Sechs gängige Fehlannahmen zur Cybersecurity in Versicherungsunternehmen

Quelle: mohamed_hassan / pixabay

Wenn Versicherer ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Michael Niewöhner und Daniel Querzola, beide Manager und Penetration-Tester bei Ventum Consulting, klären im Gastbeitrag über die sechs der häufigsten Irrtümer auf.

Annahme 1: Es trifft sowieso nur die anderen.

„Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.“ Diese Einschätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die überhaupt nicht zielgerichtet waren. Anders gesagt: Die allermeisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Den Angreifern spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner bzw. Ransomware erpressen wollen. Hier ist der Spray-and-Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer.

Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der Manpower, denn bei einer ideologisch begründeten Attacke spielen monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day-Angriffe zum Einsatz, die noch nicht öffentlich bekannte Sicherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielen Angreifer gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich verbrannt, weil Softwarehersteller dann entsprechende Sicherheitsupdates ausrollen.

Annahme 2: Unsere Mitarbeiter haben schon genügend Sicherheitsbewusstsein.

Noch viel zu oft stellt ein unbedachtes Verhalten der Mitarbeiter für Cyberkriminelle ein bequemes Einfallstor ins Unternehmen dar. Ein entsprechendes Risikobewusstsein bei Mitarbeitern zu schaffen und wachzuhalten, ist ein Baustein für Cybersicherheit, dessen Bedeutung ein Unternehmen nie unterschätzen sollte. Nur wenn ihnen die Gefahr bewusst ist, werden Mitarbeiter es konsequent vermeiden, beispielsweise Passwörter über das Telefon weiterzugeben oder unbedacht auf einen dubiosen Link in einer EMail zu klicken. Manchmal ist das Gefahrenpotenzial auch eine unmittelbare Konsequenz der täglichen Arbeit. Mitarbeiter in der Personalabteilung etwa öffnen beinahe täglich Bewerbungen, ohne wissen zu können, ob der digitale Lebenslauf Schadcode enthält oder nicht. Mit Rechnungs-PDFs im Maileingang der Buchhaltung verhält es sich genauso. Darum braucht es im Unternehmen natürlich technische Maßnahmen gegen solche Angriffe.

Aber ebenso wichtig ist es, die Wahrscheinlichkeit erfolgreicher Phishing-Versuche zu verringern, indem ein Bewusstsein für die Gefahren von Social-Engineering-Angriffen ganz allgemein geschaffen wird. Social Engineering bedeutet, dass Angreifer Täuschung anwenden, um unautorisiert Daten oder Zugriff zu bekommen. Dabei werden Methoden der Humanpsychologie dazu missbraucht, Mitarbeiter zu manipulieren und sie zur Übermittlung von Informationen oder zu bestimmten Handlungen zu bewegen – wie etwa den fatalen Klick auf den Link in der Phishing-E-Mail oder die Nennung des Passworts gegenüber einem vermeintlichen Support-Mitarbeiter am Telefon.

Annahme 3: Angriffe aus der Supply-Chain spielen keine große Rolle.

Tatsächlich nimmt die Zahl von Supply-Chain-Angriffen zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unternehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Log4j dient dazu, Protokollierungsinformationen aus Software, Anwendungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren.

Generell ist auch Open-Source-Software nicht vor Sicherheitslücken gefeit. So gelang es beispielsweise einem Professor der University of Minnesota im Kontext einer Studie, Schwachstellen in den Linux Kernel einzuschleusen. Dazu gaben er und einer seiner Studenten vor, Bug Fixes für die Linux Community bereitzustellen. Ziel der umstrittenen Aktion war es, zu demonstrieren, wie angreifbar auch Open-Source-Projekte sein können. Eine Sicherheitslücke im Linux Kernel ist potenziell so gravierend, weil Linux sehr weit verbreitet ist. Es findet sich heute in Servern und Smartphones und auch in verschiedensten Embedded Devices – von Autos über Smart Homes bis zu Maschinen.

