer benutze, ist, wenn Sie ein Zoowärter sind, wollen Sie sicherstellen, dass alle Tiere in ihren richtigen Käfigen sind. Sie wollen nicht einen großen Käfig mit Ihren Löwen und Ihren Gazellen aufstellen, verstehen Sie?

Was würde passieren, wenn Sie alle Geräte, alle Assets in Ihrem Netzwerk, in ein großes, flaches Netzwerk packen und sagen: OK, hoffen wir, dass keines dieser Geräte angegriffen wird. Hoffen wir, dass niemand durch eine Sicherheitskamera eindringt und dann einen Weg zu meinen Finanzsystemen und anderen Anlagen findet.

Ich denke, jeder versteht, dass dies eine Praxis ist, die man einführen muss, aber es ist auch eine, die wir selten effektiv implementiert sehen, besonders in KMUs.

Ich war kürzlich an einem Ort, wo sie einen Süßigkeitenautomaten hatten, einen Süßigkeitenautomaten, der mit der wunderbaren Welt des Internets der Dinge (IoT) vernetzt war. Und er war mit genau demselben Netzwerk verbunden wie ein Multimillionen-Dollar-Robotersystem. Das ist aus einer Sicherheitsperspektive absolut verrückt. Oder Sie finden: “Nun, wir haben einige Führungskräfte in unserer Organisation und ihre Teslas sitzen im Firmennetzwerk, oder ihr Peleton sitzt einfach im Firmennetzwerk.

Das ist ein Problem. Und die Art und Weise, wie Sie das angehen wollen, ist, mit der Segmentierung zu beginnen und sicherzustellen, dass Sie natürlich Ihr Gastnetzwerk von Ihrem Unternehmensnetzwerk getrennt haben, aber dann angemessene Schutzmaßnahmen einrichten, um sicherzustellen, dass Sie Kontrollen darüber haben, welche Geräte mit welchen Zielen in Ihrem Netzwerk kommunizieren können.

Der Weg, dies zu tun, ist also nicht zu versuchen, aufzuwachen und zu sagen, wissen Sie was, wir werden einfach unser gesamtes Netzwerk und alle Orte morgen segmentieren, das ist nicht realistisch. Das ist nicht realistisch. Es geht darum, einen Blick darauf zu werfen und zu sagen: “Was sind die am meisten gefährdeten Geräte in meinem Netzwerk? Ich möchte wirklich sicherstellen, dass ich diese segmentiert und geschützt habe.”

Man beginnt also mit einer sehr praktischen Einschätzung, wo man glaubt, das größte Risiko zu haben, und nutzt dann die vorhandene Netzwerkinfrastruktur, um grundlegende Segmentierungsrichtlinien einzuführen.

Und die gute Nachricht ist, dass die meisten Unternehmen, die meisten Organisationen, sogar KMUs, mit ihrer heutigen Infrastruktur in der Lage sind, diese Art der Segmentierung zu implementieren. Dies ist keine High-End-Funktionalität, die nur für die Fortune 500 verfügbar ist. Dies ist eine grundlegende Fähigkeit, die für fast jede Netzwerk-Firewall-Infrastruktur, die Sie heute haben, verfügbar ist.

BB: Ausgezeichnet. Nun, Timur, ist Ihr Tesla auf das Unternehmensnetzwerk ausgerichtet? Ist es das, womit Sie da drüben arbeiten?

TK: Leider nein. Ich habe keinen Tesla. Aber ich stimme Greg vollkommen zu. Ich denke, es gibt bestimmte grundlegende Fehler, die gemacht werden, und manchmal besteht der Fehler einfach darin, die Tatsache zu berücksichtigen, dass Sie diese Fähigkeit bereits von Ihrem Dienstanbieter zur Verfügung gestellt bekommen. Es ist nichts Zusätzliches, was Sie dafür bezahlen müssen. Sie müssen sich nur die Zeit nehmen, die Ressourcen zu identifizieren. Sie müssen in ihre eigenen Eimer getrennt werden.

Sie wären überrascht, wie oft ich ein Gast-Wi-Fi-Netzwerk sehe, das sich mit demselben Netzwerk verbindet, mit dem sich auch alle anderen Netzwerke verbinden. Die Idee, ein VLAN speziell für die Entitäten zu erstellen, denen Sie nicht vertrauen, ist meiner Meinung nach ziemlich einfach.

Ich denke, es gibt Best Practices für die Trennung von Personen, die Geräte in das Netzwerk einbringen, von Infrastrukturkomponenten, wie z. B. Druckern, wie z. B. Ihren Servern, die gehostet werden und Daten austauschen und so weiter, von IoT-Geräten, also Ihren Thermostaten, Ihrem Tesla und so weiter.

Und ich denke, allein dieser Schritt reduziert das Risiko, das Sie haben, wenn eine dieser Komponenten angegriffen wird oder die Möglichkeit dazu hat, unglaublich.

BB: Erich, passiert das in dem Universum, das Sie sehen?

EK: Ja, weniger oft, als ich es gerne sehen würde. Ich meine, einige Dinge wie WannaCry haben uns wirklich die Augen für die Netzwerksegmentierung im Nationalen Gesundheitsdienst Großbritanniens geöffnet, als es einfach durch das gesamte Netzwerk stürmte und den NHS ausschaltete.

Ich meine, die andere Sache, ich mag wirklich beide Ihrer Antworten, Greg, auch auf Ihren Punkt. Wenn man Netzwerksegmentierung einsetzt oder anfängt, Netzwerke zu segmentieren, findet man auch Dinge, von denen man gar nicht wusste, dass sie da drin waren. Wie kann das passieren? Weil man oft die Bereiche einschränkt, durch die der Datenverkehr fließt, und dann fängt man an, diesen Verkehr zu sehen.

Fehler Nr. 6: Kein Verständnis für grundlegende Sicherheitshygiene

BB: Was ist mit den Grundlagen? Und ich weiß, das ist ein großes Universum von Grundlagen, aber, nun, was sind einige von denen, die Ihrer Erfahrung nach häufiger übersehen werden?

GM: Oh, ich nehme das. Ich denke, dass Sie, wie Sie wahrscheinlich am Kometen erkennen können, ein Typ sind, der sich auf das Wesentliche besinnt. Und ich denke, es ist erstaunlich, wie viele Sicherheitsanbieter da draußen den Unternehmen erzählen und sagen, dass das, was SolarWinds nie angegriffen hat, nie passiert wäre, wenn Sie nur unser Produkt oder diese magische Lösung gekauft hätten. Und ich denke, dass es am Ende des Tages, besonders für kleine Unternehmen, wirklich darum geht, den Kern zu blockieren und zu bekämpfen, den Sie brauchen.

