IT-Security: 6 wichtige Trends im Oktober 2020

Im Monat Oktober stehen die Themen „Digital Skills“ und „Cyber Scam“ im Fokus der IT-Security. Denn während Covid-19 der Digitalisierung einen unverhofften Anschub gegeben hat, müssen nun die Sensibilisierung und Kenntnisse der Anwender sowie das Bewusstsein für IT-Sicherheit mit dieser Entwicklung Schritt halten. Nachfolgend sechs wichtige Security-Trends in diesem Oktober.

1. Sensibilisierung und Benutzer-Schulung – immer aktuell

Der heilige Gral in der IT-Security. Hier geht es nicht um die bösartigen Mitarbeiter, die kommen weiter unten, sondern um die Sorglosen. Sie klicken den ganzen Tag auf Katzenbilder. Sie klicken auf seltsame E-Mails. Sie laden sich Bildschirmhintergründe herunter, die als ausführbare Dateien geliefert werden. Die Wurzel allen Übels? Schon irgendwie.

In den vergangenen Wochen haben wir einen Anstieg bei Versuchen von Social Engineering und Phishing bemerkt. Es fängt harmlos an mit einer E-Mail an, die scheinbar von einem Kollegen gesendet wurde, allerdings von einem unbekannten, privaten E-Mail-Konto. Dort steht dann etwas wie „Ich muss dringend das Projekt fertig bekommen, aber mir fehlt ein wichtiges Dokument, kannst du mir das kurz senden?“ Aber sicher doch!

2. IT-Security: Ransomware-Schaden lässt sich einfach vorbeugen

Es passiert schnell, und wenn man es bemerkt, ist es schon zu spät. Die Daten sind weg, die Maschine nicht länger benutzbar. Was macht man jetzt? Format C:\ und das Backup wiederherstellen. Oh, es gibt kein Backup? Tja…

Endgeräte von Benutzern sind leichte Beute für solche Attacken. Um das Desaster zu vermeiden, sollten die Home- und Benutzer-Ordner der Mitarbeiter entweder auf einem entfernten Server gesichert oder permanent mit SaaS-Anwendungen synchronisiert werden. Entscheidend ist hierbei aber auch, den Mitarbeitern zu verdeutlichen, dass Dateien außerhalb dieser Ordner nicht gesichert sind.

3.Die Gefahr vom Staubsauger-Roboter im Homeoffice

Seit März arbeiten viele von uns von zuhause aus. Aus dem Blickwinkel der Unternehmenssicherheit ist das eine gewaltige Herausforderung, die mit vielen Variablen einhergeht. Sicherlich hat die IT nach wie vor die Kontrolle über das Endgerät, aber nicht über die Umgebung, in der es sich befindet. Von unsicheren Wi-Fi-Verbindungen, bis zu IOT-Geräten, die wir nutzen – ohne tiefergehende Untersuchungen kann niemand wissen, ob und welche Daten ein solches Gerät vom lokalen Netz mitschneidet und wohin sie gesendet werden. Hilfe ist hier nicht ganz trivial, aber eine Kombination aus erzwungener VPN-Benutzung sowie Multifaktor-Authentifizierung beim Zugriff auf kritische Anwendungen sollte als erforderlich gelten.

4. IT-Security – kostenlose Tools und Dienste

Obwohl die Thematik nicht neu ist, sind wir uns meistens der Bedrohung nicht bewusst. Es gibt viele kostenlose Tools und Dienste im Internet, die großartig und nützlich klingen. Eine automatisierte Übersetzung von ganzen Texten in irgendeine Sprache? Ein Werkzeug, um mehrere PDF-Dateien zu verbinden? Ein Tool, um Flowcharts zu erstellen oder Geschäftsprozesse zu visualisieren? Sowas nutzen wir doch alle, oder?

Wir können nicht mit Sicherheit sagen, was mit den ganzen Daten passiert, die wir dort vollkommen freiwillig eintragen. Daher braucht eine Organisation eine mehrschichtige Strategie, um Risiken zu vermeiden, angefangen von einer strikten Richtlinie, dem Blockieren des Zugriffs, aber am besten dadurch, ähnliche Dienste sicher bereitzustellen. PDF-Editoren und Werkzeuge zum Erstellen von Flussdiagrammen kosten nicht mehr die Welt.

5. Eingefrorene oder gekürzte IT-Budgets erschweren IT-Sicherheit

Bis Ende 2019 zählten die IT-Budgets nicht gerade zu den üppigsten in einer Organisation, aber IT-Manager haben gelernt, mit dem zur Verfügung stehenden Geld auszukommen. Größer war das Problem, passende Mitarbeiter zu finden und zu halten.

Jetzt, im letzten Quartal von 2020, kann man sagen, dass sich die Situation weiter verschärft hat. Vielleicht ist es aktuell einfacher, gut ausgebildete Technikexperten zu finden, nachdem leider manche ihren Job verloren haben, vermutlich ist jedoch kein Geld vorhanden, um sie einzustellen. Also ist die Personaldecke noch genauso, wenn nicht sogar dünner als zuvor. Was nun?

Die einfache Antwort ist, auf Technologie zurückzugreifen, aber ein Großteil der Technologie kostet Geld. In vielen Fällen kann Freeware oder Open Source eine Alternative sein. Aber manchmal ist es einfach eine gute Idee, sich nun endlich mit der Automation von Routine-Aufgaben zu befassen. Am besten heute schon damit anfangen.

6. IT-Security: Bösartige Mitarbeiter als innere Bedrohung

Frustration als Resultat von sechs Monaten „Isolation“, die Unwahrscheinlichkeit von Bonuszahlungen oder Gehaltserhöhungen aus offensichtlichen Gründen – all das kann Mitarbeiter verärgern, und diese stellen das höchste Risiko für jedes Unternehmen dar. Ein Mitarbeiter gilt solange als vertrauenswürdig, bis etwas geschieht. Dann gibt es keine Warnung, und es ist nahezu unmöglich einen Vorfall zu stoppen, sobald er gestartet ist. Die Weitergabe von vertraulichen Informationen, Zerstörung von Daten, Zerstörung von Firmeneigentum, und andere kreative Ideen.

Trotzdem müssen Anstrengungen unternommen werden, um diese Fälle und deren Auswirkungen einzudämmen. Hier helfen Systeme wie Dataloss-Prevention, und natürlich ein funktionsfähiges Konzept des Prinzips der geringsten Privilegien. Daher immer ein Auge auf die Berechtigungen haben. Und was machen wir jetzt an Halloween? Vielleicht als Ransomware verkleiden? Schwierig, weil niemand wirklich weiß, wie eine aussieht. Als Virus verkleiden? Lieber nicht in diesem Jahr. Aber vielleicht als Log? Doch das versteht vermutlich niemand. Guter alter „UDP (User Data Protokoll)-Witz“. (sg)

Lesen Sie auch: Cyberattacken: In der Covid-19-Pandemie Anstieg um 154 Prozent

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds, einem Anbieter von leistungsstarker IT-Infrastruktur-Management-Software. Er verfügt über mehr als zehn Jahre technische IT-Erfahrung, davon vier Jahre als leitender Pre-Sales-Ingenieur bei SolarWinds.