Der Fachkräftemangel wird auch im Bereich der Cybersicherheit immer wieder als Grund für erfolgreiche Hackerangriffe genannt. So werden auch im Jahr 2023 viele IT-Fachkräfte gesucht, die nicht nur die digitale Transformation in Unternehmen vorantreiben sollen, sondern auch Cybersicherheitsexperten. Doch nicht nur die mangelnde Ausbildung neuer Fachkräfte bedroht die Sicherheitslage in Unternehmen: Selbst erfahrenen Fachkräften mangelt es an Aus- und Weiterbildung.
Das aktuelle Sicherheitsbarometer von Nevis Security zeigt die am häufigsten von IT-Entscheidern genannten Maßnahmen zur Sicherung kritischer Infrastrukturen im Jahr 2022: Die Vorgabe einer Mindestpasswortlänge (65 Prozent) sowie die Verpflichtung der Mitarbeiter, ihre Passwörter regelmäßig zu ändern (41 Prozent). Dagegen setzen nur 34 Prozent auf eine Zwei-Faktor-Authentifizierung per SMS und nur 21 Prozent auf eine biometrische Zwei-Faktor-Authentifizierung. Und immerhin zehn Prozent geben zu, keinerlei Maßnahmen zur Erhöhung der IT-Sicherheit ergriffen zu haben. Zudem kennen fast die Hälfte der befragten IT-Entscheider die gängigen Verfahren wie FIDO, OAuth oder WebAuth nicht.
Die Frage, die sich stellt: Fehlt es wirklich an Kapazitäten und Fachkräften oder ist nicht auch die mangelnde Bereitschaft der etablierten IT-Entscheider, sich weiterzubilden, ein weiterer Stolperstein? Die Tendenz zur Trägheit zeigt sich zum Beispiel in der fehlenden Reaktion der Baumarktkette Obi, als der White-Hacker und Experte Jean Pereira sie über eine gravierende Sicherheitslücke in ihrem Online-Shop informierte. Er wurde einfach ignoriert. Die fehlende Reaktion von Obi ist bei weitem kein Einzelfall.
Anfang Februar 2023 wurde eine Sicherheitslücke im weit verbreiteten ESXi (Elastic Sky X integrated) von VM-Ware bekannt. Cyberkriminelle nutzten die Schwachstelle aus und entwickelten einen Massenangriff, von dem mehr als 100 Unternehmen betroffen waren. Dass die Ausnutzung der Sicherheitslücke so erfolgreich war, liegt nicht nur an der hybriden Vorgehensweise der Hacker. Die erfolgreiche Verbreitung hätte verhindert werden können. VM-Ware stellte bereits vor zwei Jahren Patches für diese Schwachstellen zur Verfügung. Die Behörden haben aber rechtzeitig vor der Sicherheitslücke gewarnt.
Dennoch haben viele Unternehmen nicht rechtzeitig reagiert, was im schlimmsten Fall fatale Folgen haben kann. Software auf dem neuesten Stand zu halten, ist jedoch oft schwierig. Die zunehmende Komplexität von IT-Infrastrukturen und -Produkten führt häufig zu einem hohen Korrekturbedarf mit einer hohen Fehlerquote. Zudem lässt sich das Einspielen von Patches nicht immer automatisieren. Dennoch ist ein Mindestmaß an Wartung erforderlich.
Ein weiterer Grund, warum viele Schwachstellen ungepatcht bleiben, ist, dass viele Unternehmen keinen ROI (Return on Investment) im Patching sehen. Denn Investitionen in die IT-Sicherheit verhalten sich oft nicht wie klassische Investitionen, da es schwierig ist, Kennzahlen für den Prozess zu ermitteln. Diese grundlegende Sicherheitsmaßnahme wird oft unterschätzt. Daher ist es für IT-Teams häufig schwierig, Budget für die Schließung von Sicherheitslücken zu erhalten. Das kann Unternehmen teuer zu stehen kommen: Denn, wenn ein Cyberangriff erfolgreich ist und zu Ausfällen führt, kostet das ein Unternehmen ein Vielfaches dessen, was es für eine solide Cybersicherheit ausgeben müsste.
Mit dem Aufkommen des Chatbots ChatGPT von OpenAI, der seit November 2022 der Öffentlichkeit zur Verfügung steht, ist auch die Frage aufgekommen, inwiefern KI-basierte Tools Cyberkriminellen einen Vorteil bieten. So weisen mehrere Experten darauf hin, dass der Einsatz solcher Tools Social-Engineering-Angriffe erleichtern kann. E-Mail-Konversationen können authentisch nachgestellt werden, ohne dass Grammatik- oder Rechtschreibfehler erkennbar sind.
Fortgeschrittene Kampagnen nutzen komplette E-Mail-Konversationen zwischen verschiedenen Personen, obwohl nur eine Person die E-Mails verfasst. So können ganze Gespräche simuliert werden, um ein potenzielles Opfer dazu zu bringen, auf einen bestimmten Link zu klicken. Mit ChatGPT kann der Schreibstil einer Person nachgeahmt und auf gefälschte Nachrichten übertragen werden.
Aber nicht nur textbasierte Dialogsysteme, die auf maschinellem Lernen und Deep Learning basieren, stellen eine Bedrohung für die Cybersicherheit dar. So warnt das BSI vor allem vor Deepfake-Attacken bei Fernidentifizierungsverfahren wie Spracherkennung oder Videoidentifikation. Auch wenn solche Angriffe noch nicht „massentauglich“ sind, so besteht doch die Möglichkeit, Video- oder Audiomitschnitte zu manipulieren. Und das mit geringem Aufwand und wenig technischem Vorwissen. Dies könnte in Zukunft eine Herausforderung für biometrische Systeme werden.
Mit Hilfe von kryptografischen Verfahren können Betrugsversuche mittels Deepfake verhindert werden, da das Ausgangsmaterial mit einer eindeutigen Identität verknüpft wird. So kann eine sichere Zuordnung zu einer Quelle sichergestellt werden, sodass Manipulationen nach einer Überprüfung der Identität auffallen würden. Auch digitale Signaturen, die bereits beim Aufnahmeprozess hinzugefügt werden, stellen sicher, das eine nachträgliche Manipulation verhindert wird.
Für Unternehmen bedeutet dies, ihre Mitarbeiter kontinuierlich zu schulen und aktuelle Sicherheitstechnologien zu implementieren, um den Wettlauf gegen die Cyberkriminellen nicht zu verlieren.
Stephan Schweizer
ist CEO der Nevis Security AG.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.