Jemand hat mich gerade nach den Grundlagen gefragt, und ich würde auf Dinge verweisen, über die wir vorhin gesprochen haben: Inventarisierung der Anlagen, Wissen, was in Ihrer Umgebung angeschlossen ist, Sicherstellen, dass Sie einen Business-Continuity-Plan haben.

Wenn Sie sagen: “In Ordnung, was würde passieren, wenn wir diese bestimmten Anlagen bei dieser Anwendung verlieren? Wie würden wir das Geschäft weiter betreiben? Wie würden wir darauf reagieren?”

Und Sie sollten besser Backups einrichten.

Ich bin mir sicher, dass wir über Sicherheitsschulungen sprechen werden, wenn man bedenkt, wie die meisten Unternehmen angegriffen werden. Wenn Sie Ihre Mitarbeiter nicht darin geschult haben, wie man Phishing-Angriffe erkennt, dann haben Sie nicht einmal die grundlegendsten Dinge getan. Ich würde Dinge wie Richtlinien für den privilegierten Zugriff und eine Segmentierungsstrategie hinzufügen.

Das sind meiner Meinung nach die Grundlagen, die jede Sicherheitsorganisation, jedes KMU haben sollte, und das müssen keine Dinge sein, für deren Implementierung man Wochen oder Monate braucht.

Ich denke, die meisten Unternehmen können innerhalb von Tagen oder Wochen von einem Basiszustand zu einem vernünftigen Zustand übergehen. Und in vielen dieser Fälle würde ich meine Energie dorthin stecken.

BB: Ja, OK. Was sind einige Ihrer Grundprinzipien, die Ihrer Meinung nach zu oft ignoriert werden?

EK: Vieles von dem, was Greg gesagt hat, möchte ich aber auch noch anbringen.

Zugriffskontrolle. Die Leute müssen also die richtigen Berechtigungen haben, oder zumindest Privilegien. Sie kennen diese Idee, wo jeder plötzlich ein Admin für alles ist, das ist ein Problem. Kommen Sie. Es ist jetzt 2021.

Heutzutage gibt es kein Betriebssystem, das keine erweiterten Rechte unterstützt, wenn man sie braucht. Das ist also ein wichtiger Punkt, und dann haben wir noch die Benutzerseite erwähnt.

Ich bin sicher, wir werden noch mehr darüber sprechen, aber Dinge wie Passwörter und die Wiederverwendung von Passwörtern müssen wir den Leuten beibringen, warum das wichtig ist.

Wissen Sie, ich habe ein Meme, das ich auf viele meiner Folien geklebt habe, es ist der Ritter, ganz in Rüstung, und er repräsentiert ein Multi-Millionen-Dollar-Sicherheitsbudget, und dann ist das nächste Bild ein Pfeil, der durch den Schlitz geht, und darauf steht: “Passwort wiederverwendet.” Und es fasst einfach so gut zusammen, dass dies die Grundlagen sind. Wir sagen den Leuten, sie sollen Passwörter nicht wiederverwenden. Wir sagen ihnen nicht unbedingt, warum. Und so passiert es weiterhin, und dann ist es weiterhin ein Problem.

BB: Timur, was ist mit Ihnen? Gibt es irgendetwas, was Sie dem hinzufügen möchten?

Fehler #7: Keine Bewertung des Geschäftsrisikos

TK: Ich stimme wirklich mit allem überein, was hier gesagt wurde. Und ich denke, das führt uns zum nächsten Punkt über die Bewertung des Geschäftsrisikos und warum einige dieser Dinge nicht wirklich so geprüft werden, wie sie es sollten. Ich denke, wenn man mit KMUs über ihr Cybersecurity-Budget spricht, sehen sie es oft als Betriebsausgabe an.

Sie sagen: “Entweder gebe ich einen Betrag von X aus, um sicherzustellen, dass ich sicher bin, aber sie betrachten es nicht wirklich von der anderen Seite. Das heißt, wie viel würden Sie am Tag nach einer Sicherheitsverletzung zahlen? Wie viel würden Sie zahlen, nachdem die Daten gehandelt werden, nachdem jemand Ihre Kundendaten gestohlen hat, oder etwas Ähnliches in Ihrer Infrastruktur passiert ist?

Und ich denke, hier kommen die Grundlagen ins Spiel. Denn ich denke, dass einige der kleineren Schritte, die man unternehmen kann und die eigentlich nicht viel kosten, das Risiko stark reduzieren werden. Und ich denke, es ist wichtig zu verstehen, dass diese Grundlagen nicht etwas sind, das nur IT-Leute kennen sollten, sondern jeder in der Organisation sollte sich bewusst sein, wie hoch das Risiko sein könnte.

BB: Ausgezeichnet.

Fehler Nr. 8: Wissen, wie “normal” aussieht

Na gut. Jetzt werden wir darüber sprechen, wie “normal” aussieht, was wichtiger ist, als viele Leute vielleicht denken.

Erich, warum sprichst du nicht mit uns darüber, warum das wichtig ist, und warum wir wissen müssen, was normal ist?

EK: Für so viele Dinge müssen wir eine Basislinie haben und wir messen nicht viel.

Viele Organisationen, insbesondere kleine und mittlere Unternehmen, wissen nicht unbedingt, wie der Normalzustand aussieht, was die CPU-Auslastung, die Netzwerknutzung und solche Dinge angeht.

Wenn also etwas passiert, sagen wir mal, jemand dringt in ein System ein und benutzt eine Menge Daten, dann merken sie nicht, dass plötzlich 750 Gigabyte das Netzwerk verlassen haben, und sie sehen so etwas einfach nicht.

Ich bin also ein großer Befürworter des Verständnisses der Grundlagen, und zwar nicht einmal bis zu dem Punkt, an dem all die Software, wie die Analyse des Benutzerverhaltens und solche Dinge in einem kleinen, mittelständischen Unternehmen. Aber zu verstehen, wenn etwas seltsam oder fehl am Platz erscheint, oder die Leistung auf einigen Boxen signifikant abfällt.

