Mit der Digitalisierung rücken Netzwerkinfrastrukturen immer stärker in den Fokus von Cyberkriminellen. Die raffinierten Angriffsmethoden stellen dabei insbesondere Unternehmen mit begrenzten Ressourcen vor Herausforderungen. Doch es gibt Maßnahmen, um das Unternehmen zu schützen.
Netzwerksicherheit: Unternehmen sollten es Cyberkriminellen so schwer wie möglich machen, ihre Netzwerkinfrastrukturen anzugreifen.
vegefox.com / stock.adobe.com
Die Netzwerkinfrastruktur umfasst alles, was mit der digitalen Umgebung eines Unternehmens verbunden ist: Hardware-Komponenten, Server, Endnutzer-Systeme wie Laptops, Drucker, virtuelle Meeting- und Konferenz-Systeme, Drucker, Internet-of-Things-Geräte (IoT), Appliances wie Firewalls und alle verwendeten Software-Anwendungen und Betriebssysteme. Sicherheitsvorfälle und erfolgreiche Cyberangriffe auf diese technischen Einfallsvektoren können fatale Folgen haben: längere Ausfallzeiten, Reputationsverlust und finanzielle Schäden, die mitunter existenzbedrohend sind. Daher ist der Schutz der Netzwerkinfrastruktur von entscheidender Bedeutung und sollte für Organisationen und deren Entscheidungsträger sowie Sicherheitsverantwortliche oberste Priorität haben.
Die Einrichtung einer Firewall oder ähnliche vereinzelte Maßnahmen reichen zum Schutz der Netzwerkinfrastruktur nicht aus. Stattdessen müssen alle Komponenten holistisch geschützt werden. Maßnahmen umfassen den Einsatz von Softwareanwendungen wie SASE, Mail-Security, Proxies, Antivirenprogrammen und Priviledged-Access-Management-Lösungen (PAM) bis hin zu Managed Detection and Response (MDR).
Gleichzeitig gibt es keinen einheitlichen One-Size-Fits-All-Maßnahmenkatalog für die Sicherheit der Netzwerkinfrastruktur: Die benötigten Sicherheitsaktivitäten variieren je nach Unternehmensgröße, Branche und Organisation. Eines gilt jedoch immer: Mit dem alleinigen Schutz der externen Grenzen ist es nicht getan, da für heutige äußerst komplexe Netzwerke und Cloud-first-Umgebungen die Grenzen nach außen nicht mehr klar zu definieren sind und sich permanent verschieben. Der Unternehmensperimeter erodiert. Daher sich Maßnahmen wie Netzwerksegmentierung, Beschränkung der lateralen Kommunikation, VPN-Nutzung und Access Management wichtige Schritte, um das Cyberrisiko für die Netzwerkinfrastruktur so gering wie möglich zu halten.
Schwachstellen gilt es so früh wie möglich aufzudecken
Die regelmäßige Durchführung interner und externer Schwachstellen-Scans ist ein proaktiver Ansatz zum Schutz von Netzwerkinfrastrukturen vor bekannten Sicherheitslücken. Mit externen Schwachstellen-Scans werden externe IP-Adressen und Domänen geprüft. Diese Scans decken dabei nicht nur Schwachstellen auf, sondern listen auch die dem Internet ausgesetzten Ports auf. Interne Scans sind meist komplexer als externe, da es im Unternehmen oft mehr potenziell anfällige Geräte gibt. Diese Scans erkennen und katalogisieren die IP-verbundenen Endpunkte wie Laptops, Server, Peripheriegeräte, IoT-fähige Maschinen und mobile Geräte und überprüfen diese auf Fehlkonfigurationen oder Software, die nicht mehr auf dem neuesten Stand ist. Wurden die potenziellen Bedrohungen und Schwachstellen aufgespürt, müssen diese je nach Kritikalität ggf. sogar sofort gepatcht werden.
