Benoit warnte davor, sich blind auf Anbieter zu verlassen, besonders beim Schwachstellen- und Patch-Management. Hersteller legten Schwachstellen nicht immer offen, etwa bei veralteten oder nicht mehr unterstützten Produkten, oder lieferten keine Details. Organisationen müssten deshalb selbst aktiv suchen, statt nur auf eine Sicherheitsmeldung zu warten – bevor Angreifer die Lücken ausnutzen.

Im Alltag stoße sie immer wieder auf dieselben Probleme, sagte Benoit – und meine damit nicht die ohnehin überall empfohlene Mehr-Faktor-Authentifizierung, sondern die Dinge, über die selten gesprochen werde. Als Beispiel nannte sie den Anruf eines Kunden, dessen Website gekapert worden war und auf ein Casino auf den Philippinen verwies. Ursache war ein verwundbares CMS, das seit 2018 nicht mehr gepatcht worden war. Der Kunde sah darin kein Problem, weil die Seite “seit 2018 nur einmal” gehackt worden sei – für Benoit kein Argument: Gepatcht werden müsse trotzdem.

Beim Thema Firewalls warnte sie, dass sich Organisationen nicht darauf verlassen könnten, dass diese ihnen zeigen, was nach außen exponiert ist, da die meisten Bedrohungen außerhalb der Firewall entstünden. Sie habe mehr fehlkonfigurierte Edge-Geräte gesehen, als ihr lieb sei. Ihr Rat: Manchmal lohne es sich, zwei EDR-Werkzeuge (Endpoint Detection and Response) parallel zu betreiben, denn “ein EDR wird dich früher oder später im Stich lassen”.

Schlechtes Passwort-Management bezeichnete Benoit als eine der schlimmsten Praktiken. Angreifer hingegen nutzten oft starke Passwörter – in einem Fall habe sie von Angreifern angelegte Backup-Konten gerade daran erkannt, dass die Passwörter “richtig gut” waren. Organisationen sollten kompromittierte Passwörter ausschließen und sie nicht im Klartext speichern; Entwickler sollten keine eigenen Hashing- oder Verschlüsselungsverfahren schreiben. Zwei-Faktor-Authentifizierung helfe erheblich, zumindest für privilegierte Konten mit Zugriff auf Finanz- und Zahlungsdaten.

Gegen Phishing empfahl sie E-Mail-Sicherheitslösungen, die Phishing-Mails abfangen und so die Last von den Nutzern nehmen, kombiniert mit klaren Richtlinien zum Identitätsschutz. Bei den Sicherheitskontrollen sei das Technische leicht umzusetzen, kulturelle Änderungen dagegen schwer – Nutzer reagierten verärgert, wenn sie etwa nicht mehr vom Privatgerät auf E-Mails zugreifen dürften. Ihr Ansatz: Zugriff so weit wie möglich einschränken und Identitäten priorisiert schützen.

Als ihre “Nummer eins der dummen Arten zu sterben” nannte Benoit fehlende Beschränkungen der OAuth-Zustimmung. Microsoft blockiere bei allen Exchange-Online-Mandanten standardmäßig POP und IMAP mit Basisauthentifizierung, doch OAuth erfordere zusätzliche Aufmerksamkeit. Klicke ein Nutzer auf einen Phishing-Link, könne ein Angreifer den Token stehlen, die Mehr-Faktor-Authentifizierung umgehen, eine OAuth-Anwendung registrieren und das gesamte Postfach kopieren. “Wenn ihr es nicht blockiert, werden sie es tun”, sagte sie. Microsofts Empfehlung, Nutzerzustimmung nur für Anwendungen verifizierter Herausgeber zu erlauben, hält Benoit für schlecht – auch legitime, verifizierte Anwendungen wolle man Nutzern nicht überlassen. Stattdessen empfahl sie, in Entra ID die Nutzerzustimmung ganz zu unterbinden.

Gute Beziehungen zu Entwicklern seien eines der Besten, was man für ein Sicherheitsprogramm tun könne. Wer Schuld zuweise, mit dem arbeiteten Entwickler nicht zusammen; wer sie gut behandle, gewinne sie als Partner – dann verrieten sie “ihre Kumpel” und auch sich selbst.