Damit dein Unternehmen dauerhaft erfolgreich sein kann, ist es für deine IT-Abteilung unerlässlich, sich kontinuierlich mit dem Thema IT-Sicherheit auseinanderzusetzen. Ansonsten ist die Gefahr für dein Geschäft groß – der Bitkom summiert circa 203 Milliarden Euro Schaden pro Jahr durch Cyberangriffe, alleine bei deutschen Unternehmen.
Um eine bessere IT-Sicherheit zu gewährleisten, muss dein Unternehmen erst einmal investieren – Zeit, Ressourcen und Geld. Dabei geht es nicht nur darum, bestehende Bedrohungen etwa mit einem Security Audit zu erkennen und etwaige Sicherheitslücken zu schließen, sondern auch kontinuierlich Wissen aufzubauen und das Thema in den Köpfen der Mitarbeiter*innen zu verankern. Bitkom-Hauptvorstand Udo Littke erklärt in einem Artikel: „IT-Sicherheit muss Thema des Top-Managements sein und mit entsprechenden personellen und finanziellen Ressourcen ausgestattet werden.“ Ansonsten bedrohen Cyberattacken die Existenz von Unternehmen – unabhängig von der Branche.
Ein guter erster Schritt, um die IT-Sicherheit im Unternehmen nachhaltig zu verbessern, ist der Aufbau von Wissen rund um verschiedene Angriffsmöglichkeiten und ihre Verbreitung. Studien wie der jährlich erscheinende Data Breach Investigations Report von Verizon, der Bericht „Die Lage der IT-Sicherheit in Deutschland“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die vielen Berichte diverser Anbieter für Security-Werkzeuge bieten einen Einblick in die wichtigsten IT-Sicherheitsthemen. Gerade für Einsteiger*innen in die Thematik wirkt die Fülle an Informationen aber oft erschlagend und es fällt schwer, eine Entscheidung zu fällen, mit welchem Thema man sich als Erstes beschäftigen sollte, um die größten Verbesserungen zu erzielen.
Deshalb haben wir im Folgenden eine kompakte Liste der 5 größten Risiken für deine IT-Sicherheit zusammengestellt, mit denen du dich unbedingt beschäftigen solltest. Wir erklären dir außerdem nicht nur die Vorgehensweise von Angreifer*innen, sondern geben dir gleich konkrete Handlungsempfehlungen mit, damit du weißt, wie du dich vor ihnen schützen kannst.
Risiko 1 – Phishing und Social Engineering
Phishing ist eine betrügerische Methode, bei der Cyberkriminelle versuchen, vertrauliche Informationen von Nutzer*innen zu stehlen, indem sie sich als vertrauenswürdige Quelle (z. B. via E-Mail) ausgeben. Ziel ist, die Nutzer*innen zu einer Handlung – häufig ein Klick auf einen Link – aufzufordern, und so ihre Daten abzugreifen.
Vermutlich jeder von uns hat im Leben bereits eine Phishing-Mail erhalten. Ähnlich verbreitet wie die Methode ist leider aber auch ihr Erfolg. In rund 74 % aller Sicherheitsvorfälle des Data Breach Investigations Report spielte das menschliche Element eine zentrale Rolle beim Erfolg des Angriffs. Sogenannte Social-Engineering-Angriffe nutzen dabei das menschliche Verhalten aus, um sich unbefugt Zugang zu Systemen zu schaffen. Das BSI fasst die Angriffsmethode zusammen: „Phishing ist eine der bekanntesten Formen des Social Engineering; es bedeutet wörtlich übersetzt das Fischen nach Passwörtern. Die Idee ist, die Opfer in einer sehr realistischen E-Mail dazu zu bringen, auf einen Link zu klicken und dann Passwörter oder andere Anmeldedaten auf einer gefälschten Website einzugeben, sodass die Angreifer diese Daten dann sammeln können.“
Eine typische Phishing-Mail von „Netflix“
Die verdächtige Absenderadresse
Häufig handelt es sich, wie in den Abbildungen zu sehen, um vermeintlich vertrauenswürdige Adressen, die Empfänger*innen zum Schutz eines persönlichen Kontos auffordern. Erst ein genauerer Blick offenbart die unglaubwürdige Absenderadresse. Die möglichen Angriffsvektoren werden dabei zunehmend ausgeklügelter: Phishing-Angriffe wie das sogenannte Conversation Hijacking schaffen es, sich in bestehende E-Mail-Konversationen einzuklinken und auf existierende Gespräche zu verweisen – was es für Empfänger*innen unglaublich schwer macht, die E-Mail als Phishing-Angriff zu identifizieren.
