Kleine Cyber-Fehler, großer Schaden

Wir haben mit zwei IT-Experten aus der Praxis gesprochen, die genau wissen, wo diese Cyber-Risiken im Unternehmensalltag lauern. Ihre Einschätzungen und praxisnahen Tipps zeigen, worauf Sie achten müssen, bevor aus kleinen Alltagsfehlern teure Sicherheitsvorfälle werden.

Berechtigungen als Einfallstor: Warum unkontrollierte Zugriffe Cyber-Angriffe erleichtern

Ein neues Projekt startet, ein Kunde braucht kurzfristig Unterstützung, ein Kollege springt als Vertretung ein. In solchen Situationen zählt vor allem eins: dass es schnell geht. Zugriffe auf Ordner, Anwendungen oder Cloud-Dokumente werden pragmatisch vergeben, damit die Arbeit nicht ins Stocken gerät. Das Problem: Die Berechtigungen bleiben oft länger bestehen als nötig. Rollen ändern sich, Projekte enden – doch die Zugänge bleiben. Sie sind nicht sichtbar, stören nicht und geraten genau deshalb aus dem Fokus.

Aus Sicht von David Müller, Head of Support bei der LMIS AG, liegt hier eines der größten, aber zugleich am meisten unterschätzten Risiken in der IT-Sicherheit. „Mit der Gießkanne verteilte Zugriffsrechte sind der Traum jedes Hackers und gleichzeitig der Albtraum für die IT-Sicherheit“, sagt er. Das Problem entstehe selten plötzlich, sondern schleichend: Mitarbeiter sammeln über Jahre hinweg immer mehr Rechte an. Bei Bedarf kommen neue hinzu, werden aber nur selten wieder entzogen.

Für Angreifer ist das besonders attraktiv. David beschreibt es so: Die Wahrscheinlichkeit ist hoch, dass ein kompromittierter Account mehr Zugriff hat, als man im ersten Moment vermuten würde. Gelingt der erste Zugriff, kann sich ein Angreifer häufig ungestört durch die Systemlandschaft bewegen, um sensible Bereiche und Daten zu erreichen. In der IT spricht man hier von „Lateral Movement“ (seitlicher Zugriff innerhalb der Systeme). Die Folge ist ein deutlich größerer Schadensradius – denn: „Je mehr Rechte ein Benutzer hat, desto mehr Schaden kann dieser im Zweifel auch anrichten“.

So stellen zu viele Schreibrechte ein besonderes Problem dar, etwa bei einem Ransomware-Angriff. Der Einstieg in solche Angriffe wirkt dabei oft unspektakulär. „Zunächst versuchen Angreifer in der Regel, Zugriff auf einen einzelnen Benutzer-Account zu erhalten. Dies geschieht oft über Phishing“, erklärt David. Täuschend echt gestaltete Webseiten oder manipulierte Login-Masken gehören dabei ebenso zum Repertoire wie andere Methoden, etwa präparierte USB-Sticks. Ist dieser erste Schritt gelungen, folgt meist die nächste Eskalation: „Durch sogenannte Privilege Escalation versuchen Angreifer, sich erhöhte Rechte zu verschaffen“, beispielsweise indem sie auf Endgeräten nach gespeicherten Passwörtern suchen.

Mit erweiterten Rechten können sich Angreifer anschließend nahezu frei in der Systemlandschaft bewegen. Von der Verschlüsselung ganzer Systeme über Datendiebstahl bis hin zur Spionage ist vieles möglich. Besonders kritisch ist, dass Angriffe häufig erst spät erkannt werden. „Oft vergeht zu viel Zeit, bis der Angriff bemerkt wird, sodass zum Erkennungszeitpunkt in der Regel schon Daten abgeflossen sind“, so David. Zeit spielt in diesem Fall eine entscheidende Rolle. Nach dem ersten Eindringen bleiben dem IT-Team meist nur 15 bis 30 Minuten, um das Eindringen zu erkennen und die Aktivitäten des Angreifers zu stoppen. Danach ist es fast unmöglich. Nicht selten sichern sich Angreifer zusätzlich einen dauerhaften Zugang, indem sie weitere Hintertüren schaffen. Dafür werden häufig Service-Accounts genutzt, etwa von Druckern, da diese „deutlich weniger stark überwacht und gesichert werden als die Accounts von Mitarbeitern“.

Aus Davids Sicht zeigt sich hier ein klares Muster: „Vermeintlich kleine Nachlässigkeiten können im schlimmsten Fall verheerende Auswirkungen haben.“ Berechtigungen dienen Angreifern als Einfallstor, um eigentliche Ziele wie Industriespionage, Erpressung oder Sabotage zu verfolgen. Schutz entsteht vor allem durch zwei Faktoren: durch ein hohes Sicherheitsbewusstsein bei den Mitarbeitern und durch das konsequente „Least-Privilege-Prinzip“. Jeder erhält nur die Rechte, die er für seine Arbeit zwingend benötigt. Das macht Angriffe nicht unmöglich, senkt aber ihre Wahrscheinlichkeit – und begrenzt den Schaden erheblich.

