Unternehmen sind täglich Cyberangriffen ausgesetzt. Entsprechend ist das Interesse deutscher Organisationen an Lösungen. Auf der IT-Defense informierten sich IT-Sicherheitsverantwortliche aus Industrie, Militär und Verwaltung und diskutierten über Fachfragen. Themen waren unter anderem neue Phishing-Methoden und Risiken in Betriebssystemen sowie NIS-2.

Die IT Defense ist eine der erfolgreichsten IT-Sicherheits-Konferenzen in Deutschland. Auch in diesem Jahr war die Veranstaltung (12. bis 14. Februar 2025 in Leipzig) mit knapp 300 Teilnehmern wieder ausgebucht. Veranstalter ist das auf Informationssicherheit fokussierte Beratungsunternehmen cirosec aus dem baden-württembergischen Heilbronn. Gründer und CEO Stefan Strobel hatte vor 22 Jahren die Idee, das Thema Cybersicherheit unterhaltsam und neutral zu vermitteln.

Paula Januszkiewicz, CQUREBei der Auswahl der Vorträge profitiert das Community-Event von einem organisch gewachsenen, vertrauenswürdigen Netzwerk. Die Teilnahme ist kostenpflichtig. Hochkarätige Sprecher wie Paula Januszkiewicz, Linus Neumann oder Dr. Christoph Wegener reden über aktuelle Themen in der Cybersicherheit und geben umsetzbare Hinweise. Auf der Agenda finden sich auch auf den ersten Blick sicherheitsfremde, dennoch strategisch nicht minder wichtige Themen. Bei den neuen Technologien spielt der Faktor Mensch eine wichtige Rolle.

Privilege Escalation für Anfänger

Wie komplex IT-Systeme im Laufe der Zeit werden können und welche Auswirkungen das hat, demonstrierte Januszkiewicz eindrucksvoll in ihrer Keynote. Die Expertin für Microsoft-Betriebssysteme zeigte anhand mehrerer Beispiele, wie einfach es selbst für Laien ist, berechtigte Administratoren einzurichten oder die eigenen Rechte auszuweiten (Privilege Escalation). Zwar ging laut Synergy Research Group der Anteil an Server-Betriebssystemen von Microsoft leicht zurück; mit 42 Prozent macht er dennoch fast die Hälfte aus. Im Rechenzentrum könnte man immerhin noch ein Core-System einsetzen; das hat aber auch nicht nur Vorteile und spätestens beim Desktop entfällt diese Wahl.

Zu mitteilungsbedürftigen Microsoft-Betriebssystemen kommt bei Client-Systemen noch die promiskuitive Firmware von Laptops und anderen Desktop-Geräten hinzu. Dabei macht es keinen Unterschied, ob das Gerät von Asus, Dell, HP oder Lenovo ist – um ein paar der am meisten verbreiteten Hersteller zu nennen. Hersteller Absolute Software hat es geschafft, dass unter dem Deckmantel der IT-Sicherheit – Stichwort Endpoint Detection & Response (EDR) – auf allen Systemen ab Werk ein ultrapersistenter Agent installiert wird. Und als ob das nicht schon schlimm genug ist, wollen die Hersteller der Geräte selbst auch alle möglichen Daten – selbstverständlich nur, um die künftige Nutzererfahrung verbessern zu können.

Die Übermittlung von Telemetriedaten zu unterbinden, ist selbst für erfahrene Administratoren eine Herausforderung. Nicht selten lassen sich die Verbindungen nicht restlos deaktivieren und es sind zusätzliche Einstellungen in sowohl der Windows-eigenen als auch den Netzwerk- und Perimeter-Firewalls nötig.