Wissen Sie, vielleicht gibt es Ransomware, vielleicht haben Sie einen Krypto-Jacker, der auf all Ihren 40 Core-Servern da draußen ist, ganz plötzlich. Wenn Sie nicht wissen, wie es normalerweise aussieht, sehen Sie so etwas nicht.

BB: Also, was sind einige der Dinge, die Sie regelmäßig überwachen sollten, um ein Gefühl für die Baseline zu bekommen?

EK: Ich schaue mir immer den ein- und ausgehenden Netzwerkverkehr an und wie sich dieser verhält. Was ist typisch? Was ist normal? Wissen Sie, es bedeutet nicht immer, dass ein Spike abnormal ist. Vielleicht ist es jemand, der Netflix streamt, wer weiß, wissen Sie?

Aber es löst einen Alarm aus, der besagt: Hey, vielleicht sollten wir uns das ansehen, oder, Sie wissen schon, ist das okay? Das ist also ein wichtiger Punkt.

CPU-Prozesse, auf Maschinen, das ist etwas, das wir nicht immer so sehr überwachen. Aber wenn Ransomware loslegt und ein Rechner anfängt, all diese Dateien zu verschlüsseln, arbeitet er ein wenig härter als zuvor.

Und wenn Dinge mitten in der Nacht zu arbeiten beginnen, wenn Sie mitten in der Nacht, wenn niemand im Büro ist, CPU-Spitzen oder Datenspitzen bekommen, dann sollte das für Sie ein Warnsignal sein.

TK: Nun, das ist eigentlich ein ziemlich komplexes Thema. Immer, wenn ich jemanden für eine IT-Administrationsposition interviewt habe, ist eine der Fragen, die ich stelle: “Wie würden Sie wissen, dass das System infiziert ist?”

Und die Antwort darauf ist viel komplizierter, als es auf den ersten Blick scheint. Aus diesem Grund gibt es Dienste für Unternehmen, die diese Art von Überwachung, Bewertung dessen, was normal ist und was nicht normal ist, anbieten.

Und das Problem dabei ist, dass sich diese Einschätzung ändern kann, richtig? Ihre Arbeitslasten können sich in Ihrer Organisation ändern und so weiter. Und was heute normal war, kann morgen schon wieder anders sein. Und das ist ein großes Problem.

Ich denke, wenn man über Infrastrukturen spricht, die der Außenwelt ausgesetzt sind, wie z.B. Webserver und solche Dinge, dann ist es sehr wichtig, die Logs zu verstehen. Und eine Möglichkeit zu haben, die Logs nicht Zeile für Zeile durchzusehen, sondern ein Tool zu haben, das in der Lage ist, diese Informationen für Sie zu aggregieren und Ihnen einen Schnappschuss von dem zu geben, was passiert, und Sie sind in der Lage, diesen mit dem zu korrelieren, wie dieser Schnappschuss gestern aussah, ich denke, Dinge dieser Art helfen sicherlich.

Aber ich denke, ein Teil davon ist das Bewusstsein der Benutzer, richtig? Wenn Sie über die CPU-Auslastung in der Nacht sprechen, wenn Sie über unbekannte Prozesse sprechen, die auf den Boxen laufen, wenn Sie über den Bandbreitenverbrauch sprechen, der sich ändert, ich denke, das sind alles Dinge, bei denen es sehr schwer ist, ein einziges Tool zu haben, besonders für ein KMU, das nur ein begrenztes Budget zur Verfügung hat, um es in der gesamten Infrastruktur einzusetzen.

Sie müssen also die Benutzer darauf aufmerksam machen, dass, wenn Ihr Computer langsam läuft, es vielleicht nicht daran liegt, dass er alt wird. Es kann daran liegen, dass etwas anderes vor sich geht. Es ist sehr wichtig, dieses Bewusstsein zu schärfen und sicherzustellen, dass jeder in der Organisation sich dieser Veränderungen bewusst ist und in der Lage ist, sie angemessen zu eskalieren.

BB: Sehen Sie das, Greg, von dort, wo Sie sind?

GM: Ja, das tue ich, und ich denke, es würde wirklich auf die Notwendigkeit hinweisen, eine Art von Überwachungslösung zu haben, die vorhanden ist, damit man diese Daten sehen und visualisieren kann.

Ich denke, dass eines der Dinge, je mehr verschiedene Arten von angeschlossenen Geräten und angeschlossenen Anlagen man bekommt, es für einen Menschen unmöglich ist, in seinem Gehirn zu tragen. Wie sieht der Normalzustand noch vor einem Jahr aus?

Ich habe meinen ersten IoT-fähigen Toilettenpapierspender gefunden. Ich zögere, mir vorzustellen, wie der normale Gebrauch davon aussehen würde. Aber darüber muss man jetzt nachdenken.

Und ich denke, eines der Dinge für ein KMU ist es, nach einigen Tools zu suchen, die wirklich helfen, das zu visualisieren. So können Sie sagen: “Hey, ich habe ein Gerät, es ist in meinem Finanznetzwerk und es kommuniziert. Oder ich habe einen Aufzug, der mit Ihren Finanzsystemen kommuniziert, und das ergibt für mich nicht viel Sinn. Lassen Sie mich das untersuchen. Sie wollen also nicht, dass sich Menschen durch alle Protokolle wühlen müssen.

Visualisierungstools zu haben, die Sie warnen, wenn Sie ein Gerät haben, das versucht, mit einem Server in der Ukraine zu kommunizieren, klingt das für Sie richtig? Wenn nicht, sollten Sie das vielleicht mal untersuchen.

Fehler #9: Zwei-Faktor-Authentifizierung

BB: In Ordnung. Zwei-Faktor-Authentifizierung (2FA). Lassen Sie uns noch einmal darauf zurückkommen. Erich, warum brauchen wir das?

EK: Wegen dieser Sache mit der Wiederverwendung von Zugangsdaten. Und ich bin immer noch von Gregs Idee mit dem IoT-Klopapierspender überwältigt. Und es geht mir durch den Kopf, hier bei mir zu Hause. Ich habe drei Teenager, und wenn ich ihren Verbrauch begrenzen könnte, würde das meine gesamte finanzielle Dynamik verändern.

Aber abgesehen davon, hier ist die Sache mit dem Zwei-Faktor, wir können uns nicht darauf verlassen, dass es die Wunderwaffe ist. Es hält nicht alles auf; es kann gehackt werden. Es kann umgangen werden. Aber es macht Sie um einiges besser als jemanden, der es nicht installiert hat.

