Was die Schweizer IT-Bedrohungslandschaft im September geprägt hat

Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?

Achim Freyer: Die grösste Bedrohung für Schweizer Unternehmen ist weiterhin Phishing. Im September war eine Variante der Agent-Tesla-Malware weltweit eine der Hauptursachen für erfolgreiche Malware-Angriffe mit schweren Folgen. Parallel dazu ist immer noch eine hohe Aktivität im Bereich Vishing zu bemerken. Beispielsweise versuchen dabei vermeintliche Microsoft-Mitarbeitende, Admin- oder Remote-Zugriff auf Systeme zu erhalten. Social Engineering spielt hierbei eine sehr grosse Rolle, wie man ja auch im internationalen Umfeld wie beim erfolgreichen Angriff Anfang September auf die Casinos in Las Vegas beobachten konnte

Wie kann man sich davor am besten schützen?

Das schwächste Glied in der Kette bleiben die Mitarbeitenden. Security-Awareness-Trainings sollten regelmässig durchgeführt werden, um Mitarbeitende auf Gefahren aufmerksam zu machen und sie zu sensibilisieren. Wie wir in unserem aktuellen Global Threat Landscape Report verdeutlichen, muss zusätzlich darauf geachtet werden, dass bekannte Schwachstellen in Software jeglicher Hersteller unverzüglich gepatched werden, alternativ auch über sogenanntes virtuelles Patching. Das Beispiel der Agent-Tesla-Malware ist exemplarisch. Viele Kunden haben die bereits seit 2017 bekannten Schwachstellen in der MS-Office-Software noch nicht gepatched. Für die Unternehmen kann dies potenziell katastrophale Folgen haben, zum Beispiel in Form von Credential-Diebstahl oder Keylogging.

Unternehmen können sich mithilfe von modernen Firewalls mit aktuellen IPS-Signaturen sowie Sandbox-Lösungen für unbekannte Varianten und mit spezifischen Mail-Schutz-Produkten vor diesen Gefahren schützen. Ausserdem sollten Endpoint-Produkte wie Desktops und Notebooks durch ein Client-Monitor-System daraufhin überwacht werden, dass eine Erfassung der installierten Software-Versionen zentral und automatisch generiert werden kann. Dadurch können Updates und Patches entsprechend verteilt werden oder die Clients durch eine zentrale Management-Software von gewissen Diensten automatisch ausgeschlossen werden, bis ein Patching erfolgt ist.

Interessierte können den vollständigen Global Threat Landscape Report von Fortinet hier als PDF lesen.

Achim Freyer, Country Manager Schweiz bei Fortinet. (Source: Netzmedien)

Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?

1. Es kann nicht genug in die Mitarbeiterschulung investiert werden.
2. Die Geschäftsführung eines jeden Unternehmens sollte sich in einem Dashboard aufzeigen lassen, welche potenzielle Risiken durch ungepatchte Systeme jeglicher Art (Printer, Mobiltelefone, OT, Clients, installierte Firmware und Software) innerhalb des Unternehmens bestehen. Auch hier existieren zentrale Lösungen, die solche Übersichten geben.

Was sollten Schweizer Unternehmen jetzt tun - in Bezug auf die IT-Sicherheit?

Schulung, Schulung, Schulung - und einen Plan erstellen oder vervollständigen, welcher die existierenden Lösungen basierend auf dem NIST-Rahmenwerk "Identify, Protect, Detect, Respond und Recover" aufzeigt und gegebenenfalls komplettiert.

Wie wird sich die Bedrohungslandschaft in den nächsten Monaten wohl entwickeln?

Mit dem Jahresende nimmt der Druck innerhalb der Unternehmen erfahrungsgemäss zu. Ein erhöhtes Auftragsvolumen bei Kunden bedeutet oft auch, dass unter Zeitdruck und mit kurzen Wartungsfenstern gearbeitet wird. Oft werden dringende Patches in Q4 nicht installiert, um ein laufendes System nicht unstabil werden zu lassen. Angreifer wissen das, und die Intensität, mit der vor allem Zero-Day-Exploits in dieser Zeit für Angriffe verwendet werden, wird extrem steigen. Dank KI werden Angreifer zudem bekannte Malware sehr leicht abändern, wodurch die Varianten Schutzmechanismen umgehen können, welche nicht selbst auch mit KI-basierten Lösungen geschützt werden. Time To Attack - die Zeit zwischen der Veröffentlichung von Schwachstellen und deren grossangelegte Ausnutzung - wird wohl weiter reduziert werden.

Übrigens: Weshalb Achim Freyer keine Phishing-SMS löscht, was ihn zur Security-Branche brachte, wie sein erster Kontakt mit Viren & Co. aussah und welche Pläne er mit Fortinet verfolgt, verrät der Schweiz-Chef von Fortinet hier im Interview.

Was 2023 bisher geschah

• Was die Schweizer IT-Bedrohungslandschaft im August geprägt hat, lesen Sie hier (eine Einschätzung von Marcel Zumbühl, CISO der Schweizerischen Post).

• Was die Schweizer IT-Bedrohungslandschaft im Juli geprägt hat, lesen Sie hier (eine Einschätzung von Philipp Grabher, CISO des Kantons Zürich).

• Was die Schweizer IT-Bedrohungslandschaft im Juni geprägt hat, lesen Sie hier (eine Einschätzung von Niklaus Manser, Head of IT Security Consulting bei Swiss Infosec).

• Was die Schweizer IT-Bedrohungslandschaft im Mai geprägt hat, lesen Sie hier (eine Einschätzung von Katja Dörlemann, Security Awareness Expert bei Switch und Präsidentin der SISA).

• Was die Schweizer IT-Bedrohungslandschaft im April geprägt hat, lesen Sie hier (eine Einschätzung von René Buff, Leiter Cyber Committee bei Helvetia Versicherungen).

• Was die Schweizer IT-Bedrohungslandschaft im März geprägt hat, lesen Sie hier (eine Einschätzung von Stephan Schweizer, CEO von Nevis Security).

• Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat, lesen Sie hier (eine Einschätzung von Sascha Maier, Group CISO der SV Group).

• Was die Schweizer IT-Bedrohungslandschaft im Januar geprägt hat, lesen Sie hier (eine Einschätzung von Gregor Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult).

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.