Audit-Logs schaffen Transparenz: Wie lückenlose Protokolle Cyber-Angriffe eindämmen

Damit Angreifer diese Zugriffe nicht unbemerkt ausnutzen können, braucht es nicht nur die richtigen Berechtigungen, sondern auch eine lückenlose Übersicht darüber, wer was in den Systemen tut. Genau hier setzen Audit-Logs an. Sie protokollieren, wer wann auf Systeme oder Daten zugegriffen hat und was geändert oder bewegt wurde. In vielen Unternehmen werden sie jedoch nur teilweise erstellt oder selten überprüft. Ohne diese Transparenz fehlen im Ernstfall Antworten auf zentrale Fragen: Welche Daten waren betroffen? Wie lange lief der Angriff? Wer hatte Zugriff?

Dustin Hoffmann, IT Operation Engineer aus dem Managed Applications Team der LMIS AG, beschreibt das so: „Das Fehlen von Audit-Logs ist wie der Versuch, ein Puzzle im Dunkeln zu lösen, während die Hälfte der Teile fehlt.“ Ohne diese Protokolle sei es kaum möglich, Sicherheitslücken gezielt zu schließen oder die Tragweite eines Angriffs einzuschätzen. „Im schlimmsten Fall merkt man gar nicht, dass bereits andere Systeme oder Accounts betroffen sind“, ergänzt er. Damit diese Transparenz überhaupt entsteht, überwachen Managed Applications Teams die Anwendungslandschaft kontinuierlich, schließt Sicherheitslücken und sorgt dafür, dass Systeme optimal konfiguriert und überwacht bleiben. So lassen sich Angriffsflächen reduzieren und Angriffe frühzeitig erkennen.

Auch die rechtlichen Konsequenzen sind erheblich. Dustin erklärt: „Ohne Audit-Logs lassen sich gesetzliche Anforderungen wie DSGVO oder Branchenstandards wie PCI-DSS nicht nachweisen. Das Fehlen kann sogar zu drastischen Bußgeldern führen, weil nicht nachgewiesen werden kann, ob ein Angreifer auf personenbezogene Daten Zugriff hatte.“

Audit-Logs werden im Alltag häufig unterschätzt. Dustin erläutert: „In der Praxis gibt es einen Unterschied zwischen theoretischer Notwendigkeit und operativer Umsetzung. Sie haben keinen direkten Business-Value, verursachen Kosten und im Idealfall werden sie nie gebraucht, da kein Vorfall eintritt.“ Hinzu kommen Datenschutz-Bedenken: „Ausführliche Logs könnten für Mitarbeiterüberwachung missbraucht werden, deshalb reduzieren Unternehmen das Logging oft auf ein Minimum.“ David ergänzt: „Hierbei geht es jedoch weniger um ein Entweder-oder, sondern um ein sensibles Abwägen zwischen den berechtigten Interessen des Unternehmens und den Persönlichkeitsrechten der Mitarbeiter.“

Dustin erklärt, welche alltägliche Denkweise zu der Vernachlässigung dieser Cyber-Fallen führt: „Wir neigen dazu, unwahrscheinliche Katastrophen auszublenden. Da Audit-Logs für den Worst-Case gedacht sind, sinkt ihre Priorität im Tagesgeschäft. Viele verlassen sich zu sehr auf Präventionsmaßnahmen wie Firewalls und Antivirus und vernachlässigen die Detektion und Rekonstruktion von Vorfällen.“

Audit-Logs sind also weit mehr als ein technisches Detail. Sie ermöglichen es, im Ernstfall schnell zu reagieren, das Schadensausmaß einzugrenzen und gesetzliche Pflichten einzuhalten. Nur wer diese Protokolle konsequent führt und überprüft, behält die Kontrolle über die Systeme und kann Angriffe frühzeitig erkennen und stoppen.

Kleine Fehler, große Folgen: Berechtigungen und Logs richtig im Blick behalten

Berechtigungen und Audit-Logs hängen eng zusammen. Die Rechte bestimmen, wer überhaupt auf Systeme und Daten zugreifen kann, während Audit-Logs sichtbar machen, was nach einem Zugriff tatsächlich passiert. Nur wenn beides konsequent überwacht wird, lassen sich Sicherheitslücken früh erkennen und Vorfälle schnell eingrenzen. Das Zusammenspiel von „wer darf auf was zugreifen“ und „was geschieht mit den Daten“ entscheidet maßgeblich darüber, wie schnell ein Unternehmen reagieren kann und welche Schäden im Ernstfall verhindert werden.

Hinweis: Die in diesem Artikel dargestellten Inhalte beruhen auf unseren praktischen Erfahrungen im Bereich Cyber Security und dienen ausschließlich der Information. Sie stellen keine Beratung dar. Wir übernehmen keine Verantwortung oder Haftung für Handlungen, die auf Basis dieses Beitrags erfolgen.