Lernen aus der Praxis: Lektionen für mehr Sicherheit

1. Ungepatchte Sicherheitslücken – ein Einfallstor für Angreifer

Die Herausforderung: Regelmäßig tauchen neue Schwachstellen in Software und Betriebssystemen auf. Insbesondere Unternehmen, die Lösungen von Fortinet, Citrix oder Microsoft einsetzen, kennen das Problem. Trotz der bekannten Risiken installieren viele Organisationen kritische Updates und Patches nicht zeitnah. Das ist wie eine offene Einladung für Angreifer. Besonders gefährlich sind sogenannte Zero-Day-Exploits: Sicherheitslücken, die dem Hersteller unbekannt sind, und für die es noch keine Patches gibt. Allerdings führt die reine Verwundbarkeit eines Systems nicht direkt zu einer Kompromittierung.

Die Lösung: Ein guter Ansatz ist ein engmaschiges Monitoring zur frühzeitigen Anomalieerkennung, um tiefergehende schädliche Aktivitäten schnell einzudämmen. Neben einer konsequenten Patch-Strategie sollten Unternehmen ein effektives Asset-Management etablieren, um stets einen Überblick über ihre IT-Landschaft und den Patch-Status zu haben. Systeme, die nicht aktualisiert werden können, sollten isoliert betrieben werden. Ein Beispiel dafür sind medizinische Geräte in Krankenhäusern, die aus technischen Gründen auf veralteten Betriebssystemen basieren. Diese dürfen dann nicht mit dem restlichen Netzwerk kommunizieren und schon gar nicht aus dem Internet erreichbar sein, oder mit diesem kommunizieren.

2. Schwache Passwörter als Hauptrisiko

Die Herausforderung: Obwohl sich die Anforderungen an sichere Passwörter längst etabliert haben, wird dieses Thema in der Praxis oft vernachlässigt. Ein Domänen-Administratorkennwort mit sechs Zeichen oder ein lokales Administratorpasswort mit nur zwei Zeichen ist für Angreifer kein Hindernis. So erleichtern schwache Kennwörter immer noch Cyberkriminellen den Weg in das Unternehmensnetzwerk.

Die Lösung: Eine strikte Passwort-Policy ist unerlässlich. Hier lohnt ein Blick auf die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für starke, einzigartige Passwörter. Zudem sollten alle Accounts, die über das Internet erreichbar sind – insbesondere VPN-Zugänge – durch eine Multifaktor-Authentifizierung (MFA) gesichert werden. Große Organisationen, wie beispielsweise Universitäten, mit zahlreichen Benutzerkonten stehen hier vor besonderen Herausforderungen.

3. Mangelhafte Account-Hygiene erleichtert Angreifern den Zugang

Die Herausforderung: Angreifer verschaffen sich oft mit minimalem Aufwand höhere Zugriffsrechte in einem Netzwerk. Ein häufiger Angriffsvektor ist das Auslesen von Passwort-Hashes aus dem Arbeitsspeicher kompromittierter Systeme. Denn Passwort-Hashes werden bei jeder Anmeldung zwischengespeichert. Oftmals kann der Passwort-Hash direkt genutzt werden, ohne dass die Kenntnis des eigentlichen Passwortes nötig ist, um sich als eine andere Person anzumelden. Fachleute sprechen hier von einem „Pass the Hash“-Angriff (deutsch: “Reiche den Hash weiter”). Administratoren, die aus Bequemlichkeit Domänen-Admin-Konten auf regulären PCs oder Servern nutzen, tragen unbewusst zur Eskalation solcher Angriffe bei.

Die Lösung: Um solche Risiken zu minimieren, braucht es eine strikte Account-Trennung. Ein bewährtes Konzept zur Trennung von Administratorkonten beschreibt Microsofts in seinem Tiering-Modell (Abstufungsmodell). Dieses Vorgehen verhindert, dass die Angreifer bei der Kompromittierung des Systems eines niedrigen Tiers Zugangsdaten zu Systemen eines höheren Tiers erlangen und somit ihre Berechtigung einfach erweitern können.

4. Fehlende Netzwerksegmentierung erleichtert die Ausbreitung

Die Herausforderung: Viele Unternehmensnetzwerke sind unzureichend segmentiert, was Angreifern eine ungehinderte und laterale Bewegung ermöglicht. Hinzu kommt: Eine Netzwerksegmentierung bietet nur dann einen Sicherheitsgewinn, wenn die Übergänge reglementiert sind.

