Mangelnde Awareness bezüglich Malware, Betrug oder Social Engineering, im Internet erreichbare Systeme mit fehlenden Sicherheitsupdates oder unsicherer Konfiguration und Identitätsdiebstahl aufgrund unsicherer Passwörter und/oder keiner Mehrfaktor-Authentifizierung: Das sind für David-Alexander Krois-Brandtner, CISO bei A1 Digital International, die häufigsten Cyberbedrohungen. Ergänzt wird dieses Bedrohungsszenario um zielgerichtete Angriffe, wie z.B. Denial of Service oder professionelle Hackerangriffe, bei denen Zero-Day-Exploits ausgenutzt werden. Als CISO ist er sich der Dimension von Cyberattacken bewusst und handelt auch entsprechend. Gleichzeitig ist „sein“ Unternehmen A1 Digital Teil der Lösung: „IT-Sicherheit ist für uns natürlich ein Element unserer DNA.
Wir haben das Wissen...
...und die Fähigkeiten, um neue Bedrohungen zu erkennen und zu adressieren. Daraus können wir intelligente und nachhaltige Lösungen entwickeln, um unsere Kunden bestmöglich und langfristig zu schützen.“ So betreibt A1 Digital seit über drei Jahren ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS), das alle Geschäftsbereiche umfasst. Dieser Zugang ist umso wichtiger, weil Bedrohungen tendenziell zunehmen. Durch die steigende Verbreitung von Technologien wie IoT und Cloud-Applikationen entstehen – oft sehr kurzfristig – neue Angriffsvektoren. „Organisationen, die nicht über spezialisiertes Wissen oder einen kompetenten Security-Partner verfügen, können bei der Adaption neuer Technologien Hintertüren für Angreifer öffnen oder interne Daten verlieren“, warnt der Experte.
Zudem würden verstärkt Angriffe oder Malware-Infektionen durch Partner- und Zulieferunternehmen in große Organisationen gebracht: „Kleinere Partner sind leichter angreifbar, da sie zumeist weniger Zeit und Budget in Security investieren können als große Konzerne.“ Sein Tipp sind beispielsweise organisatorische und technische Maßnahmen – etwa unternehmensweite Prozesse, die alle neuen Produkte, Partner und Services einem Security- und Datenschutz-Assessment unterziehen, um Risiken zeitnah erkennen zu können. So können mit zentralem Log-Management Vorfälle in Nahe-Echtzeit erkannt werden; ergänzt wird durch eine starke 2-Faktor-Authentifizierung für webbasierte Services.
Faktor Mensch bleibt entscheidend
Allerdings zeigen beispielsweise die Erfahrungen im Bereich Social Engineering deutlich, dass der Mensch immer noch das mit Abstand am leichtesten zu überwindende Einfallstor in eine Organisation ist. Krois-Brandtner: „Weil sich die meisten Menschen nicht regelmäßig mit Security beschäftigen, ist es extrem wichtig, die Security-Awareness durch regelmäßige Kampagnen, Trainings und Tests konstant zu stärken.“ So können etwa auch Unternehmen mit State-of-the-Art E-Mail-Filtern schnell Opfer eines Angriffs werden, wenn etwa ein Phishing über SMS/Messenger angebahnt wird (Smishing) oder eine Malware über einen USB-Stick in das Netzwerk gelangt (USB Drop). Bei der Stärkung der Awareness ist ein Mix aus verschiedenen Methoden und Techniken gefragt – z.B. E-Learning, Newsletter, Arbeitsgruppen und Vorträge. „Die Wirksamkeit der Maßnahmen kann man dann mittels Phishing-Mails testen“, rät Krois-Brandtner.