Und um auf die nicht ganz so freundliche Analogie zurückzukommen, aber ich muss nicht vor dem Bären davonlaufen. Ich muss nur schneller sein als die Person neben mir. Wenn Sie es ihnen schwerer machen, an Sie heranzukommen, gehen sie vielleicht zu jemand anderem weiter.

Das Problem liegt also in der Wiederverwendung von Passwörtern oder darin, dass Leute dazu verleitet werden, ihre Anmeldedaten in einer Phishing-E-Mail preiszugeben, die wie ein gefälschter Google- oder Microsoft-Login aussieht. Sie geben also diese Anmeldedaten preis, und jetzt haben die Angreifer diese Daten, und sie machen Credential Stuffing über Amazon und alle anderen, von denen sie denken, dass Sie Ihr Passwort wiederverwendet haben könnten.

Nun, zumindest mit dem Multifaktor erhalten Sie diese Textnachricht oder etwas Ähnliches, das sie davon abhält, sich anzumelden, sobald sie Ihre Anmeldedaten verraten haben.

Und es kann eine frühe Warnung sein, wenn Sie eine Textnachricht von Ihrer Bank erhalten, in der es heißt, hey, hier ist Ihr Code, und Sie haben nicht versucht, sich einzuloggen. Sie sollten sich bei Ihrer Bank anmelden und sehen, was los ist und vielleicht Ihr Passwort ändern.

BB: Es wird in vielen Fällen fast schon zur Pflicht, es ist fast schon so weit, dass es zum Standard wird.

GM: Die Implementierung der Zwei-Faktor-Authentifizierung ist auch ein wirklich gutes Erziehungsinstrument, weil es die Mitarbeiter dazu zwingt, innezuhalten und regelmäßig über Sicherheit nachzudenken, was die meisten von uns nicht tun.

Im Alltag gibt es viele Gründe, die für eine Zwei-Faktor-Authentifizierung sprechen, aber ich denke, dass auch das Bewusstsein der Mitarbeiter dazu beiträgt.

Und die Lösung für all die Beschwerden darüber sind Passwortschützer. Ist es das, was wir den Endbenutzern sagen, Timur?

TK: Nun, wir sagen das schon seit langem, aber ich möchte noch einmal wiederholen, dass ich glaube, dass das Passwort letztendlich auf dem Weg nach draußen ist. Ich denke, wir werden den Tag erleben, an dem das Passwort nicht mehr das Ding ist, mit dem man sich bei einem System anmeldet.

Wissen Sie, es gibt etwas an der Zwei-Faktor-Authentifizierung, dass, obwohl sie sich immer mehr durchsetzt und es immer mehr Finanzinstitute gibt, die sie verlangen, es tatsächlich eine Menge Tools gibt, die es gewohnt sind und die es schon lange Zeit haben.

Aber sie verlangen es nicht, richtig? Wenn Sie z. B. G Suite verwenden, können Sie die Zwei-Faktor-Authentifizierung aktivieren, um sich bei Google anzumelden. Aber wie viele Unternehmen tun das nicht? Sie können die Zwei-Faktor-Authentifizierung aktivieren, um sich bei Salesforce anzumelden. Aber wie viele Unternehmen tun das nicht. Und ich glaube, das liegt daran, dass sie diese Art von Anfangsanalyse nie gemacht haben.

Was würde es bedeuten, wenn die Anmeldedaten des Vertriebsmitarbeiters Jerry bei Salesforce kompromittiert würden und jemand anderes Zugang zum Kundenstamm, zu den Kundenkonten hätte? Was würde das für das Geschäft bedeuten? Was bedeutet das für die Kontinuität des Unternehmens?

Und ich denke, wenn Sie das einmal bedacht haben, wird das Anklicken dieses Kästchens zum Selbstläufer. Richtig?

Aber ich denke, weil die Unternehmen diesen Schritt zunächst nicht machen, verpassen sie diese Chance.

Fehler Nr. 8: Cloud-Sicherheit missverstehen

BB: Lassen Sie uns über Cloud-Server sprechen, denn ich habe das ziemlich regelmäßig behandelt, wo, oops, der S3-Bucket kein Passwort hatte.

Wonach suchen wir? Wo müssen wir anfangen? Und wo sind die möglichen Schwachstellen dort?

EK: Ja, also meiner Meinung nach gehen die Begriffe S3-Eimer und Datenschutzverletzung irgendwie Hand in Hand, oder? Das haben wir leider schon so oft gesehen. Und oft handelt es sich dabei um ein Missverständnis, vor allem, wenn man gerade erst in die Cloud wechselt. Oder Sie sind eine kleinere Organisation und haben gehört, dass die Cloud sicher ist. Was ihnen nicht immer klar ist, ist, dass der Cloud-Anbieter sich zwar um seine Infrastruktur im Backend kümmert, aber dass die Daten, die Sie dort ablegen, von Ihnen selbst gesichert werden müssen. Es liegt nicht an ihnen.

Und Anwendungen sind eine Sache. Aber vor allem, wenn Sie Daten oder Ihre eigene App in einer Cloud-Umgebung speichern, können Sie sich nicht darauf verlassen, dass der Cloud-Anbieter auch der Sicherheitsanbieter ist. Und ich denke, das ist es, wo eine Menge Verwirrung auf der SMB-Seite entsteht.

TK: Ich finde es lustig, dass sich die Welt weiterentwickelt hat. Früher hieß es: “Oh, ich will die Dinge nicht in die Cloud verlagern, weil das sicherer ist. Jetzt verlagern sie in die Cloud und gehen davon aus, dass Amazon sich für mich um die Sicherheit kümmern wird.

Im Grunde ist es Ihre Aufgabe, Ihre Daten zu sichern. Niemand wird das für Sie tun.

BB: Und es gibt auch regulatorische und haftungsrechtliche Bedenken. Können Sie etwas zu den Risiken sagen, die ein Unternehmen eingeht, wenn es dieses Zeug ungeschützt herumschleudert?

GM: Nun, ich denke, wie Erich schon sagte, gibt es ein kleines Missverständnis in Bezug auf die Frage, ob jemand anderes dafür verantwortlich ist, wenn ich es aus dem Unternehmen in die Cloud verlagere. Tatsächlich ist das aber nicht der Fall.

