Zum Inhalt

Trendthemen

CISOs in der Zwickmühle: Die Bedrohungslandschaft aus Sicht von Führungskräften

F-Secure Deutschland

27.04.21 5 Minuten Lesezeit

Chief Information Security Officers (CISOs) können immer mehr Angriffe erfolgreich abwehren, obwohl sie es mit agilen und zunehmend fortschrittlichen Gegnern mit klaren Vorteilen auf ihrer Seite zu tun haben. Das zeigt eine neue unabhängige Studie von Omnisperience für F-Secure.

Im Rahmen von Interviews mit 28 leitenden Informationssicherheitsbeauftragten in den USA, Großbritannien und Europa beschrieben die Fachleute die Bedrohungslandschaft als einen zersplitterten Arbeitsplatz, der ständig angegriffen wird. Die CISOs sahen sich gezwungen, ständig mit einer anhaltenden “Sicherheitsschuld” umzugehen und sich mit der Frage auseinanderzusetzen, was gute Sicherheit ausmacht.

Zunehmende Angriffe, Mitarbeiter zu Hause und im Büro im Visier, aber Qualität zählt mehr als Quantität

CISOs weisen gerne auf den Unterschied zwischen einem Cyberangriff und einem Cybervorfall hin und wünschen sich, dass auch andere – insbesondere Medien aber auch Anbieter von Cybersicherheit – diesen Unterschied deutlich machen.

Ein Cyber-Angriff ist der Versuch eines versierten oder unversierten Gegners, die Sicherheitsrichtlinien eines Systems zu umgehen, um dessen Integrität oder Verfügbarkeit zu beeinträchtigen, und/oder unbefugt auf ein System oder Systeme zuzugreifen. Ein Cyber-Vorfall hingegen ist ein erfolgreicher Versuch, der zu einer Verletzung der Sicherheit des Systems führt.

CISOs berichteten, dass der Umfang der Angriffe, die ihre Mitarbeiter in den letzten 18 Monaten abgewehrt haben, zugenommen hat. Aber die Anzahl der Vorfälle blieb konstant.

Wie erklärt sich diese Diskrepanz? Das könnte daran liegen, dass die CISOs die richtigen Investitionen getätigt haben. Am bedenklichsten sind jedoch die Vorfälle, die nicht entdeckt wurden. Aufgrund der komplexen Natur einiger dieser Angriffe verfügen Unternehmen möglicherweise nicht über die Technologie oder die Mitarbeiter, um zu erkennen, dass sie sich inmitten einer Kompromittierung befinden, die beispielsweise erst Monate später zu einem Ransomware-Einsatz führen kann.

Die drei größten Bedrohungen, denen die befragten CISOs begegneten, waren:

  1. Phishing
  2. Ransomware (Wiper-Malware)
  3. Business Email Compromise (BEC)

Angreifer setzen zunehmend eine Vielzahl von Angriffsvektoren ein. Einige der folgenden Cyberangriffe wurden als ständige Herausforderungen für die Sicherheitsteams genannt:

  • Kompromittierung und Ausnutzung von Home-Office-Mitarbeitern alias Trojaner
  • Datenlecks
  • DDoS-Angriffe
  • Kompromittierung von Identitäten, Anmeldedaten und Konten
  • Fortgeschrittene Malware durch organisierte Gruppen

Auf welche Schwachstelle haben es Cyber-Kriminelle also am meisten abgesehen? Der Mensch ist die größte Schwachstelle. Mitarbeiter sind immer noch der primäre Angriffsvektor.

71 Prozent der CISOs sehen diese bekannte menschliche Schwachstelle weiterhin als eine ihrer größten Sorgen an. Social-Engineering- und Phishing-Angriffe werden genutzt, um direkt oder indirekt Kontakt zu Mitarbeitern aufzunehmen. Und niemand ist vor einem solchen Versuch sicher – von den Empfangsmitarbeitern bis hin zur Führungsetage.

Allerdings ist Quantität nicht gleich Qualität. Die Mehrheit der Phishing-Versuche wird weiterhin von E-Mail- und Anti-Phishing-Sicherheitsprodukten abgefangen. Doch die sich verändernde Arbeitsumgebung, insbesondere im Zuge der Pandemie, stellt CISOs vor neue Herausforderungen.  Die Absicherung einer mobileren und flexibleren Belegschaft im Büro ist mit erheblichen Geschäftsrisiken verbunden, darunter:

1. Das trojanische Pferd
Es ist einfacher, Rechner zu kompromittieren, die sich außerhalb des Unternehmensnetzwerks befinden. Einmal kompromittiert, bieten diese Rechner einen Zugangspunkt, um den Rest des Netzwerks zu infizieren

2. Hybride
Das ständige Hin und Her zwischen geschäftlichen und sozialen Anwendungen schafft ein ständiges Risiko.

3. Kontamination
Unternehmensrechner, die zu Hause und die auch für private Zwecke genutzt werden, können auch für Social-Engineering-Zwecke genutzt werden und den Rest des IT-Bestands beeinträchtigen, ohne das Büro jemals zu betreten. Einmal infiziert, können diese Rechner dann auf den Rest des Unternehmensnetzwerks zugreifen, ähnlich wie ein Trojanisches Pferd.