Bei der Komplexität und vielen standardmäßig enthaltenen Systemrechten auf unterschiedlichen Ebenen sind Fehlkonfigurationen keine Seltenheit. Selbst Experten wie Januszkiewicz raten inzwischen dazu, sich bei Konfigurationsaufgaben von einer KI unterstützen zu lassen. Immerhin integrieren auch immer mehr Hersteller genAI in digitale Handbücher, weil ihnen die Uferlosigkeit der Online-Hilfen selbst schon aufgefallen ist. Microsoft-Anwender fragen vielleicht nicht unbedingt Copilot, sondern unabhängige Tools wie Claude oder ChatGPT. Öffentliche KI-Werkzeuge haben eine größere Auswahl an Quellen, in der Regel weniger Berechtigungen, und die Technologie ist unter Umständen ausgereifter.

Die standardmäßige Übertragung von Telemetriedaten wie die von Windows-Betriebssystemen an Hersteller Microsoft ist dabei nur eines der Sicherheitsrisiken. In neueren Versionen betrifft das weitere Dienste wie Sprachassistenten (z. B. Cortana) oder KI-Unterstützung. Erstellt man beispielsweise ein Hilfsprogramm (Bot) mit Copilot, kann damit ein Rollen- und Berechtigungskonzept gründlich ausgehebelt werden bis hin zu externen Gästen, die möglicherweise klassifizierte Dokumente im SharePoint lesen können. Das Problem sind die bereits in der Grundinstallation enthaltenen Berechtigungen. Dirk-jan Mollema und Inbar Raz verrieten in ihren Vorträgen Windows Hello abuse bzw. Your Copilot is My Insider, wie einfach es für Anwender ohne besondere Berechtigungen ist, gröbste Sicherheits- und Datenschutzverletzungen zu verursachen.

Angreifer lieben Schwachstellen und Fehlkonfigurationen

Privilege Escalation kann auch von extern durchgeführt werden. Laut dem Verizon Data Breach Investigations Report (DBIR) machte Remote Code Execution (RCE) 2024 rund 25 Prozent aller bekannten Angriffe aus. Benötigt werden lediglich eine Schwachstelle und ein so genanntes Rootkit. Letzteres ist kinderleicht im Internet zu beschaffen; notfalls lässt man eines von einem KI-Assistenen wie ChatGPT oder DeepSeek erstellen.

Die beliebtesten Angriffsflächen sind mit 61 Prozent Fehlkonfigurationen. Es folgen Unpatched-Software (36%) bzw. Firmware (10%) sowie veraltete Software (22%). Fast 40 Millionen offene Ports und mehr als 4.000 aus dem Internet erreichbare Industriesteuerungen allein in Deutschland erleichtern potentiellen Angreifern die Arbeit.

Sehr dankbar sind Angreifer auch für nicht beendete, inaktive bzw. dauerhaft offene Verbindungen. RDP ist besonders beliebt, vor allem, wenn der Transportweg nicht verschlüsselt wird.

Obacht vor Vishing

Noch einfacher ist es natürlich, wenn sich Angreifer die Credentials (Username/Passwort) privilegierter Nutzer verschaffen können. Seit Jahren führt Phishing mit 44 Prozent die Liste der Sicherheitsverletzungen an. Relativ neu auf der Angriffsfläche ist Vishing. Hierbei geben sich Anrufer gegenüber Angestellten einer Organisation als Mitarbeiter der IT-Abteilung aus und erfragen Zugangsdaten von Nutzern, speziell Einmalpasswörter (OTP) für Mehrfaktor-Authentifizierungen (MFA). Beängstigend in dem Zusammenhang sind die Möglichkeiten, die KI bietet. Dank genAI werden nicht nur Phishing-E-Mails authentischer; auch Stimmen und Gesichter lassen sich damit täuschend echt imitieren. Telefonnummern zu fälschen, so genanntes Caller-ID-Spoofing, ist schon lange keine Herausforderung mehr; mit Online-VoIP-Anbietern wie Sipgate ist das ganz offiziell möglich.