Und ich denke, dass man dieselben Schutzmaßnahmen, die man für die Infrastruktur vor Ort einrichten würde, auch für die Cloud-Infrastruktur einrichten sollte. Wenn jemand Ihre Website hackt, auf der ein Amazon oder was auch immer läuft, und Zugriff auf den Kundenstamm erhält, den Sie in ihren Kundeninformationen haben, was bedeutet das, und welche Schutzmaßnahmen ergreifen Sie?

Um das zu verhindern, haben Sie vielleicht eine Firewall in Ihrem Büro, aber haben Sie eine Web Application Firewall für Ihre Cloud-Implementierungen? Verstehen Sie, wie der Zugriff auf diese Ressourcen kontrolliert wird? Und wer hat Zugriff auf diese Ressourcen? Oftmals stellen wir interne Ressourcen in der Cloud bereit, aber wir konfigurieren sie nicht so, dass sie nur intern zugänglich sind. Diese Art von Fehlkonfigurationen sieht man also immer wieder.

Und ich bin ein großer Fan von dem, was Amazon über die Jahre mit Amazon Web Services gemacht hat, aber ich bin mir nicht sicher, ob sie an einer Benutzeroberfläche gearbeitet haben – sie sind nicht ganz intuitiv. Sie sind nicht sehr einfach einzurichten, und man braucht Zertifizierungen und Fachwissen, um einige der Dinge zu tun, die aus einer On-Premise-Perspektive ziemlich einfach sind. Ich denke also, dass es wichtig ist, das nicht zu übersehen, wenn Sie die Bewertung Ihrer digitalen Assets durchführen. Und ist Amazon überhaupt in der Lage, Ihnen zu helfen und Sie durch diese Schnittstelle zu führen?

BB: Ich meine, gibt es Unterstützung für untergebildete Benutzer?

GM: Ja, sie müssen eine ganze Menge an Dokumentation haben.

Sie ist ein wenig fragmentiert, und oft, wenn man z. B. nach der Konfiguration von Load Balancern sucht und in der Lage sein will, Webanwendungen zu konfigurieren und welche Art von Regeln ausgeführt werden sollen. Und ich denke, es ist ein Prozess. Und für KMUs wird das oft nicht als kritische Pfadkomponente im Prozess gewertet.

Aber es sollte wirklich verstanden werden.

Fehler Nr. 10: Mangelnde Sicherheitsschulung

BB: Erich, jetzt müssen wir wirklich über Sicherheitstrainings sprechen, und ich habe an verschiedenen Stellen Untersuchungen gelesen, die besagen, dass die Ausgaben für Sicherheitstrainings für die Benutzer eine großartige Rendite für Ihre Investition darstellen. Vielleicht könnten Sie also darüber sprechen, warum das so wichtig ist und was Sie dabei beobachten.

EK: Ich stimme Ihnen zu 100 Prozent zu. Und eines der Dinge, die an dem Gedanken an dieses Training falsch sind, ist, dass die Leute annehmen, es sei sehr teuer, obwohl es in Wirklichkeit sehr preiswert ist.

Und als technische Leute konzentrieren wir uns oft auf technische Kontrollen, da fühlen wir uns wohl. Ich würde gerne in einem Rechenzentrum sein, in dem die Lüfter umherschwirren und keine Menschen zu sehen sind. Das ist mein glücklicher Ort, richtig? Aber als Sicherheitsprofis müssen wir uns mit dem menschlichen Teil befassen, denn das ist es, was viele dieser Sicherheitsverletzungen wirklich verursacht.

Ich meine, wir sehen das immer und immer wieder. Die andere Sache, über die man nachdenken sollte, ist, dass der Benutzer typischerweise der Teil ist, bei dem wir von proaktiven Kontrollen zu reaktiven Kontrollen übergehen. Die E-Mail durchläuft also alle proaktiven Maßnahmen und gelangt auf den Desktop des Benutzers. Wenn er auf den Link klickt oder das Dokument startet oder was auch immer, müssen wir jetzt darauf reagieren, und wir wollen nicht auf der anderen Seite des Problems stehen. Es ist also ein sehr zentraler Teil, wenn es darum geht.

Die Leute missverstehen das aber; man kann nicht einfach im Januar jemanden für eine Stunde PowerPoint schulen, um dann zu sagen, OK, du bist cool bis nächstes Jahr.

Wir müssen es in kleinere Dinge herunterbrechen, die für sie relevant sind. Zum Beispiel sage ich den Leuten jetzt, es ist Steuerzeit. Das ist ein großartiger Zeitpunkt, um die Leute mit Steuersachen zu versorgen und ihnen zu sagen: “Hey, achtet auf diese Betrügereien, denn sie haben es auf eure Steuerdaten abgesehen.

Und während sie das lernen, lernen sie auch, wie sie sich für die Organisation verteidigen können. Also teilen Sie es dort auf, Sie decken diese Dinge wie Phishing ab. Man deckt diese Dinge wie Passwörter ab, man deckt die grundlegenden hygienischen Teile der Sicherheit ab. Und ich denke, wir geben dem einfach nicht genug.

BB: Gerade kleine und mittelständische Unternehmen neigen dazu, nicht zu verstehen, wie wichtig das ist, und die Schulungen werden eher mit einem Augenrollen quittiert, oder? Ich meine, das ist wahrscheinlich zu flapsig, aber sie nehmen es nicht so ernst, wie die Bedrohung wirklich ist.

EK: Und das ist ein Problem der Kommunikation.

Wenn wir mit den Leuten reden und sagen: “Hey, es wird ein Training geben.” Wir können nicht die Leute sein, die da oben stehen und sagen: “Hier ist das jährliche Training, Leute.” Das können wir nicht tun. Wir müssen zeigen, dass das wirklich wichtig ist. Die Betrügereien werden immer schlimmer, die Leute verlieren Geld, es kann Sie zu Hause treffen, wir werden Ihnen helfen, sich zu schützen, und wir müssen das in eine andere Denkweise für sie mit einer Botschaft bringen, damit sie es ernster nehmen.

Das ist ehrlich gesagt unsere Schuld, und das in vielerlei Hinsicht.

BB: Nun, Greg, Sie sind ein CEO. Was für eine Art von Training bekommen Ihre Mitarbeiter, und wie ist Ihre Philosophie in Ihrer Organisation diesbezüglich?

