Cloud-Lösungen und mobile Mitarbeiter Warum sind mobile Mitarbeiter eine Cyber-Bedrohung?

Telearbeit und Homeoffice sind seit mehr als einem Jahrzehnt auf dem Vormarsch. Laut Bitkom-Studie bietet mittlerweile jedes dritte Unternehmen seinen Mitarbeitern die Möglichkeit zur Arbeit von zuhause aus an – Tendenz steigend.

Ein flexibler Arbeitsplatz bietet mehrere Vorteile – das schwache Glied ist dabei jedoch die Cloud-Sicherheit, die Unternehmen gefährden kann. Laut dem Netwrix Cloud Data Security Report 2019 verzeichneten 38 Prozent der Unternehmen, die mobile Mitarbeiter beschäftigen, Verstöße gegen die Cloud-Datensicherheit. Damit liegt die Zahl doppelt so hoch wie bei eher traditionellen Unternehmen, die nur Mitarbeiter am Standort beschäftigen.

Wer ist ein mobiler Mitarbeiter?

Der Begriff mobile Mitarbeiter ist nicht auf Selbständige und Auftragnehmer beschränkt. Heutzutage arbeiten manche Mitarbeiter jeden Tag von zu Hause oder einem anderen Ort aus und melden sich gelegentlich, wenn nötig, im Unternehmensnetzwerk an (zum Beispiel während einer Geschäftsreise oder an einem Krankheitstag).

Warum stellen mobile Mitarbeiter eine Cyber-Bedrohung dar?

Mobile Mitarbeiter melden sich in ihrem Unternehmensnetzwerk häufig von ihren eigenen Geräten aus an, die mit hoher Wahrscheinlichkeit Sicherheitslücken aufweisen. Beispielsweise ist es kaum oder gar nicht möglich zu gewährleisten, dass diese Geräte frei von schädlicher Software sind und ordnungsgemäß gepatcht wurden. Darüber hinaus können Unternehmen weniger schnell reagieren, wenn ein mobiler Nutzer einen Fehler macht, der zu unbefugtem Datenzugriff oder sogar zu Datenkompromittierungen führt. Solche Fehler sind zu teuer, als dass man sie ignorieren könnte: Die 2019 vom Ponemon Institute durchgeführte Studie „Cost of Data Breach“ ergab, dass 24 Prozent aller Datenverletzungen auf menschliches Versagen zurückzuführen sind, wobei die Gesamtkosten eines Datenverstoßes circa 120 Euro pro Datensatz betragen. Zu den Kosten zählen sowohl direkte finanzielle Auswirkungen (beispielsweise Geldstrafen bei Compliance-Verstößen und Rechtsstreitigkeiten) als auch indirekte Kosten, die durch eine Reputationsschäden verursacht werden, zum Beispiel durch den Verlust der Kundenbindung und des Markenwerts.

Wie können Sie diese Bedrohungen minimieren?

Die ordnungsgemäße Führung mobiler Mitarbeiter ist unmöglich, wenn nicht genau bekannt ist, was diese in der Cloud-Umgebung des Unternehmens tun. Insbesondere ist ein tiefer Einblick in die Nutzeraktivitäten und in die Firmendaten erforderlich.

Einblick in Nutzeraktivitäten

Durch den Einblick, wer was wo und wann tut, kann verdächtiges Verhalten schnell erkannt werden. Zudem kann die IT-Sicherheit rechtzeitig reagieren, bevor es zum Datenverstoß kommt. Darüber hinaus können Vorfälle gründlich untersucht werden, um zu gewährleisten, dass sie nicht noch einmal auftreten. Ein weiterer Vorteil ist, dass Prüfern auf Nachfrage ein Nachweis der Einhaltung gesetzlicher Vorschriften vorgelegt werden kann. Viele Unternehmen haben immer noch nicht genügend Einblick in die Nutzeraktivitäten: 59 Prozent der von Netwrix befragten Unternehmen, die mobile Mitarbeiter beschäftigen, waren nicht in der Lage, die Bedrohungsakteure hinter den Sicherheitsvorfällen in der Cloud zu ermitteln.

Mit einer Softwarelösung, die eine kontinuierliche Überwachung der Nutzeraktivitäten sowie Echtzeitwarnungen bietet, können Sicherheitsverantwortliche Bedrohungen sofort erkennen, detaillierte Untersuchungen durchführen und Compliance-Audits bestehen.

Einblick in Daten

Mit der Cloud ist das Teilen von Daten leichter denn je. Wenn genau ist, welche Daten vorhanden sind, wo sie sich befinden, welche Daten am vertraulichsten sind und wer Zugriff darauf hat, können die Sicherheitsmaßnahmen sich auf die kritischsten oder vertraulichsten Informationen, wie personenbezogene Daten von Kunden und Mitarbeitern, konzentrieren. Wenn nicht bekannt ist, wo sich vertrauliche Daten befinden, ist es unmöglich, sich mit bewährten Sicherheitsmethoden und entsprechend gesetzlicher Bestimmungen entsprechend schützen.

