IT-Sicherheitsreport Nord-Westfalen

Eine umfassende Digitalisierung von Geschäftsprozessen birgt auch Gefahren: Cyberattacken können ein ganzes Unternehmen lahmlegen und Lieferketten abreißen lassen. Der Schutz der digitalen Basis muss zur Priorität für jeden Verantwortlichen für Geschäftsprozesse werden. 

429 Domains und 3483 Server von Unternehmen aus Nord-Westfalen wurden über das Internet inspiziert, um die Sicherheitslage der IT-Infrastruktur zu beurteilen. Dabei wurden keine Systeme gehackt, sondern ausschließlich öffentlich zugängliche Quellen genutzt, um ein Außenbild der IT-Sicherheit zu erstellen. 

Das Ergebnis ist gut und schlecht zugleich. Es zeigt, dass viele Unternehmen IT-Sicherheit mit der notwendigen Aufmerksamkeit betrachten, aber längst nicht alle. Auf etwa sechs Prozent der Server (216 von 3483) wurden 519 Einfallstore für Angreifer entdeckt. Besonders Server, die als Webserver eingesetzt werden, bieten laut Untersuchung große Angriffsflächen.

Im Schnitt sind die identifizierten Sicherheitslücken schon fünf Jahre alt. Einige Lecks sind der IT-Welt sogar schon seit zehn Jahren bekannt. Das heißt, die meisten offenen Türen hätten schon längst geschlossen werden können.

Das heißt, Unternehmen aktualisieren ihre Systeme nur in sehr unregelmäßigen Abständen. Ein Vorgehen das Cyberkriminellen viel Zeit lässt, Lücken auszuspionieren und für ihre Zwecke zu nutzen. Hacker können nicht jede Sicherheitslücke ausnutzen – das hängt auch von der Konfiguration des Systems ab. Dennoch sollte es zur guten Praxis im Unternehmen gehören,  alle vom Hersteller bereitgestellten sicherheitsrelevanten Updates auch zeitnah einzuspielen.

Mail-Server gehören zu den wichtigsten IT-Systemen in Unternehmen. Ihre Sicherheit ist besonders wichtig, weil nicht selten vertrauliche Informationen zwischen Unternehmen und Geschäftspartnern über den E-Mail-Kanal ausgetauscht werden. Rund drei Viertel der untersuchten Unternehmen betreiben eigene Mail-Server. Mehr als die Hälfte dieser Mail-Server nehmen noch Mails an, die nach dem Protokollstandard TLSv1.1 versendet worden sind, der als nicht mehr sicher eingestuft wird. Auf der anderen Seite wird das sichere Protokoll TLSv1.3 gerade einmal von 17 Prozent der untersuchten Mail-Server unterstützt.

Dabei ist es schon seit einigen Jahren verfügbar. Zudem sind bei rund einem Viertel der Systeme die TLS-Einstellungen fehlerhaft konfiguriert. Die Ironie dabei: Weil viele Unternehmen den kommerziellen Cloud-Diensten nicht den Transport und die Speicherung ihres vertraulichen Nachrichtenverkehrs überlassen wollen, betreiben sie selbst Systeme, die veraltet und unsicher sind. 

Eine Herausforderung, die viele Unternehmen unterschätzen, ist die richtige Konfiguration des Namensservice (DNS) – ein Dienst, der Anfragen entsprechend des Namens des gesuchten Systems an den richtigen Server weiterleitet. Wenn ein Angreifer diesen Dienst für seine Zwecke umstellen kann, kann er Anfragen auf seine eigenen Server umleiten und zum Beispiel Mails abfangen. Zur Absicherung gibt es einen Service namens DNSSEC, der manipulierte Anfragen von Angreifern erkennen und zurückweisen kann. Dieser Service war jedoch nur bei neun von 429 untersuchten Domains, also nur bei etwa zwei Prozent, aktiviert. 

Seit es Software in Unternehmen gibt, gibt es Probleme mit Passwörtern. Inzwischen kann man sich von überall auf der Welt über das Internet in Systeme einloggen, wenn die Zugangsdaten des Benutzers bekannt sind. Immer wieder fallen Cyberkriminellen ganze Datenbanken mit Zugangsdaten in die Hände, mit denen sie sich in Systemen einloggen und enorme Schäden verursachen können. Die Untersuchen zeigen, dass auch die nord-westfälische Wirtschaft nicht vor dem Missbrauch verschont geblieben ist. 

Zu den meisten Domain-Namen haben die Experten beim Abgleich mit einer entsprechenden Datenbank nur einzelne Anmeldedaten gefunden, die geleakt worden sind. Diese Fälle deuten darauf hin, dass Beschäftige ihre Firmen-Mail-Adresse für Anmeldungen in anderen Systemen genutzt haben, die dann gehackt worden sind. Problematisch wird es für Unternehmen insbesondere dann, wenn Beschäftigte dieselben Anmeldedaten aus dem Unternehmensumfeld auch für private Zwecke verwenden. Bei einigen Domains wurden sogar Hunderte geleakte Passwörter gefunden.

Viele Unternehmen in Nord-Westfalen nehmen IT-Sicherheit ernst. Weil einige Sicherheitsaspekte häufig vernachlässigt werden, bleibt jedoch die Gefahr bestehen, Opfer einer Cyberattacke zu werden. Dabei lassen sich viele dieser Schwachstellen mit überschaubarem Aufwand beseitigen. Vielen Unternehmen fehlt die externe Sicht auf ihre Systeme – die Analyse aus Sicht des potenziellen Angreifers. So können Schwachstellen besser erkannt und behoben werden.