GM: Das ist etwas, das wir implementiert haben, und ich bin mir dessen sehr bewusst, weil ich finde, dass es in einer Cybersicherheitsorganisation manchmal die Arroganz gibt, zu sagen: Wir wissen alles, wir sind Profis. Warum sollten wir diese Art von Training absolvieren müssen?

Im Grunde genommen geht es darum, sicherzustellen, dass die Mitarbeiter in der gesamten Organisation sensibilisiert sind und sich tagtäglich damit auseinandersetzen. Und für mich ist das eine Botschaft von ganz oben.

Wenn wir als Sicherheitsorganisation einen Verstoß erleiden, entsteht ein Imageschaden, der uns und unserer Fähigkeit, unsere Lösung zu verkaufen, schaden würde, um Geld zu verdienen. Das ist also etwas, das ein fester Bestandteil dessen ist, was wir als Organisation sind.

Aus diesem Grund haben wir einen Chief Security Officer eingestellt, um das Bewusstsein und die Kommunikation im gesamten Unternehmen zu fördern.

BB: Und Timur, wir wissen, dass es die Benutzer mit den höchsten Privilegien sind. Es sind in der Regel die ranghöchsten Mitglieder von Unternehmen, die oft die schwächsten Glieder zu den wertvollsten Zielen sein können. Wie bringen Sie das also in Richtung Führung? Und wenn Sie eine IT-Person sind, die in der Mitte sitzt, wie schaffen Sie es, dass die Nachrichten nach oben gelangen?

TK: Nun, um auf Gregs Punkt einzugehen, wir sind auch ein Cybersicherheitsunternehmen, und ich denke, die Idee eines Sicherheitsvorfalls ist für uns ein großes Reputationsproblem, und jeder im Unternehmen muss sich damit beschäftigen.

Wir tun eine Reihe von Dingen, so lassen wir die IT-Abteilung E-Mails verschicken, die aussehen, als kämen sie von Leuten, von denen sie eigentlich nicht stammen. Wir verschicken Links, auf denen steht: “Ihr Passwort wurde zurückgesetzt, melden Sie sich hier an.”

Die Seite sieht aus wie ein Anmeldesystem, das der Kunde normalerweise benutzen würde, oder der Mitarbeiter normalerweise benutzen würde, und Dinge dieser Art. Aber ich denke, eines der Probleme, die ich in kleinen und mittleren Unternehmen gesehen habe, ist die Vorstellung, dass der CEO und der CFO ins Visier genommen werden.

Richtig, natürlich, aber, ich, ich arbeite im Support. Niemand kümmert sich darum, was ich habe.

Aber ich denke, wenn Sie eine ordentliche Bewertung der Mitarbeiter, der Art der Systeme, auf die sie Zugriff haben, und der Art des Zugriffs, den sie haben, vornehmen würden, würden Sie herausfinden, dass ein Support-Mitarbeiter, der in irgendeiner Weise infiltriert wird, tatsächlich erhebliche Auswirkungen auf das Unternehmen hat und nicht übersehen werden sollte. Und das Gleiche gilt für Praktikanten. Wenn ein Praktikant aus dem Finanzbereich Zugriff auf die Buchhaltung hat, dann ist das ein großes Problem.

Es ist also wichtig, dass jeder, von oben bis unten, versteht, welche Auswirkungen eine Infiltration ihrer Anmeldedaten oder ihrer Identität im Netzwerk auf das gesamte Unternehmen hat.

Fehler Nr. 11: Die Supply-Chain-Bedrohung nicht verstehen

BB: OK, lassen Sie uns jetzt über die Lieferkette sprechen. Nachdem die Sicherheitslücke in der Lieferkette von SolarWinds für Schlagzeilen gesorgt hat, schaut jeder auf seine Lieferketten und darauf, woher die Angriffe kommen.

In unseren Gesprächen haben wir aber auch darüber gesprochen, dass Unternehmen oft nicht auf ihre eigene Rolle in der Lieferkette achten. Vielleicht können wir ein wenig darüber sprechen. Timur, würden Sie uns den Anfang machen?

TK: Sicher, ich kann das übernehmen. Wir haben in letzter Zeit mehr über Angriffe auf die Lieferkette gehört, aber das ist keine so neue Entwicklung. Ich denke, es gibt sie schon seit geraumer Zeit.

Im Jahr 2013 wurde das Kassensystem von Target kompromittiert und infolgedessen wurden eine Menge Kundendaten gestohlen.

Ich glaube, im Jahr 2015 wurde die Version von X-code, einem Entwicklungstool für macOS, mit einer Geisterversion veröffentlicht, die nicht nur das Tool selbst infizierte, sondern jede Software, die mit dem Tool erstellt wurde, beeinträchtigte und sich anschließend auf viele Kunden ausbreitete.

Heute bauen wir Software anders als in den neunziger Jahren. Die meiste Software verwendet Pakete von Drittanbietern, man nimmt also Code, den jemand anderes geschrieben hat, und vertraut implizit darauf, dass dieser Code sicher sein wird.

Und zu verstehen, dass, wenn plötzlich eine JSON-Parsing-Bibliothek gehackt wird, wie sich dieser Code auf meine Software auswirkt, ist sehr wichtig.

Aber ich denke, eines der Dinge, die wir nicht betrachten, wenn wir einen Angriff auf die Lieferkette in Betracht ziehen, ist die Tatsache, dass viele KMUs selbst Teil der Lieferkette für größere Institutionen sind.

Wenn wir bei Untangle zum Beispiel mit Finanzinstituten zusammenarbeiten, könnte ein bösartiger Akteur an etwas interessiert sein, das unsere Kunden haben, richtig?

An diesem Punkt werden wir im Wesentlichen zu beweglichen Teilen, und der Angreifer kann sagen: Um an das Institut zu gelangen, mit dem Sie zusammenarbeiten, werden wir uns in Ihre Codebasis oder in Ihren eigenen Bereitstellungsprozess einschleusen, usw.

Wenn Sie also diese Art von Risiko und diese Art von Angriff evaluieren, sollten Sie nicht nur die Inputs in Ihre Produktion berücksichtigen, sondern auch Ihre Outputs, also die Inputs in die Produktion eines anderen, und verstehen, dass der Kuchen dort viel größer sein könnte als das, was Sie zu bieten haben.

BB: Verstanden. Erich, was denkst du darüber?

Erich: Ja, ich stimme dem zu, was er sagt. Ich werde ganz schnell zu der anderen Sache wechseln, die, die mir in den Sinn kommt, wenn wir über diese Idee sprechen, dass Sie eine Bedrohung für andere Menschen sind.