Mithilfe einer Datenerkennungs- und -klassifizierungslösung können Unternehmen ihre vertraulichen Daten lokalisieren und die entsprechenden Kontrollen anwenden. Wer all seine Daten klassifiziert, erlebt mit einer 5-mal geringeren Wahrscheinlichkeit einen Datenverstoß als diejenigen, die darauf verzichten.

Darüber hinaus ist mithilfe der Erkennung und Klassifizierung von Daten möglich, redundante, obsolete und triviale Daten (ROT) identifizieren. Durch die Bereinigung werden die Kosten für die Datenverwaltung und -speicherung gesenkt und die Produktivität gesteigert, da die Benutzer die benötigten Informationen leichter finden können.

Wie kann Sichtbarkeit das Geschäft ankurbeln?

Der Einblick in ihre Cloud-Umgebungen bietet Unternehmen auch langfristig enorme Vorteile. Zunächst kann das Engagement für den Datenschutz unter Beweis gestellt werden, sobald sie in der Lage sind, die persönlichen Daten ihrer Kunden sicher zu speichern und auf das Verlangen, vergessen zu werden, umgehend zu reagieren. Die daraus resultierende Kundenbindung ist ein klarer Wettbewerbsvorteil.

Durch den Einblick in die Daten und die damit zusammenhängenden Nutzeraktivitäten kann man außerdem den Zeit- und Ressourcenaufwand für die Compliance minimieren und hohe Bußgelder vermeiden. Laut einer Studie von Precise Security, beliefen sich Jahr 2019 sich die Strafen, die im Zuge der DSGVO gezahlt werden mussten, auf insgesamt über 402 Millionen Euro, wobei die höchste Strafzahlung in Deutschland bei der Deutschen Wohnen mit 14,5 Millionen Euro lag. Unternehmen sollten deshalb sicherstellen, dass ihre Daten in der Cloud zu jeder Zeit richtig klassifiziert und vor unberechtigtem Zugriff geschützt sind.

Über den Autor: Jürgen Venhorst ist Country Manager DACH bei Netwrix.

DDoS-Angriffe aus dem Internet der Dinge IoT als Schlaraffenland für Cyberkriminelle

Die Präsenz von IoT-Geräten im Internet nimmt weiter in rasantem Tempo zu – sehr zur Freude der organisierten Cyberkriminalität. Denn diese sieht in den erwarteten 20,4 Milliarden Endgeräten, die voraussichtlich bis zum Ende des Jahres 2020 mit dem Internet verbunden sein werden, eine auf dem Silbertablett servierte Cash Cow.

Es sind nicht nur die privat genutzten intelligenten Uhren, Tablets, Haussteuerungsgeräte, Smart Toys und Autos, die weltweit millionenfach zum Einsatz kommen und deren Sicherheitsfunktionen oft noch nicht ausgereift sind. Auch in vielen Branchen sind Geschäftsmodelle ohne das Internet der Dinge kaum mehr denkbar.

Für die Betreiber von Botnets eröffnet sich so ein reichhaltiges Angebot an Systemen, die geeignet sind, ihren Teil zur nächsten DDoS-Attacke beizutragen. Cybercrime ist heute Mainstream: Studenten können Botnets mieten, um Testplattformen abzuschalten. Nationalstaaten nutzen digitale Waffen für geopolitische Auseinandersetzungen. Bestens ausgebildete Gruppen agieren gemeinsam über Ländergrenzen hinweg und verfolgen bei ihren Datendiebstählen und DoS-Attacken ausschließlich die Gewinnmaximierung.

Das Ausmaß der Bedrohung wird deutlich, wenn man den von Netscout veröffentlichen „Threat Intelligence Report“ für das zweite Halbjahr 2019 aufschlägt. Die Security-Spezialisten überwachen bereits seit 2007 die Entwicklung der Angriffe auf digitale Infrastrukturen, wobei das Active Threat Level Analysis System (ATLAS) Daten aus realen Angriffen und Angriffsversuchen auf Basis von originärer Forschungs- und Infrastrukturdaten sowie aus der automatisierten Malware-Analyse-Pipelines, Sinkholes, Scanner und Honeypots sammelt, analysiert, priorisiert und konsolidiert.

