Die vergessene Zielgruppe:
Admins und Entwickler

Seit vielen Jahren sensibilisieren wir gemeinsam mit unseren Kunden Mitarbeiter zum Thema IT-Sicherheit. Gleichzeitig unterstützen wir Unternehmen im Incident Response, um Hackerangriffe abzuwehren und Systeme wiederherzustellen. Doch welche Erkenntnisse haben wir dabei gewonnen?

Phishing und Social Engineering: Der klassische Einstiegspunkt für Angreifer

In den meisten Fällen beginnt ein Angriff mit einem unbedarften User, der einen E-Mail-Anhang öffnet und Makros aktiviert. Deshalb

ist es entscheidend, alle Mitarbeiter regelmäßig auf die Gefahren von Phishing und Social Engineering zu schulen.

Doch was passiert danach? Der initiale Zugang ist oft nur der erste Schritt in einem weitaus gefährlicheren Prozess.

Vom ersten Klick zum großen Schaden: Lateral Movement

Der größte Schaden entsteht selten durch die Erstinfektion, sondern durch die Schwachstellen, die danach ausgenutzt werden. Ein infizierter Rechner ist nicht ideal, aber ein Unternehmen sollte nicht durch einen einzigen Vorfall in die Knie gezwungen werden. „Assume compromise!“ lautet hier die Devise.

Der eigentliche Knock-out folgt oft erst in den Wochen nach der Erstinfektion, im sogenannten „Lateral Movement“. Angreifer springen von einem infizierten Benutzer auf einen Server, dann weiter zu anderen Servern, bis sie schließlich die Kontrolle über das gesamte Active Directory erlangen. Ab diesem Punkt können sie beliebige Accounts erstellen, Daten exfiltrieren und Systeme verschlüsseln. Spätestens dann ist der Schaden enorm.

Schwachstellen im Fokus: Triviale Sicherheitslücken als Risiko

Unsere forensischen Analysen zeigen, dass die Angreifer oft keine schwer zu entdeckenden Zero-Day-Schwachstellen nutzen. Stattdessen greifen sie auf einfache Sicherheitslücken zurück:

• Fehlendes Hardening
• Unzureichendes Patching
• Schwache Passwörter oder identische Passwörter auf verschiedenen Systemen
• Nicht ordentlich beendete RDP-Sitzungen

Es sind also meist die „Basics“, die Angreifern Tür und Tor öffnen. Hier liegt eine entscheidende Schwachstelle.

Balance schaffen: Security Awareness für alle Mitarbeiter

Die meisten Unternehmen konzentrieren sich bei der Schulung fast ausschließlich auf Endanwender. Das ist zwar wichtig, aber nur die halbe Miete. Administratoren und Entwickler haben aufgrund ihrer erweiterten Rechte ein weitaus größeres Schadenspotenzial.

Leider verfügen viele Administratoren und Entwickler über ähnlich wenig Wissen zu Cyber Security wie normale Anwender. Diese Kombination aus erweiterten Rechten und geringer Awareness ist hochgefährlich.

Fazit: Eine Frage der richtigen Balance

Security Awareness ist ein fortlaufender Prozess, der niemals endet. Doch Unternehmen sollten ihr Schulungskonzept überdenken und auf eine ausgewogene Balance setzen. Endanwender, Administratoren und Entwickler – alle müssen sensibilisiert werden. Nur so können Unternehmen den Schaden durch Cyberangriffe langfristig minimieren.

Schwachstellen bei den Basics dürfen nicht unterschätzt werden. Denn eine gut geschulte und informierte Belegschaft ist der Schlüssel zu einer widerstandsfähigen IT-Infrastruktur.

Security Trainings für Administratoren und Entwickler