Geschäfts­partner als Sicherheitsrisiko?

 Geschäfts­partner spielen nicht nur für den Erfolg eine wichtige Rolle, sie können auch ein nicht uner­heb­liches Sicher­heits­risiko darstellen.

Kleine bis mit­tel­große Unter­nehmen sind für sich betrachtet häufig kein inter­es­santes Ziel für gezielte Attacken. Aller­dings werden sie von Cyber­kri­mi­nellen gerne als Sprung­brett benutzt, um ihre grö­ßeren Geschäfts­partner anzu­greifen. Das funk­tio­niert, weil kleine Unter­nehmen oftmals kein spe­zia­li­siertes Per­sonal, damit nur wenig IT-Sicher­heitsknow-how und kaum Mög­lich­keiten haben, Angriffe zu erkennen bzw. falls sie diese erkennen die Wurzel des Übels auszumerzen.

Die großen Unter­nehmen wie­derum befassen sich häufig nicht intensiv genug mit den Risiken, die ihnen durch Dritte drohen können. Sie ver­teilen häufig nur Fra­ge­bögen zur Risi­ko­be­wertung an ihre Geschäfts­partner. Diese beant­worten die Fra­ge­bögen zwar nach bestem Wissen und Gewissen, aller­dings klafft hier häufig eine große Lücke zwi­schen der Selbst­ein­schätzung der KMU und deren tat­säch­licher Sicherheitslage.
Das Unter­nehmen Datumsec führt in regel­mä­ßigen Abständen Unter­su­chungen durch und ver­öf­fent­licht die Ergeb­nisse. Fol­gende Punkte machen  die Zusam­men­arbeit mit kleinen Unter­nehmen so riskant für ihre großen Geschäftspartner:

Der Bodensatz

Es gibt immer einen gewissen Pro­zentsatz von KMUs der nicht aus­rei­chend abge­si­chert ist. Während 75 % der unter­suchten kleinen Unter­nehmen ver­hält­nis­mäßig gut abge­si­chert waren, wiesen die rest­lichen 25 % erheb­liche Sicher­heits­mängel auf. Ins­be­sondere sind hier offene Ports, ver­altete Anwen­dungen und Dienste im Unter­neh­mens­netzwerk, DNS-Fehl­­kon­­fi­­gu­ra­­tionen und unver­schlüs­selte Login-Portale als Schwach­stellen zu nennen.
 

Pro­bleme bei der Umsetzung

Manche Unter­nehmen schneiden bei der externen Bewertung gut ab, haben aber bei der internen Umsetzung von Sicher­heits­fragen erheb­liche Pro­bleme. Bei­spiels­weise gaben sie im Fra­ge­bogen an, regel­mäßig zu patchen, wenn aber über­prüft wurde, wie sie tat­sächlich patchen, schnitten sie erheblich schlechter ab.

Feh­lender Antimalwareschutz

24 % der über­prüften Unter­nehmen hatten keinen Anti­mal­wa­re­schutz. Das sind zwar erheblich weniger als 2009, als Symantec in einer ähn­lichen Studie her­ausfand, dass 59 % der Unter­nehmen keinen Anti­mal­wa­re­schutz nutzen. Aber auch wenn mitt­ler­weile viele Sicher­heits­ex­perten pro­pa­gieren, dass der Anti­vi­ren­schutz tot ist, und es bei den gegen­wär­tigen Risiken nicht mehr aus­reicht nur die End­punkte abzu­si­chern, finden noch genügend Angriffe an den End­punkten statt. Man kann sich aus­malen, was das für die Geschäfts­partner der betrof­fenen KMUs bedeutet.

Man­gel­hafte Ver­waltung der Benutzerkonten

Das ist deshalb als kri­tisch zu bewerten, weil der Nutzer ja das schwächste Glied der Sicher­heits­kette ist. 59% der über­prüften Unter­nehmen hatten „Geis­ter­konten“, die min­destens ein Jahr lang nicht genutzt wurden. 79% der über­prüften Unter­nehmen hatten in diesem Zeitraum die Pas­sörter für Benut­zer­konten nicht gewechselt.

Windows XP Arbeitsplätze

Obwohl Windows XP bereits vor über 2 Jahren abge­kündigt wurde fanden sich bei mehr als 5 % der Unter­nehmen noch Windows XP Arbeits­plätze. Da diese nicht mehr gepatcht werden können, sind sie ein Sicherheitsrisiko.
Wenn man diese Ergeb­nisse betrachtet, ist es kein Wunder mehr, dass KMUs oft als schwächstes Glied in der Sicher­heits­kette ihrer grö­ßeren Geschäfts­partner ange­sehen werden.