Mit dem IoT boomt auch Mirai

Dem Report zufolge wurde in der zweiten Hälfte des Jahres 2019 ein signifikanter Anstieg von IoT-basierter Malware beobachtet, die größtenteils aus Mirai-Varianten besteht. Waren in 2017 noch rund 35.000 Mirai-Samples identifiziert worden, so lag diese Zahl in 2019 bereits bei mehr als 225.000, die auf 17 unterschiedliche Systemarchitekturen zugeschnitten sind. Dabei zielen die erfolgreichen Angriffe nicht nur darauf ab, sensitive Daten zu entwenden, vielmehr werden kompromittierte Geräte in Botnets integriert. Die Folge sind vermehrte Distributed Denial of Service (DDoS)-Angriffe auf Services, Anwendungen und mobile Netzwerke.

Insgesamt wurden in 2019 rund 8,4 Millionen DDoS-Attacken verzeichnet – dies sind mehr als 23.000 Angriffe pro Tag oder 16 pro Minute. In zwei Dritteln der Fälle waren Unternehmen dabei das Ziel. Gegenüber dem Vergleichszeitraum 2018 stieg die Zahl der Angriffe in der zweiten Hälfte 2019 um stattliche 87 Prozent, wobei der größte abgewehrte Angriff ein Maximalvolumen von 622 Gbit/s erreichte.

Insbesondere die Anbieter von Mobilnetzwerken erlebten im zweiten Halbjahr 2019 einen Anstieg der DDoS-Angriffsfrequenz um 64 Prozent gegenüber des gleichen Zeitraums 2018. Dies war hauptsächlich auf die zunehmende Tendenz zurückzuführen, mobile Geräte als drahtlosen Hotspot zu nutzen. Auch die Beliebtheit von Spielen auf mobilen Geräten mit 4G-Konnektivität trug zu diesem Wachstum bei. Bei der Satellitentelekommunikation verzeichnete man sogar einen Anstieg der Angriffszahl um 295 Prozent. Service Provider berichteten über eine 52-prozentige Zunahme bei den DDoS-Attacken auf öffentlich zugängliche Service-Infrastrukturen, im Vorjahr lag dieser Wert noch bei 38 Prozent.

DDoS als Dienstleistung

Die deutliche Steigerung der DDoS-Angriffszahlen lässt unter anderem den Rückschluss zu, dass sich das Geschäftsmodell DDoS-for-Hire erfolgreich etabliert hat. Dabei stellen DDoS-Profis gegen Entgelt ihre Expertise für Interessierte zur Verfügung, um für den Auftraggeber missliebige Websites in die Knie zu zwingen. Mittlerweile haben diese DDoS-Dienstleister ihre Position als Start-Ups verlassen und arbeiten bei der Monetarisierung ihrer Leistungen so effizient, dass es lediglich fünf Tage dauern kann, bis ein gewünschtes Angriffsziel unter Dauerfeuer genommen wird. Um die notwendige Zahl an Verbindungsanfragen zu generieren, haben kompromittierte IoT-Geräte mittlerweile eine Hauptrolle übernommen. Aktuell zeichnet sich der Trend deutlich ab, auch IoT-Geräte hinter Firewalls anzugreifen, da diese als großzügige Bandbreitenspender erkannt worden sind: Die Zahl der hinter Firewalls befindlichen IoT-Geräte ist 20-mal höher als die der direkt mit dem Internet verbundenen.

Durch neue Angriffsvektoren, den Missbrauch mobiler Hotspots und das gezielte Anpeilen kompromittierter IoT-Endgeräte finden Angreifer hierfür zunehmend erfolgversprechende Wege. Dabei ist auffällig, dass Angreifer meist sparsam mit ihrer Munition umgehen und pro Attacke nur einen kleinen Teil der verfügbaren kompromittierten Geräte nutzen. So kam beim größten von Netscout beobachteten Angriff weniger als ein Prozent der verfügbaren Reflektoren zum Einsatz. Auch in den meisten anderen beobachteten Fällen wurden weniger als drei Prozent der verfügbaren Ressourcen in diesem Angriffsvektor verwendet.

In der Studie ausgeführt ist auch die kontinuierlich steigende Anzahl der Aktivitäten durch staatlich unterstützte Cyberkriminelle, die im Auftrag von Interessengruppen oder Regierungen digitale Ziele attackieren, wobei Unternehmen, internationale Organisationen oder auch NGOs im Fadenkreuz stehen. Dabei kommen Cybertaktiken zum Einsatz, die von Malware- und DDoS-Angriffen bis hin zum Social Engineering reichen. Die ausführenden Advanced Persistent Threats (APT)-Gruppen erhalten dabei nicht nur ihre finanzielle Grundlage vom Staat, sondern können für ihre Attacken häufig auch auf Spitzentechnologien zurückgreifen.

Über den Autor: Kirill Kasavchenko ist Principal Security Technologist, CTO Office bei Netscout.