Die Lösung: Mit durchdachter Netzwerkunterteilung lassen sich deutliche Hindernisse für Cyberkriminelle aufbauen, die nur schwer zu überwinden sind. So sollten Firmen Server- und Client-Netzwerke strikt trennen und nur explizit notwendige Verbindungen zulassen. Genauso wichtig ist die Trennung von Operational Technology (OT, Betriebstechnologie) und IT. Produktions- und Steueranlagen haben beispielsweise in einem reinen Büronetzsegment nichts zu suchen. Besonders kritische Infrastrukturen wie Stadtwerke müssen gewährleisten, dass Produktions- und Steueranlagen nicht über das Büronetzwerk zugänglich sind. Ein Managementnetz mit dedizierten administrativen Zugängen erhöht zusätzlich die Sicherheit. Hier erhalten ausschließlich administrative Accounts Zugang, der jeweils über ein VPN mit einem zweiten Faktor abgesichert ist. Dies bringt einen hohen Sicherheitsgewinn, ohne die alltägliche Arbeit der normalen Nutzer zu beinträchtigen.

5. Unzureichende Backups – ein unterschätztes Risiko

Die Herausforderung: Ein Backup allein schützt nicht vor Datenverlust, wenn es kompromittiert oder nicht funktionsfähig ist. Cyberkriminelle suchen gezielt nach Sicherungskopien, um sie zu löschen oder zu verschlüsseln. Dadurch steigt der Druck auf Unternehmen Lösegeld zahlen zu müssen.

Die Lösung: Sicherungskopien müssen isoliert vom restlichen Netzwerk gespeichert werden und sollten regelmäßig auf Wiederherstellbarkeit getestet werden. Eine zusätzliche Offline-Kopie ist unverzichtbar. Denn immer häufiger brechen Tätergruppen ihre Angriffe ab, wenn sie die Backup-Server nicht finden oder nicht darauf zugreifen können. Dann verlieren sie das Druckmittel, um ihre Forderungen durchzusetzen. Gleichzeitig gilt: Je länger sie das Backup suchen, desto mehr Zeit haben Firmen, den Angriff zu entdecken.

Ein häufig übersehenes Problem: Wenn Sicherungskopien passwortgeschützt sind und das Kennwort in einem verschlüsselten Passwortmanager gespeichert ist, können Unternehmen im Ernstfall nicht darauf zugreifen. Darüber hinaus hat sich für Datensicherungen das 3-2-1-Prinzip als Best Practice herausgestellt. Nach diesem Prinzip gibt es drei separate Sicherungskopien, von denen zwei auf unterschiedlichen Medien gespeichert sind (zum Beispiel Festplatte & LTO-Magnetband) und eines der Backups off-site vorgehalten werden muss.

6. Überlastetes IT-Personal – ein strukturelles Problem

Die Herausforderung: IT-Teams übernehmen oft zahlreiche Aufgaben – von User-Support bis IT-Security. Für elementare und strategische Aufgaben, wie dem Aufbau einer durchdachten Netzwerkinfrastruktur, mangelt es dann schlicht an zeitlichen Ressourcen.

Die Lösung: Mindestens fünf Prozent der Belegschaft eines Unternehmens sollten in der IT arbeiten. Und dedizierte Mitarbeitende für IT-Sicherheit sind unerlässlich. Dabei ist eine wettbewerbsfähige Vergütung essenziell, um Fachkräfte zu binden.

7. Schlechte IT-Dienstleister – Risiken beim Outsourcing

Die Herausforderung: Viele Unternehmen setzen auf externe IT-Dienstleister, um den Fachkräftemangel zu kompensieren. Doch nicht jeder Anbieter verfügt über das erforderliche Know-how.

Die Lösung: Ein guter IT-Dienstleister kann die eigene IT-Abteilung mit Fachexpertise unterstützen, die an dieser Stelle im eigenen Unternehmen fehlt. Allerdings sind bei der Auswahl eines Partners ein paar Dinge zu beachten. Wichtige Kriterien dabei sind Service Level Agreements inklusive Reaktionszeiten von Dienstleistern. Im Notfall ist Zeit ein entscheidender Faktor.

