Das Sonderziel: der Administrator
Administratoren haben deutlich umfangreichere Rechte als Benutzer. Deshalb sind gerade IT-Administratoren ein beliebtes Angriffsziel. Als Menschen sind sie ebenso anfällig für Social Engineering durch Spear Phishing oder USB-Sticks.
Die größte Gefahrenquelle ist allerdings die tägliche Routine. Viele APT-Angriffe benötigen gar kein Social Engineering, da in der täglichen Arbeit fundamentale Sicherheitsaufgaben "vergessen" werden.
Die Pflicht: Hardening und Patching
Viele Angreifer dringen über banale Schwachstellen ins Unternehmen ein, zum Beispiel:
ein nicht geändertes Standardpasswort auf einem Webserver.
eine nicht entfernte Webshell-Anwendung.
eine nicht gepatchte kritische Sicherheitslücke, obwohl die Lücke lange bekannt ist und der Hersteller bereits Updates anbietet.
Die Härtung neu aufgesetzter Systeme ist elementarer Bestandteil der Defense-in-Depth-Strategie, ebenso wie das zeitnahe Patchen von kritischen Sicherheitslücken.
Bequemlichkeit und Routine sind die größten Feinde
Cyber-Angreifer sind mit den täglichen Arbeitsabläufen eines Administrators bestens vertraut und nutzen das mit entsprechenden Angriffsszenarien aus. Haben sie einen Account gekapert, versuchen sie dasselbe Passwort bei anderen Admin-Accounts. Und sie haben damit oft Erfolg.
Extrem gefährlich ist auch die Nutzung hoch privilegierter Admin-Accounts auf Clients oder Webservern. Cyber-Angreifer können beispielsweise Windows-Passwörter mit entsprechenden Tools im Klartext aus dem RAM eines Servers auslesen. Häufig finden sie bereits auf einem einfachen Web- oder Backup-Server die Zugangsdaten des Domänenadministrators. Denn für Administratoren ist es eben viel bequemer, immer den "Super-Admin" zu benutzen anstelle eines eigenen Accounts für jedes System. Deshalb lautet eine wichtige Regel: Jeder Administrator sollte nur mit den Rechten arbeiten, die er für die Erledigung der Aufgabe benötigt. Dieses "Prinzip der minimalen Rechte" ist ein weiterer elementarer Bestandteil einer erfolgreichen IT-Sicherheitsstrategie.
Mittelfristig sollten Admin-Accounts zusätzlich durch technische Maßnahmen wie Zwei-Faktor-Authentisierung, Jump-Server oder den Einsatz von Privileged-Identity-Management-Tools abgesichert werden.
McAfee
Sichere Softwareentwicklung
Selbstverständlich sind auch Softwareentwickler eine wichtige Zielgruppe für Security-Awareness-Maßnahmen. Nach wie vor sind hausgemachte Schwachstellen wie unzureichende Validierung der Benutzereingabe oder fehlende Verschlüsselung gängige Einfallstore für Cyber-Angreifer. Sicherheit sollte deshalb ein integraler Bestandteil des gesamten Softwarelebenszyklus werden - von der Risikoanalyse über Code Reviews bis hin zu Penetrationstests.
Fazit: Fortlaufende Sensibilisierung ist entscheidend
Menschliches Verhalten beeinflusst entscheidend die Widerstandsfähigkeit (Resilience) eines Unternehmens gegen Cyber-Angriffe. Die Schulung und Sensibilisierung der verschiedenen Gruppen ist ein "Quick Win", eine schnell umsetzbare, messbare und kosteneffiziente Maßnahme für eine funktionierende Sicherheitsstrategie. Ohne geschultes Personal bleiben Investitionen in Security-Technologien ineffizient.