Wie so ein Angriffsszenario im Detail aussehen kann, demonstrierte ein Berater des Gastgebers der IT-Defense sehr anschaulich. Hier hilft wirklich nur äußerste Aufmerksamkeit. Angreifer kennen natürlich psychologisch wirksame Methoden zur Manipulation und wenden die auch an. Login-Daten sollten nie – wirklich nie – mit jemandem geteilt werden. Seriöse Admins würden auch nie danach fragen. Tut es doch mal einer, sollte man als Anwender sofort auflegen und einen Rückruf bei der eigenen IT-Abteilung tätigen.

Dank SaaS-Plattformen wie Github hilft das alles nichts: Freundlicherweise stellen IT-Teams ihre YAML- und anderen Skripts dort öffentlich zur Schau – samt Credentials in Klartext bzw. idealerweise inkl. passendem API-Key.

Ein Rootkit, sie alle zu finden

Anwender von Produkten von Herstellern wie Microsoft, Cisco oder SAP sind bei Angreifern vor allem wegen der Verbreitung der Produkte beliebte Opfer. Über eine einzige Schwachstelle und mit nur einem Rootkit kann größtmöglicher Schaden verursacht werden. Software-Monolithen wie das Microsoft-Betriebssystem oder SAP sind historisch gewachsen und führen teils jahrzehntealten Code mit sich. Andreas Wiegenstein und Xu Jia sind Experten für SAP-Sicherheit. In ihrem Vortrag gaben sie einen Einblick in die verschiedenen Arten von Sicherheitslücken im SAP-Universum, auf die sie in den letzten 20 Jahren gestoßen sind.

Einem aktuellen Windows-Betriebssystem werden über 50 Millionen Zeilen Code nachgesagt, was ungefähr dem Code-Umfang des Teilchenbeschleunigers am Europäischen Kernforschungszentrum (CERN) entspräche. Dazu kommen unzählige Abhängigkeiten und nachgeladene Programmbibliotheken. Code dieses Umfanges ist unbeherrschbar und kaum sinnvoll auf Sicherheitslücken zu prüfen. Dagegen ist auch das schönste Lieferkettengesetz oder Software-CE-Label machtlos.

Das große NI-cht-S

Die Hoffnung vieler Organisationen ruht auf dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Vor allem hofft man, nicht betroffen zu sein – und nichts machen zu müssen. Die Chancen stehen gut. Je länger über die Umsetzung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union (NIS-2) diskutiert wird, desto mehr Ausnahmen werden gemacht. Ein Ende ist nicht in Sicht. Deutschland steht damit übrigens nicht alleine da. Die EU-Mitgliedstaaten hätten die Vorgaben der NIS2-Richtlinie ursprünglich bis Oktober 2024 in nationales Recht umsetzen müssen. Zum Stichtag hatten nur sieben der 27 EU-Mitgliedsstaaten ein entsprechendes Gesetz verabschiedet.

NIS-2 reiht sich nahtlos ein in den Dschungel regulatorischer Vorgaben auf europäischer Ebene wie der Richtlinie über die Resilienz kritischer Einrichtungen (RCE) oder der Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (CRA). Teilweise Überschneidungen der Umsetzungsgesetze machen es den Organisationen nicht einfacher. Sollte das NIS2UmsuCG irgendwann in Kraft treten, würde es weder ein KRITIS-Dachgesetz für Betreiber kritischer Infrastruktur noch den Digital Operational Resilience Act (DORA) im Finanzsektor ersetzen.

Versäumnisse der Vergangenheit sind ein Kostenfaktor

Die größte Herausforderung ist dabei nicht einmal eine versehentliche Widersprüchlichkeit in all den Vorgaben und gesetzlichen Regelungen. Gefürchtet werden vor allem die mit der Umsetzung verbundenen Investitionskosten. Viele der Betroffenen scheuen, die Versäumnisse der Vergangenheit aufholen zu müssen. Die größte Angst verursachen allerdings die mit einer Umsetzung verbundenen Nachweispflichten. Dokumentation wird zunehmend als Last empfunden und nicht als Chance betrachtet. Geld möchte man dafür lieber nicht ausgeben.