Die Sicherheitsschuld

CISOs erwähnten durchweg, dass sie in einer ständigen „Sicherheitsschuld“ stecken. Organisierte und technisch erfahrene Cyberkriminelle, die von einem unerbittlichen Verlangen nach finanziellen Gewinnen angetrieben werden, genießen Vorteile gegenüber legitimen Sicherheitsprofis – vor allem viel, viel Zeit.

Neue Sicherheitstools, Initiativen zur Förderung von “Security-by-Design” in den frühen Phasen neuer Geschäftsprojekte und das interne Sicherheitsbewusstsein haben selten eine angemessene Priorität. Und CISOs erkennen, dass dies das Ergebnis von Budgetbeschränkungen, Ressourcenauslastung und der Priorität anderer Geschäftsaktivitäten ist. Die wenigsten arbeiten in einem Unternehmen, nur um ein Netzwerk zu verteidigen. Viele Kriminelle gehen jedoch in die Internetkriminalität, weil es sich lohnt.

72 Prozent der CISOs geben an, dass die Gegner, mit denen sie es zu tun haben, in puncto Geschwindigkeit eindeutig Vorteile haben. Kriminelle können aus der Ferne angreifen, mit mehr Agilität und Ressourcen im Vergleich zu legitimen Unternehmen, die regulatorische Zwänge, schwankende Budgets und der Notwendigkeit unterliegen, Sicherheitskontrollen mit der Aufrechterhaltung der Mitarbeiterproduktivität in Einklang zu bringen. Dieser Prozess nimmt natürlich mehr Zeit in Anspruch.

Es besteht eine überwältigende Übereinstimmung darüber, dass Cyberkriminelle ihre Bedrohungskapazitäten erhöht haben. Fast alle CISOs (96 Prozent) berichten, dass sie es mit einer gut organisierten kommerziellen Industrie zu tun haben, die jenseits des Gesetzes operiert.

Kriminelle schreiben, aktualisieren und können ihren eigenen Code integrieren, während CISOs in der Regel nicht über den Umfang und die Ressourcen verfügen, um ihre eigenen Tools zu entwickeln. Dadurch entsteht eine kritische Abhängigkeit von Sicherheitsanbietern und die ständige Frage, welche Tools die richtige Wahl für das eigene Unternehmen sind.

Was ist „gute Sicherheit“?

Ein Verteidiger zu sein, ist immer ein harter Job. Wie ein CISO sagte: „Wir müssen jeden Angriff standhalten und zwar jeden Tag aufs Neue, während die Angreifer lediglich einmal ein Erfolgserlebnis brauchen.“ Dieses Dilemma zwingt viele CISOs dazu, ständig neu zu bewerten was „gute Sicherheit“ ausmacht.

Trotz der zunehmenden Raffinesse vieler krimineller Gruppen erkennen CISOs auch, dass grundlegende Sicherheitsprozesse – der Umgang mit veralteter Technologie, Patches von verwundbaren Systemen – vor vielen der Bedrohungen schützen würden, mit denen sie konfrontiert sind. Sie sind sich bewusst, dass diese Schritte der Schlüssel sind, um die Lücke zu ihren Gegnern zu schließen.

Ob es nun an der Kritik liegt, die sie erhalten, oder an den Realitäten, mit denen sie konfrontiert sind, die meisten CISOs (71 Prozent) geben an, dass sich ihre eigenen Vorstellungen von Sicherheit weiterentwickelt haben.

Diese Frage ist jedoch heiß umstritten. Mehr als ein Viertel der CISOs (29 Prozent) sind der Meinung, dass gute Sicherheit immer noch die gleiche ist wie früher: Sie konzentriert sich auf das Management von Risiken (insbesondere dort, wo Mitarbeiter immer das schwächste Glied eines Netzwerks sein werden) mit den Grundlagen, anstatt sich auf neumodische Sicherheitstechnologien zu verlassen. Andere argumentieren, dass sich gute Sicherheit zum Besseren gewandelt hat, da mehr und mehr Interessenvertreter deren Bedeutung dank besserer Öffentlichkeitsarbeit und Schulungen erkennen.

In einem Punkt waren sich alle CISOs einig: Sie und ihre Mitarbeiter müssen mehr Verantwortung für alle Cybervorfälle übernehmen, die das Unternehmen betreffen. Diese Verantwortung besteht, trotz der wachsenden Zahl von Angriffen, begrenzter Ressourcen und einer ständigen Debatte darüber, was sie priorisieren sollten. Das ist, kurz gesagt, das Dilemma der CISOs.

Tipps zur Risikominimierung finden Sie im Report „CISO’s New Dawn“.

F-Secure Deutschland

27.04.21 5 Minuten Lesezeit

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.