„Ein Notfallplan mit klar definierten Zuständigkeiten und alternativen Kommunikationswegen ist unerlässlich. In diesem Notfallplan sind insbesondere Zuständigkeiten und Verfahrensweisen für den Notfall geregelt. Wer trifft welche Entscheidungen, wer informiert Angestellte, Kunden oder Stakeholder und wer spricht mit den Ermittlungsbehörden.“

Leonard Rapp, G DATA Advanced Analytics

Ebenfalls empfehlenswert: Regelmäßige Penetrationstests und Notfallübungen mit dem Partner. Diese schaffen Transparenz über dessen Sicherheitskompetenzen. Hierbei lassen sich auch Meldeketten und Notfallprozesse testen und gegebenenfalls vorhandene Schwachstellen beseitigen.

8. Fehlendes Security Monitoring – Warnsignale werden übersehen

Die Herausforderung: Ein Großteil aller Vorfälle könnte deutlich früher erkannt und damit auch gestoppt werden. Aber sie bleiben unentdeckt, weil die Alarmmeldungen der eingesetzten Security-Lösungen entweder (bewusst oder unbewusst) ignoriert oder falsch interpretiert werden.

Die Lösung: Unternehmen sollten dediziertes Personal einsetzen oder auf Managed Security Services zurückgreifen – wie etwa Managed Extended Detection and Response oder ein Security Operations Center (SOC). Dabei ist aber ein Aspekt von wesentlicher Bedeutung: die Meldeketten.

9. Technische Schulden – veraltete Systeme als Einfallstor

Die Herausforderung: Technische Schulden sind oftmals eine Folge von Personalmangel. Aber auch falsch gesetzte Prioritäten begünstigen solche Konstellationen. Ein Paradebeispiel für technische Schulden liefern leider öffentliche Verwaltungen. Hier finden sich immer wieder deutlich veraltete IT-Infrastrukturen.

Die Lösung: Neben Investitionen in neue Technologien müssen Unternehmen veraltete Systeme kontinuierlich aktualisieren oder ersetzen, um Sicherheitslücken zu schließen. Das ist in der Regel das Erste, was bei Zeit- und Ressourcenmangel vernachlässigt wird.

10. Der „Headless Chicken Mode“ im Ernstfall

Die Herausforderung: Bei einem Cyberangriff reagieren viele Unternehmen planlos und unkoordiniert. Wichtige Entscheidungen werden verzögert, was den Schaden erhöht.

Die Lösung: Ein Notfallplan mit klar definierten Zuständigkeiten und alternativen Kommunikationswegen ist unerlässlich. In diesem Notfallplan sind insbesondere Zuständigkeiten und Verfahrensweisen für den Notfall geregelt. Wer trifft welche Entscheidungen, wer informiert Angestellte, Kunden oder Stakeholder und wer spricht mit den Ermittlungsbehörden. Auch alternative Kommunikationswege müssen definiert sein, wenn zum Beispiel keine E-Mails mehr verschickt werden können und Chat-Plattformen nicht mehr funktionieren. Und je größer eine Organisation ist, desto komplexer ist die Aufgabe. Im Vorteil sind Unternehmen, die bereits vorab Incident-Response-Teams kontaktieren und idealerweise Retainer-Verträge abschließen.

Ein letzter Rat für die Zusammenarbeit mit Incident-Response-Teams: Datenmanagement. Je weiter Logdaten in die Vergangenheit zurückreichen, desto genauer lassen sich der Angriffshergang rekonstruieren und kompromittierte Systeme und Konten identifizieren. Je mehr Erkenntnisse die IT-Forensik liefert, desto gezielter lassen sich die Wiederanlaufmaßnahmen gestalten und das Unternehmen ist schneller wieder handlungsfähig.

Fazit: Prävention ist der beste Schutz vor Ransomware

Unternehmen sollten nicht auf Glück hoffen, sondern proaktiv handeln. Wer die hier vorgestellten Maßnahmen umsetzt, kann Angriffsversuche frühzeitig erkennen, unterbrechen und langfristig eine resilientere Sicherheitsstrategie etablieren.

Über den Autor:
Leonard Rapp ist Security Engineer (DFIR – Digital Forensics and Incident Response) bei G DATA Advanced Analytics.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.