Kay Ernst von Zero Networks, Experte für Mikrosegmentierung, zeigt auf, was Sicherheitsverletzungen sind und wie sich verhindern lassen, damit sie nicht zur verheerenden Datenpanne werden. Ebenso aufgezeigt wird, warum die Eindämmung – und nicht die Erkennung – der Schlüssel zu einer modernen Incident Response ist.

Sicherheitsverletzungen werden buchstäblich von Sekunde zu Sekunde häufiger, mit mehr als 600 Millionen Cyberangriffen weltweit pro Tag. Aber nicht jede Sicherheitsverletzung ist gleich – während einige zu Ransomware-Angriffen mit Schäden in Millionenhöhe führen, können andere sofort ohne Betriebsunterbrechungen eingedämmt werden. Cyberkriminelle gehen immer raffinierter vor, Netzwerke werden immer grösser und Sicherheitsteams haben Mühe, Schritt zu halten.

Was ist eine Sicherheitsverletzung?

Eine Sicherheitsverletzung ist jeder unbefugte Zugriff auf Daten, Systeme, Netzwerke oder Dienste, bei dem ein Eindringling Sicherheitsmassnahmen umgeht, um an geschützte Ressourcen zu gelangen. Jeder erfolgreiche Hack ist eine Sicherheitsverletzung, aber nicht jede Verletzung führt zu einer Katastrophe.

Unabhängig davon, ob sie durch Cyberkriminelle, bösartige Anwendungen oder Fehler von Mitarbeitern verursacht werden, führen Sicherheitsverletzungen häufig zu Datenverlusten, Betriebsunterbrechungen, Rufschädigung und Compliance-Verstössen. Sie können die Exfiltration oder Beschädigung von Daten oder einfach die Offenlegung sensibler Informationen beinhalten.

Sicherheitsverletzung und Datenverletzung: Was ist der Unterschied?

Obwohl die Begriffe oft synonym verwendet werden, gibt es einen bedeutenden Unterschied zwischen einer Sicherheitsverletzung und einer Datenverletzung (oder auch Datendiebstahl, Datenpanne): Eine Sicherheitsverletzung ist weiter gefasst und umfasst jede Verletzung einer Sicherheitsrichtlinie, einschliesslich Angriffe, die nicht mit Datenverlust verbunden sind (z. B. Denial-of-Service-Angriffe oder unbefugter Systemzugriff). Eine Datenverletzung bezieht sich speziell auf die Offenlegung oder den Diebstahl sensibler Informationen (z. B. Kundendaten, geschützte Gesundheitsdaten oder Finanzdaten).

Um einen Einbruch in ein Haus als Metapher zu verwenden: Eine Sicherheitsverletzung würde vorliegen, wenn der Einbrecher durch eine unverschlossene Tür oder durch Einschlagen eines Fensters Zugang zum Haus erhält. Eine Datenverletzung würde hingegen vorliegen, wenn der Einbrecher nach dem Eindringen Wertgegenstände wie Bargeld oder teuren Schmuck stiehlt.

In der Welt der Cyberkriminellen sind „Wertsachen“ beispielsweise Finanzdaten, geistiges Eigentum oder personenbezogene Daten von Kunden. Obwohl es einen wichtigen Unterschied zwischen diesen beiden Begriffen gibt, kann es keine Datenverletzungen geben, wenn ihnen keine Sicherheitsverletzungen vorausgehen – mit anderen Worten: Die Verhinderung von Datenverletzungen bedeutet die Verhinderung von Sicherheitsverletzungen.

Arten von Sicherheitsverletzungen

Sicherheitsverletzungen können durch eine Vielzahl von Angriffen und Schwachstellen verursacht werden. Zu den gängigen Methoden von Angreifern und deren typischer Vorgehensweise in realen Umgebungen gehören Viren, Spyware, Malware, Phishing, Ransomware, Denial-of-Service-Angriffe (DoS) und Insider-Angriffe.

Ob böswillig oder versehentlich, Insider verfügen oft über privilegierte Zugriffsrechte, mit denen sie externe Abwehrmassnahmen umgehen können. Insiderangriffe können durch missbräuchlich verwendete Anmeldedaten oder unzureichende Zugriffskontrollen entstehen – überprivilegierte Administrator- und Dienstkonten machen es Insiderangriffen nur allzu leicht, erfolgreich zu sein.

Was verursacht Sicherheitsverletzungen?

Hinter jeder Sicherheitsverletzung steht ein Sicherheitsversagen – ein versäumtes Update, ein flaches Netzwerk, ein unsicheres Fernverwaltungsprotokoll. Sicherheitsverletzungen haben unzählige Ursachen, aber zu den häufigsten gehören fehlende Netzwerksegmentierung, veraltete Anwendungen oder Betriebssysteme, schwache Passwörter und unzureichende MFA sowie unzureichende Mitarbeiterschulungen oder Sensibilisierungsprogramme. Selbst die besten Tools können nicht verhindern, dass ein Benutzer auf einen bösartigen Link klickt oder einen nicht autorisierten USB-Stick anschliesst. Schulungen müssen kontinuierlich, realistisch und auf die sich entwickelnden Bedrohungen zugeschnitten sein.