Grundsätzlich gilt: Es wäre für ein Unternehmen fahrlässig, wollte es die Verantwortung für seine Cybersicherheit gänzlich auf den Anbieter abwälzen. Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren.

Annahme 4: Der Umfang dieser Sicherheitsprüfung wird schon ausreichen.

Die Cybersicherheit im Unternehmen durch Penetration-Tests auf die Probe zu stellen, ist ein wichtiger Baustein im Aufbau der Cyber Resilience. Wählt man dabei allerdings den Scope des Pentests zu klein, ist wenig gewonnen. Denn so entsteht ein vermeintliches Gefühl von Sicherheit. Ein typisches Beispiel ist der Ausschluss bestimmter Systeme, etwa solcher, die am Ende ihres Lebenszyklus stehen, weil sie ja – so heißt es dann – sowieso bald abgeschaltet oder ersetzt werden. Solange sie noch nicht abgeschaltet sind, bieten aber gerade diese Altsysteme oft den verführerischsten Angriffsvektor. Ein anderes Beispiel: Auf dem Server, der eine zu prüfende Webanwendung betreibt, läuft eben auch noch ein FTP-Dienst, der die vollständige Kompromittierung des Servers ermöglicht – aber alle Dienste außer der Webanwendung sind von der Prüfung ausgeschlossen. Ebenso kommt es vor, dass beispielsweise ein Finanzinstitut den Umfang seiner Prüfung nur so groß wählt, wie es regulatorisch vorgeschrieben und offiziell erforderlich ist. Auch hier wäre das Resultat eine trügerische Scheinsicherheit.

Wenn Pentests wirklich aussagefähig werden sollen, dürfen sie sich nicht nur auf einen Ausschnitt der Unternehmens-IT richten. Vielmehr müssen sie holistisch angelegt sein. Denn das Ziel eines Penetration-Tests ist es nicht, dem Management bloß ein positives Gefühl in Sachen Cybersicherheit zu vermitteln – er soll wirkliche Sicherheitslücken und potenzielle Angriffsvektoren identifizieren, damit diese behoben werden können, bevor sie von kriminellen Angreifern ausgenutzt werden.

Annahme 5: Penetration-Tests kann die IT-Abteilung nebenher übernehmen.

Pentests können in den meisten Unternehmen gar keine Inhouse-Aufgabe sein. Denn IT-Administratoren haben vor allem eines zu tun: Sie müssen dafür sorgen, dass die Systeme im Unternehmen zuverlässig laufen. In der Regel ist das Administrationsteam mit seinen operativen Aufgaben bereits zu 100, wenn nicht gar zu 120 Prozent ausgelastet. Zudem verlangen Penetration-Tests ein hochspezialisiertes und hochaktuelles Fachwissen, über das die eigene IT-Abteilung in der Regel gar nicht verfügen kann. Es ist wichtig, dass das Management versteht, dass ein Pentest nichts ist, was sich einfach nebenher erledigen ließe. Gleichzeitig müssen die Mitarbeiter der internen IT sich klarmachen, dass es bei einer Sicherheitsprüfung nie darum geht, ihre eigene Arbeit in Sachen Cybersecurity zu diskreditieren, sondern zu stärken. Ein aussagefähiger Penetration-Test wäre mit Inhouse-Ressourcen gar nicht durchführbar, weil Know-how und Zeit dafür fehlen. Anders sieht dies nur aus, wenn das Unternehmen groß genug ist, um sich ein eigenes, dediziertes Red-Team – die Angreifer – für mehr oder minder kontinuierliche Pentests zu leisten. Diesem Red-Team steht dann ein dediziertes Blue-Team mit den Verteidigern gegenüber. Aber sogar ein eigenes Red-Team kann mitunter sehr von externer Unterstützung durch Ethical Hacker profitieren.

Annahme 6: Unsere Backups retten uns im Notfall.