Und ich werde zurück zu E-Mail gehen.

Wenn sich also jemand Zugang zu Ihrem E-Mail-Konto verschafft, oder, sagen wir, zu Gregs E-Mail-Konto als CEO einer Organisation, hat er Zugriff auf sein Adressbuch und kann anfangen, Sachen an andere Leute zu schicken, die ihm vertrauen, weil es von ihm kam.

Wir sehen alle Arten von Kompromittierung von Geschäfts-E-Mails, Betrug, Rechnungsumleitung und dergleichen, wenn sie in diese Organisationen eindringen, dass man dabei helfen kann, Dinge zu verbreiten, nur weil man Zugriff auf seine Kontaktliste hat. Ich meine, das ist nicht wirklich wichtig.

Einer der schlimmsten Virenausbrüche, mit denen ich zu Beginn meiner Karriere zu tun hatte, kam von einem unserer Lieferanten, der dem Präsidenten des Unternehmens Witze per E-Mail schickte.

Und sie wurden infiziert und schickten etwas. Er öffnete es, weil er es gewohnt war, Sachen von ihnen zu sehen, und ich verbrachte 26 Stunden damit, einen Mailserver wieder aufzubauen.

Das ist genau das, was es ist. Aber wir denken nicht immer darüber nach, selbst so etwas Einfaches wie Ihre E-Mail-Konten und was sie an anderen Stellen anrichten könnten.

BB: Greg, was denken Sie? Haben Sie etwas zum Thema Lieferkette hinzuzufügen?

GM: Ich denke, eine Sache, die ich beobachten würde, ist, dass SMBs sehr oft Teil der Lieferkette sind, oder größere Organisationen, und ich, als jemand, der ein Unternehmen führt, würde auch darauf hinweisen, dass es eine zunehmende Regulierung in diesem Bereich geben wird.

Wir haben das bereits gesehen, wenn Sie in der Verteidigung tätig sind, in Ihrer Lieferkette, die Vorschriften kommen, dass Sie grundlegende Cybersecurity-Kontrollen einrichten müssen.

Egal, ob Sie eine große oder eine sehr kleine Organisation sind, der Kongress hat gerade eine Verordnung für diejenigen verabschiedet, die Geräte an die Regierung verkaufen wollen. Und diese Vorschriften werden langsam in die Unternehmen durchsickern, und diese Standards, Sicherheits-Frameworks werden von anderen Organisationen implementiert werden. Für mich ist das eines dieser Dinge, die Sie besser verstehen sollten, denn es könnte sich auf Ihre Einnahmen als Unternehmen auswirken, wenn Sie nicht in der Lage sind, an die Leute zu verkaufen, die Sie erreichen wollen.

Fehler #12: Kein Business Continuity Plan

BB: Richtig, und zum Thema Umsatz, der Business-Continuity-Plan, ich meine, Timur hat es am besten gesagt, denke ich. Was würden Sie für Ihre Daten am Tag, nachdem sie exfiltriert wurden, bezahlen?

Das ist ein großes Thema. Und wie fangen Sie an, sich hinzusetzen, um herauszufinden, was Ihr Business-Continuity-Plan ist, wie ein guter Plan aussieht?

TK: Sicher. Vor einiger Zeit drehte sich der Business-Continuity-Plan wirklich darum, was passiert, wenn die Schlüsselperson das Unternehmen verlässt, oder wenn es in Ihrem Büro brennt. Unsere Umstände haben sich geändert. Wir müssen also wirklich einschätzen, welche Systeme für unsere Geschäftsabläufe wirklich kritisch sind, und wie schnell werden wir in der Lage sein, uns davon zu erholen, wenn diese Systeme weg sind?

Und sie können aus zahlreichen Gründen weg sein. Sie können weg sein, weil es ein Feuer gibt.

Sie können weg sein, weil es eine Krypto-Locker-Infektion gibt, sie können weg sein, weil es einen Amazon-Ausfall gibt oder etwas Ähnliches. Es ist also extrem wichtig zu verstehen, wie sich all das auf die Fähigkeit auswirkt, das Tagesgeschäft zu erledigen. Und ich denke, das passt zu vielen der anderen Dinge, über die wir gesprochen haben.

Und typischerweise kommt die Antwort, die ich über die Entwicklung eines solchen Plans höre, meist von einem Vertrag mit einem größeren Unternehmen, das Sie nach dem Plan fragt. Wenn Sie sagen, Moment mal, wo finde ich eine Vorlage für so etwas?

Ich denke, dass es sehr wichtig ist, zu verstehen, wo Ihre Schwachstellen sind, und daher denke ich, dass es eine Komponente ist, zu verstehen, was digitale Assets sind und so weiter, aber auch zu verstehen, wo Ihre aktuellen Implementierungen versagen könnten.

Ein weiteres Beispiel: Wenn ich mit einem Unternehmen arbeite und mit ihm über seine IT-Infrastruktur spreche – macht ihr Backups? Ja, das tun wir. Backups sind großartig. Wo wird das Backup abgelegt? Es kommt auf das zweite Laufwerk des Systems.

Oh, das ist ja toll. Also, solange nur ein Laufwerk stirbt, ist alles in Ordnung. Aber wenn es ein Feuer gibt, sind Sie in Schwierigkeiten. Es ist also extrem wichtig, einige dieser Kriterien zu verstehen, wo die Daten gespeichert werden und wo die Daten leben und wohin die Daten gehen sollen.

Und ich habe das Gefühl, dass viele Leute in der Business-Continuity-Planung zwar finanzielle oder personelle Probleme berücksichtigen, aber nicht unbedingt die Infrastrukturprobleme, die das Geschäft zum Erliegen bringen können.

BB: Greg, was denken Sie darüber? Wie sieht Ihrer Meinung nach ein intelligenter Business-Continuity-Plan aus?

GM: Wissen Sie, es ist witzig, denn Timur, Sie haben die kleinen Organisationen erwähnt, die Business-Continuity-Pläne aufstellen, die oft von außen gesteuert werden. In Kalifornien haben wir immer gewitzelt, es sei der Bus und die Erdbebenpfannen. Zum Beispiel, was passiert, wenn der CEO von einem Bus überfahren wird, was nie mein Lieblingsthema ist. Und dann ist da noch die Frage: Was passiert, wenn es ein Erdbeben gibt? Wie werden Sie Ihr Unternehmen weiter betreiben?