Zugriffskontrollen schränken den Zugang der Nutzer auf Anwendungen ein, sodass sie nur noch auf solche Applikationen zugreifen können, die sie in ihrer täglichen Arbeit wirklich brauchen. So kann verhindert werden, dass sich Bedrohungsakteure, die die Zugangsdaten eines legitimen Nutzers erbeutet haben, ungebremst und lateral im Netzwerk ausbreiten können. Zu den gängigen Zugangskontrollen gehören die Multi-Faktor-Authentifizierung (MFA), Zero Trust Network Access (ZTNA) oder SASE (Secure Access Service Edge) und die Anwendung des Least-Privilege-Prinzips (PoLP).
Auch müssen Unternehmen sicherstellen, dass Fernzugänge wie das Remote-Desktop-Protokoll (RDP) nicht dem Internet ausgesetzt ist. Remote-Nutzer sollten jederzeit mit einem VPN verbunden sein und MFA implementieren (auch für den VPN Zugang). Denn: Wenn Cyberkriminelle keinen Zugriff haben, können sie Applikationen auch nicht ausnutzen. Darüber hinaus kann eine Cloud Security Posture Management (CSPM)-Lösung Unternehmen dabei unterstützen, Sicherheits- und Konfigurationslücken in ihrer Cloud-Infrastruktur zu erkennen und zu schließen.
Bedrohungsakteure halten sich nicht an die gesetzlichen Arbeitszeiten: Laut dem Arctic Wolf Security Operations 2024 Report werden 45 Prozent der Security Alerts außerhalb der werktäglichen Arbeitszeiten generiert, weitere 20 Prozent an Wochenenden. Das verdeutlicht: Das Monitoring der Netzwerkinfrastruktur muss rund um die Uhr erfolgen. Die durch das Monitoring gewonnenen Daten ermöglichen es Unternehmen, Vorfälle rechtzeitig zu erkennen und schnell zu verstehen, welche Teile des Netzwerks betroffen sind. Dann können erfolgreich angegriffene Geräte und Nutzer schnell isoliert werden, um eine weitere Ausbreitung der Angreifer in der Infrastruktur zu vermeiden.
Unternehmen brauchen einen Incident-Response-Plan
Die oben genannten Sicherheitsmaßnahmen sind für den Schutz der Netzwerkinfrastruktur entscheidend. Da sich die Sicherheitslage immer weiter anspannt, wie auch das BSI im aktuellen Lagebericht der IT Sicherheit bestätigt, und die Angriffsflächen sich durch die fortschreitende Digitalisierung stetig vergrößern und die Methoden der Cyberkriminellen immer ausgereifter werden, ist es nur eine Frage der Zeit, bis ein Cyberangriff erfolgreich verläuft. Um sich dagegen zu wappnen, müssen Unternehmen einen Incident-Response-Plan in der Hinterhand haben, der im Ernstfall zum Einsatz kommt und vorab schon Verantwortlichkeiten festlegt und Maßnahmen vorsieht, um die Business Continuity zu gewährleisten und Schäden so gering wie möglich zu halten.
Vor allem kleinere und mittelständische Unternehmen – aber nicht nur diese –, deren Ressourcen begrenzt und deren IT-Teams bereits durch andere Aufgaben ausgelastet sind, haben die Möglichkeit, mit einem SOC-as-a-Service-Anbieter zusammenzuarbeiten. Dieser bringt die nötige Manpower, Expertise und Technologie in die Partnerschaft ein und unterstützt so proaktiv beim Schutz der Netzwerkinfrastruktur.
Die Berichterstattung war in 2024 voll von Meldungen über Ausnutzungen von Schwachstellen in beliebten und breit eingesetzten Anwendungen und Zero-Day-Angriffe, wie bei der jüngst bekannt gewordenen Schwachstelle in der Cleo-Software. Jedes Jahr nimmt die Zahl diese erfolgreichen Angriffe weiter zu, wobei die Attacken gleichzeitig durch den Einsatz modernster Technologien immer ausgeklügelter werden. Die Verteidigerseite sollte es Cyberkriminellen im Gegenzug so schwer wie möglich machen, Netzwerkinfrastrukturen zu kompromittieren. Eine umfassende Sicherheitsstrategie mit proaktiven, detektiven und responsiven Sicherheitsmaßnahmen stellt bei dieser Bedrohungslandschaft den besten und einzig wirksamen Schutz gegen Cyberangriffe dar.