Schutzmaßnahmen gegen Phishing-Angriffe
Der Schutz deines Unternehmens vor Phishing-Angriffen erfordert eine Kombination aus technischen Maßnahmen, Schulungen und bewusstem Verhalten der Mitarbeiter*innen. Wir empfehlen dir folgende Maßnahmen, um den Umgang mit IT-Security-Themen allgemein und Phishing im Besonderen zu trainieren:
Tipp 1 – Sicherheitsschulungen: Organisiere regelmäßige Schulungen, um Mitarbeiter*innen über Phishing-Angriffe und ihre Merkmale aufzuklären. Dabei gilt es, sie mit der Sichtweise der Angreifer*innen vertraut zu machen und so zu verstehen, worauf beim Umgang mit E-Mails oder anderen Kommunikationsmitteln zu achten ist.
Tipp 2 – Simulierte Phishing-Tests: Expert*innen sollten regelmäßig simulierte Phishing-Tests durchführen, um das Verhalten von Mitarbeiter*innen zu überprüfen. Das kann dabei helfen, Schwachstellen zu identifizieren, an denen die Mitarbeiter*innen dann gezielt arbeiten können.
Tipp 3 – E-Mail-Filter und Anti-Phishing-Tools: Implementiere fortschrittliche E-Mail-Filter und Anti-Phishing-Tools, um verdächtige E-Mails abzufangen, bevor sie die Posteingänge von Mitarbeiter*innen erreichen.
Tipp 4 – Überprüfen von URLs und Absenderadressen: Schule Mitarbeiter*innen darin, Links und Absenderadressen in E-Mails genau zu überprüfen, bevor sie darauf klicken oder antworten.
Tipp 5 – Verdächtige E-Mails melden: Ermutige Mitarbeiter*innen, verdächtige E-Mails sofort an die IT-Abteilung zu melden, anstatt darauf zu antworten oder Links zu öffnen.
Risiko 2 – Ransomware: Was ist das und was kann ich dagegen tun?
Während Phishing eine beliebte Methode von Angreifer*innen ist, um Passwörter zu stehlen oder Schadsoftware zu verbreiten, stellt Ransomware oft das Resultat eines erfolgreichen Phishing-Angriffes dar. Das englische Wort „Ransom“ heißt „Lösegeld“, die in Deutschland verbreitete Übersetzung ist Erpressungstrojaner bzw. -software. Eine Ransomware-Attacke hat das Ziel, Daten oder ganze Systeme von Nutzer*innen zu verschlüsseln und dann ein Lösegeld einzufordern, um die Daten wieder freizugeben. Dabei erfolgt die Zahlung häufig in Kryptowährungen, die eine Nachverfolgbarkeit aufgrund der anonymen Zahlungsweise deutlich erschweren.
Der wohl bekannteste Ransomware-Vorfall dürfte der Angriff mit der Software WannaCry im Jahr 2017 gewesen sein. Dabei gelang es den Angreifer*innen, innerhalb weniger Tage Daten von mehr als 200.000 Windows-Rechnern zu verschlüsseln. Angriffsvektor war dabei ein fehlender Patch der Windows-Systeme, der die Sicherheitslücke MS17-010 umfasste und eine Remote Code Execution zuließ. Insgesamt hat WannaCry weltweit wohl mehr als 4 Milliarden Euro Schaden angerichtet.