Dabei sollte es den Betroffenen eigentlich egal sein: Hinter den Kulissen wird bereits die Abwälzung der Kosten auf die Verbraucher über Preiserhöhungen diskutiert. Steigende Investitionskosten oder höhere Betriebskosten sollen nicht etwa durch effizientere Betriebsabläufe, Sparmaßnahmen oder Rücklagen gedeckt werden. Man bittet den Verbraucher zur Kasse. Die Hemmschwelle für dieses Vorgehen fiel schon vor langer Zeit. Bereits 2023 gaben die für einen vom eco – Verband der Internetwirtschaft in Zusammenarbeit mit dem Analystenhaus Arthur D. Little herausgegebenen Branchenmonitor Internetwirtschaft Befragten zu, einen Großteil ihres Wachstums mit Preiserhöhungen erreichen zu wollen.

Techniker ist informiert

Neben Fehlkonfigurationen, nicht behobenen Schwachstellen und immer einfacher zu beschaffenden Angriffswerkzeugen sorgen Fachkräftemangel, veraltete IT-Systeme sowie Alarm-Müdigkeit in den IT-Teams für eine Zunahme an Sicherheitsvorfällen. Dabei wäre es gar nicht so schwer, geeignete Maßnahmen zu ergreifen. Eine Strukturanalyse ist ein guter Anfang. Statt Schwachstellen könnte eine Organisation anschließend ihre Angriffsfläche evaluieren (lassen). Damit wäre eine erste Priorisierung erledigt. Mit kontinuierlicher Überwachung der IT-Landschaft inkl. aller Aktivitäten, Verbindungen, Prozesse, Anwendungen und Anwender fielen Verletzungen und Angriffe frühzeitig auf. Klar definierte Rollen- und  Berechtigungen für alle (auch Anwendungen, Prozesse oder Schnittstellen), konsequentes Off-Boarding ausgeschiedener Mitarbeiter und Dekommissionierung nicht mehr benötigter Ressourcen, Zero-Trust-Architekturen, Verschlüsselung von Transportwegen sowie die automatisierte Trennung inaktiver Verbindungen erhöhen das Sicherheitsniveau.

Strukturanalysen können mit Hilfe von Werkzeugen erfolgen und liefern auch gleich eine gute Grundlage für die Dokumentation. Sicherheitskonzepte sind etwas aufwändiger, geben aber wertvolle Hinweise für Verbesserungen einzelner Maßnahmen und eignen sich als Checkliste für die Umsetzung. Gute Vorlagen gibt es unter anderem vom BSI. Wer das Know-how nicht selbst im Haus hat, lässt sich von einem kompetenten Berater helfen oder lagert seine IT an einen Managed Service Provider aus.

Notfallpläne und entsprechende Maßnahmen wie die Installation eines IT-Systems aus einem Image oder das Wiederherstellen von Daten aus einem Backup sollten regelmäßig getestet werden.

Fazit: Risiko geht nicht weg, Abwehrmaßnahmen muss jeder selbst treffen

Sicherheitsrisiken werden nie ganz verschwinden. Achtsamkeit kann nachlassen. Man sollte schon aus eigener, unternehmerischer Verantwortung alles tun, um seine Angriffsfläche so klein wie möglich zu halten. Ein Rollen- und Berechtigungskonzept und Soft- bzw. Hardware auf dem Stand der Technik bilden eine gute Basis. Dokumentation hilft bei der kontinuierlichen Verbesserung seiner Maßnahmen.

Es ist nie zu spät, mit der Umsetzung zu beginnen. Die komplette Verlagerung des Risikos an eine Versicherung in so genannte Cybersicherheitspolicen oder das Warten auf gesetzliche Regelungen, von denen man noch nicht einmal betroffen sein möchte, reduzieren das Risiko von Betriebsausfällen und Umsatzverlusten nicht.