Vor etwas mehr als fünf Jahren mag diese Aussage vielleicht noch zutreffend gewesen sein. Heute ist sie das nicht mehr, nicht in jedem Fall. Man muss sich vor Augen führen, dass die Qualität von Schadsoftware deutlich gestiegen ist. Krypto-Trojaner, die Unternehmensdaten zu Erpressungszwecken verschlüsseln, tun dies heute nicht mehr unverzüglich. Es gibt inzwischen Ransomware, die sich zuerst in den Backups eines Unternehmens einnistet und diese nach und nach zerstört. Erst Monate später, wenn das Backup unbrauchbar geworden ist, macht sich der Krypto-Trojaner dann daran, die Daten des Unternehmens zu verschlüsseln – und die eigentliche Erpressung beginnt.

Darum ist es heute wichtig, Backups erstens mit geeigneten Schutzkonzepten vor Malware zu sichern und sie zweitens regelmäßig zu prüfen. Nur auf ein Backup, das auch tatsächlich aufsetzbar ist, ist im Notfall Verlass. Unternehmen sollten darum ihre Disaster Recovery regelmäßig testen, üben und ausprobieren. Und wenn ein Unternehmen sein Backup aus Sicherheitsgründen verschlüsselt: Auch dieser Backup-Schlüssel selbst ist ein möglicher Angriffspunkt, denn Cyberkriminelle können natürlich auch den Backup-Schlüssel des Unternehmens verschlüsseln. Das Backup wäre dann wiederum unbrauchbar, und der Erpressungsversuch durch die Verschlüsselung der Unternehmensdaten könnte beginnen. Darum ist es wichtig, dass Unternehmen ihre Krypto-Schlüssel für das Backup offline aufbewahren und auch ihr Notfalltraining in Sachen Disaster Recovery offline dokumentieren.

Fazit

Die Gefahr von Cyberangriffen hat nicht abgenommen, im Gegenteil. Wollte ein Unternehmen aus einer glimpflich verlaufenen Vergangenheit schließen, dass es auch in Zukunft vor Cyberkriminalität sicher ist, wäre dies vielleicht die gravierendste Fehlannahme von allen. Operative Zuverlässigkeit lässt sich in der IT nur herstellen, wenn ein Versicherungsunternehmen seine Cyberresilienz mit geeigneten, holistischen Konzepten und Maßnahmen etabliert, aufrechterhält und weiterentwickelt. Sich damit auseinanderzusetzen, lohnt die Mühe in jedem Fall, denn der finanzielle Schaden wiegt im Ernstfall um ein Vielfaches schwerer als das vorausschauende Investment in die Cybersicherheit. Wie in der Medizin gilt auch in Sachen Cybersecurity: Vorbeugen ist besser als heilen.

Autoren:

Michael Niewöhner
Michael Niewöhner ist bei Ventum Consulting seit 2021 als Manager für IT Security & Penetration Testing tätig. Zuvor leitete er den Bereich Security Testing & Research am Münchener Standort eines Cyber-Defense-Unternehmens. Niewöhner ist Offensive Certified Security Professional. Zu seinem breiten Kompetenzportfolio im Bereich Cybersecurity gehören unter anderem Reverse Engineering, Web Application Penetration Testing, Linux Audits und Hardening, Embedded Penetration Testing sowie Security by Design.

Daniel Querzola
Daniel Querzola ist bei Ventum Consulting als Manager IT Security & Penetration Testing tätig. Seinen Background hat er in tiefgreifend technischen Bereichen wie Pentesting und Vulnerability Management. Zu seiner Kernexpertise gehört es, Audits im Kontext komplexer Unternehmensarchitekturen durchzuführen. Neben Netzwerk- und Software-Pentests liegt ein besonderer Fokus auf Windows-Domänen. Bevor er 2021 zu Ventum Consulting wechselte, arbeitete Querzola als Head of Penetration Testing eines Cyber-Defense-Unternehmens am Standort Neustadt.