Ein typischer Sperrbildschirm von WannaCry (Quelle: Wikimedia)
Schutzmaßnahmen gegen Ransomware
Damit dein Unternehmen sich vor Ransomware-Angriffen schützen kann beziehungsweise im Falle eines erfolgten Angriffes die richtigen Maßnahmen ableiten kann, empfehlen wir dir eine Reihe an Maßnahmen zu treffen. Wie so häufig profitierst du am meisten davon, deine Mitarbeiter*innen regelmäßig zu schulen und deine IT auf dem neusten Stand zu halten:
Tipp 1 – Datensicherung und Backups: Damit du bei einem Ransomware-Angriff den Verlust von Daten minimieren kannst, sollte dein Unternehmen eine Backup-Strategie umsetzen. Wir empfehlen, die Backups regelmäßig zu überprüfen und sicherzustellen, dass sie bei einem Angriff nicht ebenfalls betroffen sind.
Tipp 2 – Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter*innen: Ransomware findet häufig über Social-Engineering-Angriffe den Weg auf deine Systeme. Schule deine Mitarbeiter*innen regelmäßig und sensibilisiere sie für den Umgang mit verdächtigen E-Mails oder Links.
Tipp 3 – Aktualisierte Software und Systeme: Veraltete Software und Systeme sind anfälliger für Sicherheitslücken, die Ransomware ausnutzen kann. Dein Unternehmen sollte sicherstellen, entsprechende Update-Richtlinien für alle Betriebssysteme und Anwendungen aufzubauen und einzuhalten.
Tipp 4 – Verhaltensregeln im Ernstfall: Deine Mitarbeiter*innen sollten wissen, wie sie sich im Falle eines erfolgreichen Angriffes zu verhalten haben, um weiteren Schaden zu minimieren. Ein entsprechendes Regelwerk zum Vorgehen ist nützlich, es sollte aber auch durch wiederkehrende Schulungen von deinen Mitarbeiter*innen verinnerlicht werden, damit sie schnell und sicher reagieren können. Außerdem solltest du zuständige Ansprechpartner*innen benennen, die entsprechend unterstützen können.
Tipp 5 – Einschränkung von Berechtigungen: Indem du Mitarbeiter*innen nur die Berechtigungen zugestehst, die sie für ihre Aufgaben benötigen, reduziert du das Risiko, dass Ransomware sich innerhalb deines Netzwerks ausbreiten kann. Administratorzugriffe sollten zum Beispiel besonders geschützt und nur autorisierten Personen gewährt werden. Allerdings gilt immer zu beachten, deinen Mitarbeiter*innen nicht unnötig Steine in den Weg zu legen.
Risiko 3 – ChatGPT, Large Language Models und Co.
Kaum ein Thema steht aktuell für Unternehmen so sehr im Fokus wie der Einsatz von Large Language Models (LLMs) wie ChatGPT und Co. Der Hype darum kennt keine Grenzen, kein Unternehmen möchte die „KI-Revolution“ verschlafen – wilder Aktionismus und unzureichende Absicherungen sind die Folgen. Die Nachrichtenseite Golem berichtete unter anderem davon, dass Samsung-Mitarbeiter*innen vertrauliche Daten bei ChatGPT eingegeben haben und etliche Datenschutzbehörden beschäftigen sich mit dem Thema. Andere Unternehmen wie Bosch haben ihre eigenen GPT-Varianten angekündigt. Und selbstverständlich gibt es auch schon die ersten Chatbots wie FraudGPT, Darkbart und Darkbert, die speziell zum Erstellen schädlicher Inhalte gedacht sind.
