Handeln ist gefragt: Wie Unternehmen ihre Abwehr an aktuelle Bedrohungsszenarien anpassen können (Teil 2)
Phishing, veraltete Browser, Fileless Malware sowie ungesicherte IoT-Geräte öffnen Hackern derzeit viele Türen in Unternehmensnetzwerke. Wie Organisationen solchen Gefahren idealerweise begegnen sollten, haben wir im ersten Teil unseres Beitrags mit Handlungsempfehlungen – die sich konkret an den Ergebnissen des WatchGuard Internet Security Reports orientieren – bereits beleuchtet. Darüber hinaus stehen derzeit noch weitere Bedrohungsszenarien hoch im Kurs. Hier folgt daher die Fortsetzung unserer Tipps für Unternehmen.
Ransomware-Bedrohung nicht unterschätzen: Kein Unternehmen – auch nicht das kleinste – ist vor Ransomware gefeit. Jede Organisation verfügt über wertvolle Informationen und Ressourcen, die für das Tagesgeschäft essenziell sind. Diese gilt es besonders zu schützen, um „Lösegeldforderungen“ die Grundlage zu entziehen. Ein verlässlicher, mehrschichtiger Anti-Malware-Ansatz und stichhaltige Backup-Strategien sind von entscheidender Bedeutung. Backups sollten zudem nicht nur einmalig vorgehalten werden, sondern idealerweise online und offline erfolgen – inklusive gesonderter Absicherung.
Einsatz fortschrittlicher Endpoint-Security-Funktionalität forcieren: Unternehmen sollten darauf achten, dass alle Aktivitäten am Endpunkt entlang der Zero-Trust-Idee auf verdächtige Vorgänge überprüft werden. Die aktuell verzeichnete Zunahme von dateiloser Malware und Supply-Chain-Angriffen unterstreicht, dass bei beim Scan des Datenverkehrs nur eine hundertprozentige Abdeckung zielführend ist. Es gilt vor allem, Zusammenhänge im Rahmen mehrstufiger Angriffsmuster zu erkennen und einer Kompromittierung an unterschiedlichster Front Einhalt zu gebieten.
Berechtigungen im Blick behalten: Im Hinblick auf Berechtigungskonzepte gilt: weniger ist mehr. Um den Schaden im Falle eines Cyberangriffs so gering wie möglich zu halten, sollten die Freigaben des informationstechnischen Zusammenspiels auf das Minimum, das für reibungslose Prozesse erforderlich ist, begrenzt werden. Viele der großen Sicherheitsvorfälle der jüngsten Zeit lassen sich darauf zurückführen, dass es den Angreifern gelang, sich umfangreiche Zugriffsberechtigungen zu sichern. Entsprechend sollte an dieser Stelle gezielt gegengesteuert werden.
Neuimplementierungen abschirmen: Auch bei der Bereitstellung neuer Infrastruktur-Komponenten ist darauf zu achten, welchen Anwendern ab wann und in welchem Umfang die Nutzung gewährt wird. Anwendungen ohne verlässlichen Schutz sollten keinesfalls öffentlich verfügbar sein. Eine VPN-Anbindung oder der Einsatz eines clientlosen Zugangsportals inklusive Multifaktor-Authentifizierung schaffen in dem Zusammenhang eine wichtige, zusätzliche Sicherheitsebene.
Supply-Chain-Partner auf Herz und Nieren prüfen: Wie die Solarwinds-Affäre unterstreicht, sollten auch die Komponenten von Lieferanten oder Dienstleistern innerhalb der eigenen Lieferkette im Auge behalten werden. Denn wenn die Unternehmen, mit denen man selbst zusammenarbeitet, Opfer eines Angriffs werden, rückt die Bedrohung in greifbare Nähe. Hier liegt in fortschrittlicher „Endpoint Detection und Response“ (EDR)-Funktionalität und Zero-Trust-Konzepten ebenfalls ein wichtiger Schlüssel. Denn dadurch lässt sich schädlicher Code abfangen, selbst wenn als Transportweg für diesen die „vertrauenswürdige“ Software eines Partners missbraucht wird. Es gilt, die Berechtigungen von Cloud-Anwendungen oder lokalen Komponenten von Drittanbietern zu beschränken. Und auch bei der Konfiguration der Zugangsmöglichkeiten zu diesen Diensten aus den eigenen Reihen ist Vorsicht besser als Nachsicht. Nur wenn der Zugriff auf beiden Seiten nur so viel Freiheiten gewährt, wie für die tägliche Arbeit tatsächlich nötig ist, lässt sich das Risiko von Supply-Chain-Angriffen auf ein Minimum reduzieren.