Security Awareness Trainings für Administratoren und Entwickler hatte lange Zeit niemand so richtig auf dem Schirm. Das sollte sich ändern.
Die vergessene Zielgruppe: Admins und Entwickler
Seit vielen Jahren sensibilisieren wir mit unseren Kunden Mitarbeiter zum Thema IT-Sicherheit. Und seit ebenso vielen Jahren helfen wir Kunden im Incident Response, um Hacker wieder aus deren IT-Systemen zu werfen. Was sind unsere Erfahrungen?
Ja, in den meisten Fällen ist der Einstiegspunkt in Unternehmensnetze, der sogenannte „Patient Null“, ein unbedarfter User, der einen E-Mail-Anhang öffnet und Makros aktiviert. Es ist und bleibt daher ungemein wichtig, alle Mitarbeiter regelmäßig auf die Gefahren von Phishing und Social Engineering zu schulen.
Wir stellen aber auch immer wieder fest, dass der größte Teil des Schadens bei Hacking-Angriffen nicht durch diese initiale Infektion entsteht, sondern durch eine Vielzahl von weiteren Schwachstellen danach. So ärgerlich ein infizierter User-Account auch sein mag: er darf ein Unternehmen nicht mehr umbringen. Assume compromise! Ein infizierter Rechner ist nicht schön, aber wir werden bei aller Security Awareness nie gänzlich verhindern können, dass nicht irgendwann irgendwer auf irgendeine Schadsoftware klickt.
Der eigentliche Knock-out entstehen erst in den Wochen nach der Erstinfektion, im sogenannten „Lateral Movement“: Die Angreifer springen vom infizierten Benutzer auf den ersten Server, von dort auf weitere Server, bis sie irgendwann das ganze Active Directory des Opfer-Unternehmens unter Kontrolle haben. Dann können Sie sich beliebige Accounts erstellen, alle Daten absaugen und Zeitbomben zur Verschlüsselung der Systeme installieren. Zu diesem Zeitpunkt ist, salopp formuliert, die Hose unten. Ganz unten.
Unsere forensischen Analysen der letzten Jahre zeigen aber auch, dass das nicht so sein müsste. Die allermeisten Sprünge zu weiteren internen Systemen nutzen keine unvermeidbaren „Zero-Day“-Schwachstellen aus, sondern ganz triviale Security-Basics: fehlendes Hardening, unzureichendes Patching, die Verwendung von schwachen Passwörtern auf Serversystemen, die Verwendung von gleichen Passwörtern auf verschiedenen Serversystemen, nicht ordentlich beendete RDP-Sitzungen, usw.
Durch fehlende Security Awareness bei Administratoren und Entwicklern entsteht somit größerer Schaden für das Unternehmen als durch die Anwender. Trotzdem schulen die meisten Unternehmen seit zig Jahren nur die Anwender, teilweise immer und immer wieder. Bitte nicht falsch verstehen, das ist grundsätzlich auch richtig: Security Awareness ist ein kontinuierlicher Prozess, der quasi nie endet. Es ist aber auch eine Frage der richtigen Balance.
Der Schaden, den Administratoren oder Entwickler durch mangelnde Awareness anrichten können, ist durch deren erweiterte Rechte (Privileged Accounts) schon von Natur aus deutlich größer. Und viele dieser Kollegen wissen von Cyber Security und modernen Angriffswerkzeugen leider ähnlich viel wie die Anwender. Eine äußerst gefährliche Mischung.