Aus Security-Sicht sehen wir vorrangig drei Themenfelder, mit denen sich dein Unternehmen im Kontext von Large Language Models beschäftigen muss:
Legal und Compliance: Wir empfehlen stark, Rechtsexpert*innen hinzuziehen, die beurteilen können, welche Einsatzmöglichkeiten in deinem Unternehmen rechtssicher umzusetzen sind. Dabei solltest du nicht nur die Nutzbarkeit der einzelnen Modelle bewerten, sondern auch Themen der DSGVO-Konformität, Urheberrecht und ggf. Auswirkungen des Einsatzes auf Verträge mit Dritten beachten.
LLMs zum Erstellen böswilliger Inhalte: Genau wie LLMs die Produktivität bei alltäglichen Aufgaben steigern, können speziell dafür konzipierte Bots auch Angreifer*innen beschleunigen. Auch wird es dadurch wahrscheinlich einfacher, ausgereiftere Angriffe durchzuführen, um etwa Social-Engineering-Attacken zu verbessern.
Angriffsvektoren bei LLMs: Large Language Models können Opfer von Angreifer*innen werden, die die Modelle manipulieren können.
Angriffe auf Large Language Models
Zwar gibt es noch keine tiefgehende Forschung zu möglichen Angriffsvektoren von LLM-Applikationen, dennoch gibt es erste Beiträge aus der Security-Szene, mit denen sich dein Unternehmen beschäftigen sollte. Beispielsweise existiert eine Studie zum Thema Prompt Injection bei LLMs. Ebenso aufschlussreich ist die vom Open Worldwide Application Security Project (OWASP) herausgegebene Top-10-Liste der Sicherheitsrisiken für LLMs. OWASP sieht folgende Punkte, mit denen du dich beim Einsatz von LLM-Applikationen unbedingt auseinandersetzen solltest, um Gefahren abzuwenden:
Prompt Injection: Die Manipulation einer Applikation durch bestimmte Eingaben.
Insecure Output Handling: Das Verwenden von LLM-Outputs ohne Sicherheitsvorkehrungen, was ggf. zum Offenlegen von Backend-Systemen führen kann.
Training Data Poisoning: Das Beeinflussen von Trainingsdaten, was zu einem Generieren von fehlerhaften oder ethisch fragwürdigen Ausgaben führt.
Model Denial of Service: Ein Angriff mit ressourcenfressenden Anfragen an die Applikation, die den Service vollständig lahmlegt und zu hohen Kosten führen kann.
Supply Chain Vulnerabilities: Viele Applikationen nutzen eine Reihe an Open-Source-Modellen – Sicherheitslücken in den verwendeten Modulen können Auswirkungen auf die Applikation als Ganzes haben.
Sensitive Information Disclosure: Wenn ein LLM zum Beispiel mit Unternehmensdaten trainiert ist, können geschickte Prompts dazu führen, dass die Applikation sensible Daten ausgibt, die Angreifer*innen abgreifen können.
Insecure Plugin Design: Speziell für LLMs entwickelte Plugins haben mitunter mangelnde Sicherheitsvorkehrungen, die sie leicht angreifbar machen.
Excessive Agency: Wenn Sprachmodelle zu weitreichende Berechtigungen haben, können sie mitunter ungewünschte Aktionen durchführen.
Overreliance: Wenn Unternehmen die von LLMs generierten Inhalte nicht hinterfragen und exzessiv ohne Kontrollmechanismen nutzen, entstehen leicht Falschinformationen oder Sicherheitslücken.
Model Theft: Eigens erstellte Modelle können von Dritten gestohlen werden, was zu einem wirtschaftlichen Schaden und dem Abgreifen sensibler Daten führen kann.