Beispiele für Sicherheitsverletzungen: Aus realen Cyberangriffen lernen

Weltweit finden täglich mehr als 600 Millionen Cyberangriffe statt, doch nur ein kleiner Prozentsatz davon schafft es in die Schlagzeilen. Im Jahr 2024 wurde das Netzwerk von MITRE durch einen Angreifer kompromittiert, der Zero-Day-Schwachstellen in Ivanti Connect Secure ausnutzte. Einmal im System, bewegte sich der Angreifer trotz der fortschrittlichen Abwehrmassnahmen von MITRE lateral durch die Umgebung.

Der Vorfall machte deutlich, wie Segmentierungslücken und Vertrauensannahmen zwischen Systemen ausgenutzt werden können – und dass selbst Elite-Organisationen nicht vor lateralen Bewegungen gefeit sind. Nach dem Vorfall veröffentlichte MITRE sechs allgemeine Empfehlungen zur Absicherung von Netzwerken und zur Verbesserung der Cyberabwehr:

Starke Authentifizierung: Implementierung robuster Zugriffskontrollen, einschliesslich starker Multi-Faktor-Authentifizierungsmechanismen und Prinzipien der geringsten Berechtigungen.
Regelmässiges Patch-Management: Systeme und Software auf dem neuesten Stand halten, um bekannte Schwachstellen zu schliessen.
Netzwerksegmentierung: Einsatz von Netzwerksegmentierung, um die Auswirkungen einer potenziellen Sicherheitsverletzung zu begrenzen und böswillige Aktivitäten einzudämmen.
Zugriff mit geringsten Rechten: Benutzerrechte einschränken, um die Auswirkungen kompromittierter Anmeldedaten zu begrenzen.
Schwachstellenbewertungen: Durchführung regelmässiger Sicherheitsbewertungen und Penetrationstests, um Schwachstellen proaktiv zu identifizieren und zu beheben.
Threat Intelligence-Programm: Verfolgen von Berichten aus vertrauenswürdigen Quellen wie den Cybersicherheitshinweisen der CISA, die Erkennungs- und Abwehrtechniken enthalten, um entsprechende Massnahmen zu ergreifen.

Wie sich Sicherheitsverletzungen verhindern lassen

Eine umfassende Datenverletzung kann verhindert werden, selbst wenn Angreifern der erste Zugriff auf das Netzwerk gelingt. Die widerstandsfähigsten Unternehmen sichern nicht nur ihre Netzwerkgrenzen und hoffen, dass keine Sicherheitsverletzungen auftreten, sondern bauen mehrschichtige Abwehrmechanismen auf, die erfolgreiche Angriffe erschweren und leicht eindämmen lassen.

Diese bewährten Strategien tragen dazu bei, Risiken zu reduzieren, übermässigen Zugriff zu verhindern und die Umgebung gegen opportunistische und gezielte Bedrohungen zu schützen. Dazu gehören die Implementierung einer granularen Netzwerksegmentierung, die Durchsetzung von MFA Everywhere, die Anwendung von Least Privilege Access Policies und die Deaktivierung unnötiger Ports und Dienste. Ebenso wichtig sind regelmässige Audits, die Einhaltung guter Cyber-Hygiene, die Einrichtung robuster Schulungs- und Sensibilisierungsprogramme und die Einführung einer Zero-Trust-Mentalität.

Die wichtige Rolle von Zero Trust

Zero Trust ist kein Produkt, sondern eine Denkweise und ein Betriebsmodell. Es geht davon aus, dass kein Benutzer, kein Gerät und keine Anwendung (intern oder extern) standardmässig vertrauenswürdig ist. Jede Anfrage muss überprüft, kontinuierlich bewertet und auf den erforderlichen Mindestzugriff beschränkt werden.

Die Einführung von Zero Trust hilft Unternehmen, Sicherheitsverletzungen einzudämmen, geringstmögliche Berechtigungen durchzusetzen und sich an moderne Bedrohungen anzupassen. Von der Netzwerksegmentierung bis hin zur Identitätsprüfung erfordert Zero Trust mehrschichtige Kontrollen, die zusammenwirken, um laterale Bewegungen zu blockieren und die Gefährdung zu begrenzen.

Proaktive Eindämmung von Bedrohungen

Eine zeitgemässe Prävention von Sicherheitsverletzungen muss einfach und skalierbar sein. Eine automatisierte Mikrosegmentierungslösung isoliert und neutralisiert in Echtzeit, setzt im gesamten Netzwerk geringstmögliche Berechtigungen durch und wendet Just-in-Time-MFA an, um gängige Angriffswege zu sperren. Mit diesem Ansatz können Unternehmen Host-OS-Firewalls für eine umfassende Segmentierung ohne Unterbrechungen orchestrieren, Administrator- und Dienstkonten mit identitätsbasierten Zugriffskontrollen sperren und Sicherheitsverletzungen automatisch eindämmen, bevor sie eskalieren.