Und ich würde sagen, dass Sie an beiden Fronten sind, Probleme mit der Cybersicherheit sind wahrscheinlich viel wahrscheinlicher. Ihr Unternehmen im Jahr 2021, ein CEO, der von einem Bus überfahren wird, oder, klopf auf Holz, ein Erdbeben, das das gesamte Silicon Valley auslöscht, das, das sind immer noch wichtige Themen.

Aber auch die Sicherstellung, dass Ihr Business-Continuity-Plan die Cybersicherheit umfasst, und die Sicherstellung, dass das Sicherheitsteam einen Platz an diesem Tisch hat, ist heute für jedes Unternehmen absolut unerlässlich.

BB: Und wie laufen diese Gespräche ab, Eric? Wie klingen sie?

EK: Und in einem kleinen bis mittleren Unternehmen können das harte Gespräche sein, ehrlich gesagt, sie sind zeitaufwendig.

Ich denke, sie brauchen Zeit, um sich hinzusetzen und Ihren Kontinuitätsplan zu betrachten. Und ein Business-Continuity-Plan ist nur so gut, wie oft man diese Szenarien durchspielt. Sie müssen testen, richtig?

Und so sehen viele Organisationen nicht unbedingt den Wert darin. Die Auswirkungen auf die Umwelt müssen auch berücksichtigt werden, was sie manchmal vergessen, wenn sie nur an die Technologie denken.

Ich meine, von Texas aus hat sich der Süden der USA in den letzten paar Wochen in einen riesigen Eiszapfen verwandelt, richtig? Es war alles gefrorene Tundra. Und viele Orte werden unvorbereitet damit konfrontiert sein, was sie tun sollen, wenn sie keinen Strom haben. Oder, OK, toll, ich hatte ein Notstromaggregat, das 14 Stunden gehalten hat, und was jetzt? Ich habe Dinge beeinträchtigt, wie das Erhalten von Sendungen zu mir nur von Sachen, die ich in dieser Zeit bestellt habe.

Organisationen denken, dass es ein großer Aufwand ist, sich damit zu beschäftigen, und das ist es auch, aber sie sehen nicht unbedingt immer den Wert darin, diesen Aufwand zu betreiben, und ich denke, das ist ein Fehler.

BB: Verstanden. Wir kommen zur vollen Stunde, und zum Glück haben wir, zum Glück, eine Menge dieser Fragen abgedeckt,

Fehler #13: Fehlende strategische Asset Allocation und Budgetierung

BB: Aber ich möchte, dass Timur die Gelegenheit hat, über das Gleichgewicht zwischen Asset Allocation und Budgetierung und Risiko zu sprechen, und über die richtige Art und Weise, darüber in einem kleinen bis mittleren Unternehmen nachzudenken.

TK: Richtig. Und das ist ein interessantes Thema, denn ich wünschte, ich könnte Ihnen sagen, wie hoch der Dollarbetrag ist, mit dem Sie sich zu 100 Prozent gegen Sicherheitsrisiken absichern können. Und die Wahrheit ist, es gibt keinen solchen Dollar-Betrag.

Und ich denke, das Wichtigste hier ist, dass Sie darüber gesprochen haben, das Cybersecurity-Budget als eine Top-Down-Sache zu betrachten, im Gegensatz zu einer Betrachtung dessen, was tatsächlich den Schutz aus einer Versicherungsperspektive bei dieser Zuweisung rettet.

Aber ich denke, was bei unseren Zuhörern hier wirklich ankommen sollte, ist, dass nicht alle Cybersicherheitsinitiativen teuer sind, und viele von ihnen sind sogar kostenlos.

Und wirklich, was, was der Besitzer eines kleinen bis mittleren Unternehmens wissen muss, ist, wo diese Möglichkeiten liegen, und Sie können, haben Tonnen von Schichten. Sie können eine Organisation haben, die verwaltet und vernetzt, all diese anderen Dinge. Aber Sie können auch einfach Zwei-Faktor-Authentifizierungen aktivieren.

Sie könnten Ihr Netzwerk segmentieren, all diese Dinge tun, die billig oder kostenlos sind, und eine Menge Leute tun es nicht, weil es komplex ist, wenn man die geschäftlichen Probleme betrachtet.

Die Ideen, dass es viel kosten wird, wenn wir anfangen, das zu betrachten, und so weiter, und das ist kein richtiger erster Schritt. Ich denke, Sie sollten sich Ihre Infrastruktur ansehen.

Sie sollten erkennen, wo die Risiken sind. Und Sie sollten herausfinden, was Ihre billigen oder kostenlosen Lösungen sind, um diese Dinge abzumildern, und Sie werden im Vergleich zu vielen Organisationen da draußen einen großen Vorsprung haben, wenn Sie das tun.

Fehler Nr. 14 & 15: Versäumnisse bei der Datensicherung und laxes Patching

BB: Ich denke, das ist ein ausgezeichneter Ort, um aufzuhören. Und die letzten beiden Punkte, das Versäumnis, ein Backup zu erstellen und das Patchen, haben wir unter Grundlagen behandelt. Automatisieren Sie es, tun Sie es, vergessen Sie es nicht.

Also, wenn jemand weitere Fragen hat, wir haben die meisten Fragen in unserer Präsentation abgedeckt. Wenn Sie noch weitere Fragen haben, sind Timur, Eric und Greg bereit, Ressourcen zu sein, und wir sind sehr dankbar dafür.

Hier ist der Weg, um sie zu kontaktieren, bitte, wenden Sie sich auch an mich. Ich bin immer gerne bereit, Sie zu verbinden oder Fragen zu beantworten, die Sie haben.

Und nochmals vielen Dank, dass Sie heute bei uns sind. Ich schätze unser Panel.

Eine Kopie des Webinars wird an die E-Mail-Adressen aller Teilnehmer geschickt, so dass Sie es zusammen mit dem Handout, in dem unsere 15 häufigsten Fehler beschrieben sind, nachlesen können.

Nochmals vielen Dank. Und bitte schauen Sie bei Threatpost vorbei, um unsere weitere Berichterstattung zu verfolgen. Und schalten Sie bitte nächsten Monat für unser monatliches Webinar ein. Ich danke Ihnen allen. Haben Sie einen schönen Tag. Wir hören uns bald wieder.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com