Risiko 4 – Physische Sicherheit oft unterschätzt
Ein häufig vernachlässigter Aspekt der IT-Sicherheit ist die physische Sicherheit. Sie umfasst den Schutz deiner IT vor physischen Gefahren – egal ob Software, Hardware oder auch deiner Mitarbeiter*innen. Mögliche Gefahren reichen dabei zum Beispiel von Personen, die sich etwa Zugriff zu einem Gebäude verschaffen, bis hin zu Bränden, Luftbelastungen oder elektromagnetischen Einwirkungen auf Elektronik. Das BSI fasst die Thematik im IT-Grundschutz unter der Kategorie „Infrastruktur“ zusammen, die folgende Elemente umfasst:
Allgemeines Gebäude
Rechenzentrum sowie Serverraum
Raum sowie Schrank für technische Infrastruktur
Datenträgerarchiv
Büroarbeitsplatz
Häuslicher Arbeitsplatz
Mobiler Arbeitsplatz
Besprechungs-, Veranstaltungs- und Schulungsraum
Allgemeines Fahrzeug
Verkabelung
Technisches Gebäudemanagement
Gebäudeautomation
Tipps zum Erhöhen der physischen Sicherheit
Je nachdem, wie dein Unternehmen aufgestellt ist, ergeben sich unterschiedliche Schwerpunkte, die du bei der physischen Sicherheit beachten musst. Verfügt deine IT über einen eigenen Serverraum, musst du natürlich andere Vorkehrungen treffen, als wenn sich alles in der Cloud eines Drittanbieters abspielt. Auch hybride oder Remote-Arbeitsmodelle bergen andere Gefahrenstellen, genauso wie verschiedene Unternehmensstandorte oder ein einziges Büro. In jedem Fall ist es wichtig, sich mit dem Thema physische Sicherheit zu beschäftigen und Vorkehrungen zu treffen, um dein Unternehmen abzusichern.
Tipp 1 – Mit Vorgaben und Normungen auseinandersetzen: Es existieren sowohl DIN- als auch EN-Normen für physische Sicherheit, etwa die IT-Brand-Norm. Finde heraus, welche für dein Unternehmen relevant sind und setze sie entsprechend um.
Tipp 2 – Zutrittskontrolle umsetzen: Es ist wichtig, Maßnahmen zur Zutrittskontrolle deines Gebäudes umzusetzen, die den Zutritt von unbefugten Personen verhindern.
Tipp 3 – Serverraum bereitstellen und warten: Wenn du über deinen eigenen Server verfügst, ist ein entsprechender Raum unabdingbar. Dieser sollte stets verschlossen sein, über einen eigenen Stromkreis verfügen und entsprechend vor Bränden, Wasserschäden und Staubbelastung geschützt sein.
Tipp 4 – Umgang mit Informationen und sensiblen Daten: Passwörter auf Zetteln in der Küche, Kundendaten auf Whiteboards: Häufig sind Mitarbeiter*innen nicht darin geschult, keine sensiblen Informationen in den Büroräumen zu hinterlassen. Wir empfehlen entsprechende Schulungen, die die Achtsamkeit erhöhen.
Tipp 5 – Erstellen eines Notfallplans: Für den Fall einer Naturkatastrophe oder Bränden sollte dein Unternehmen über einen entsprechenden Plan von Maßnahmen verfügen, die ergriffen werden können.
Risiko 5 - Unzureichende Netzwerksegmentierung
Netzwerksegmentierung ist ein wesentlicher Bestandteil moderner IT-Sicherheitsstrategien. Sie dient dazu, komplexe Netzwerke in kleinere, isolierte Einheiten (Segmente) aufzuteilen. Dadurch profitierst du von einer präzisen Kontrolle über Datenverkehr und Zugriffsrechte, was die Sicherheit des gesamten Netzwerks erheblich erhöht.
Dabei ist es nicht mit der häufig vorgefundenen Trennung zwischen Mitarbeiter*innen- und Gäste-WLAN getan, sondern umfasst auch die verschiedenen Abteilungen und Geräte des Unternehmens. Eine unzureichende Segmentierung ermöglicht es potenziellen Angreifer*innen, sich innerhalb des gesamten Netzwerks zu bewegen. Das kann sowohl den verursachten Schaden deutlich vergrößern als auch die Entdeckung des Angriffs erschweren.
Die Grundidee hinter der Netzwerksegmentierung besteht darin, den Datenverkehr innerhalb eines Segments zu beschränken, sodass nur autorisierte Benutzer*innen und Systeme darauf zugreifen können. Das wird normalerweise durch die Konfiguration von Firewalls, Zugriffssteuerungslisten (ACLs) und anderen Sicherheitsrichtlinien erreicht. Datenpakete, die zwischen den Segmenten übertragen werden, müssen diese Sicherheitsmechanismen passieren und werden auf potenziell schädlichen Inhalt oder verdächtige Aktivitäten überprüft.
Die eigentliche Segmentierung wird durch das Schaffen logischer oder physischer Barrieren zwischen verschiedenen Teilen eines Netzwerks erreicht. Diese Barrieren können auf verschiedenen Ebenen implementiert werden, von der physischen Trennung über Router und Firewalls bis hin zur virtualisierten Netzwerksegmentierung auf der Ebene von Software-defined Networks (SDN).
Eine beispielhafte Netzwerksegmentierung
Das musst du bei einer Netzwerksegmentierung beachten
Die genaue Vorgehensweise bei einer Netzwerksegmentierung hängt von den Gegebenheiten in deinem Unternehmen ab. Grundsätzlich gibt es jedoch einige Aspekte, mit denen du dich unbedingt beschäftigen solltest:
Tipp 1 – Trennung von Server und Client: Client- und Server-Systeme sollten voneinander getrennt sein. Das BSI hält im IT-Grundschutz die Vorgehensweise wie folgt fest: „Clients und Server MÜSSEN in unterschiedlichen Sicherheitssegmenten platziert werden. Die Kommunikation zwischen diesen Segmenten MUSS mindestens durch einen zustandsbehafteten Paketfilter (Firewall) kontrolliert werden.“
Tipp 2 – Sinnhaftigkeit der Segmentierung: Die gewählte Segmentierung sollte so gewählt sein, dass sie zu den Rahmenbedingungen deines Arbeitsmodells passt. Mitunter sind einzelne Segmente für bestimmte Teams und Unternehmensbereiche sinnvoll, mitunter ergeben sich aber auch physische Abhängigkeiten (z. B. Segmentierung auf Stockwerk-Ebene o. ä.)
Tipp 3 – Gemeinsam genutzte Ressourcen: Geräte wie Drucker oder Scanner, auf die mitunter verschiedene Bereiche des Unternehmens zugreifen müssen, sollten ebenfalls in einen eigenen Bereich segmentiert sein.
Tipp 4 – Umgang mit sensiblen Daten: Wenn dein Unternehmen beziehungsweise einzelne Abteilungen mit sensiblen Daten umgehen müssen, sind weitreichende Schutzmaßnahmen mitunter sinnvoll. Ebenso gilt es zu überprüfen, welche einzelnen Segmente eine Zugriffsberechtigung auf die Daten benötigen und wie sich diese sicher umsetzen lässt.
Tipp 5 – Überprüfung der Segmentierung: Da sich dein Unternehmen im Laufe der Zeit verändert (Personalzuwachs oder -abgang, neue Abteilungen oder Tochterunternehmen), solltest du in regelmäßigen Abständen deine vorhandene Segmentierung überprüfen und gegebenenfalls an die neuen Gegebenheiten anpassen.
Wenn du wissen willst, wie es um die IT-Security in deinem Unternehmen steht, kannst du dir mit unserem kostenlosen IT-Sicherheitscheck innerhalb weniger Minuten einen Überblick verschaffen.
Weitere Beiträge
von Björn Bohn
Dein Job bei codecentric?
Jobs
Agile Developer und Consultant (w/d/m)
Alle Standorte
Weitere Artikel in diesem Themenbereich
Entdecke spannende weiterführende Themen und lass dich von der codecentric Welt inspirieren.
Gemeinsam bessere Projekte umsetzen.
Wir helfen deinem Unternehmen.
Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.
Hilf uns, noch besser zu werden.
Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.
Blog-Autor*in
Björn Bohn
Cloud Transformation Consultant
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.