Aktuelles, Branche - geschrieben von am Samstag, Juli 2, 2011 23:28 - 2 Kommentare

Stonesoft findet klare Worte: Schutz der Daten ist Top-Management-Thema

Dauerhafte Veränderung der Gefahrenlage erzwingt Umdenken der Unternehmensleitungen bei der Datensicherheit

[datensicherheit.de, 02.07.2011] Stonesoft, weltweiter Anbieter integrierter Lösungen für Netzwerksicherheit, fordert Unternehmen auf, ihre bisherigen IT-Sicherheitsstrategien zu überprüfen. „Wikileaks“, „Stuxnet“, die Entdeckung von „Advanced Evasion Techniques“ (AETs) und der Angriff auf RSA hätten die Sicherheitslandschaft dauerhaft verändert. Unternehmen sollten deshalb ihr Risikomanagement sowie ihre Sicherheitsarchitektur an die neue Gefahrenlage anpassen:
Je wertvoller die gespeicherten Informationen eines Unternehmens sind, desto größer ist das Risiko für einen Angriff. Die IT-Sicherheitsstrategie sollte daher zum Verantwortungsbereich des Top-Managements gehören und nicht allein den IT-Verantwortlichen überlassen werden.
Sowohl „Wikileaks“ als auch „Stuxnet“ hätten gezeigt, dass jede Institution Ziel von Datendiebstahl oder erfolgreicher Cyber-Attacken werden könne. Dabei gebe es Organisationen und/oder Einzelpersonen, die über die Ressourcen und Kompetenzen verfügten, um hochentwickelte, gezielte Attacken auf Unternehmen durchzuführen – vor allem, wenn es dabei um viel Geld geht. Insbesondere Informationen und Daten, deren Veröffentlichung für das Unternehmen geschäftsschädigend wäre, müssten deshalb entsprechend geschützt werden, fordert Stonesoft.
Die 2010 von Stonesoft entdeckten „Advanced Evasion Techniques“ (AETs) sind eine neue Art von „Evasion“-Techniken. AETs lassen sich beliebig ändern oder kombinieren, um Sicherheitssysteme zu umgehen. Dadurch haben Hacker eine Art Generalschlüssel, mit dem sie Schadsoftware unbemerkt selbst in geschützte Netzwerke einschleusen können. Die Sicherheitsbranche habe sich laut Stonesoft bisher zu stark auf die Geschwindigkeit und Vermarktung ihrer Produkte konzentriert und dabei das Wichtigste vernachlässigt, nämlich echte Sicherheit. Nach der Entdeckung von AETs liegt es nun an den Unternehmen selbst, ihre Sicherheitsarchitektur zu überprüfen und einen ausreichenden Schutz für unternehmenskritische Daten und Systeme sicherzustellen.

© 2011 Stonesoft Germany GmbH

© 2011 Stonesoft Germany GmbH

Hermann Klein, „Country Manager DACH“ von Stonesoft: Sicherheit ist Aufgabengebiet des Top-Managements!

Überblick von Stonesoft über aktuelle Sicherheitsvorfälle:

NASDAQ, 2010
Hacker verschafften sich mehrmals Zugang zum Computernetzwerk des Betreibers der NASDAQ-Börse. Dieser Fall stellt die Behörden vor zwei Herausforderungen – die Stabilität und Zuverlässigkeit des Online-Handels zu gewährleisten und das Vertrauen der Anleger in dieses System zu erhalten.

RSA, März 2011
Hacker drangen in die Systeme des Sicherheitsunternehmens RSA, der auf IT-Sicherheit spezialisierten Tochtergesellschaft der EMC Corporation, ein und entwendeten dabei Informationen über die Zwei-Faktor-Authentifizierungsprodukte von RSA.

Sony, 2011
Im Frühjahr 2011 kam es binnen kurzer Zeit zu mehreren Angriffen auf Sony, unter anderem auf das „PlayStation Network“. Dabei wurden personenbezogene Daten von über 100 Millionen Nutzern gestohlen.

Comodo, März 2011
Der US-amerikanische Zertifizierungsdienstleister hat eingeräumt, dass zwei weitere so genannte „Registration Authorities“ (RAs), also Partnerunternehmen zur Ausstellung digitaler Zertifikate, attackiert wurden.

Barracuda, April 2011
Hacker fanden eine SQL-Injection-Schwachstelle auf der Website von Barracuda, über die sie sich Zugang zu unterschiedlichen Datenbanken sowie den Namen und Kontaktdaten von Partnern, Kunden und Mitarbeitern des Unternehmens verschaffen konnten.

Lockheed Martin Corporation, Mai 2011
Unbekannte Hacker brachen in die Sicherheitsnetzwerke des weltweit größten Rüstungskonzerns Lockheed Martin ein.

L-3 Communications, Hacking-Versuch 2011
Hacker haben versucht, in die Netzwerke des Rüstungskonzerns L-3 Communications einzudringen und an geheime Informationen zu gelangen. L-3 hat sich nicht dazu geäußert, ob der Angriff gelungen ist.

Citibank, Hacker-Angriff im Mai 2011
Bei einem Angriff wurden Daten von ca. 200.000 Citibank-Kunden aus Nordamerika gestohlen, darunter Kontaktinformationen wie Namen und E-Mail-Adressen.

IWF, Hacker-Angriff im Juni 2011
Der Internationale Währungsfond (IWF), die zwischenstaatliche Organisation zur Überwachung des globalen Finanzsystems mit 187 Mitgliedsstaaten, war Ziel einer der jüngsten Hacker-Angriffe.

All diese attackierten Unternehmen und Institutionen haben eines gemeinsam – die Netzwerksicherheitssysteme sind auf höchste Sicherheit und Integrität ausgelegt. Sie verfügen allesamt über gut ausgestattete eigene Sicherheits-Teams mit Kontrollinstrumenten, um ihre Netzwerke zu verwalten und vor unterschiedlichen Störfallszenarien zu schützen. Trotzdem konnten sie erfolgreich attackiert werden. Da Cracking-Tools ständig weiterentwickelt werden und zunehmend Verbreitung finden, ist die Wahrscheinlichkeit groß, dass es künftig zu immer mehr Angriffen kommt.
Die Bedrohungslandschaft habe sich dauerhaft verändert. Deshalb müssten Unternehmen ihre Strategien zum Schutz digitaler Daten überprüfen. Die IT-Sicherheitsstrategie werde ein immer wichtigerer Bereich des Risikomanagements, der zum Aufgabengebiet des Top-Managements eines Unternehmens gehören sollte. Wenn das Thema Sicherheit von den Unternehmensverantwortlichen ignoriert und allein dem IT-Management überlassen werde, deute das auf eine schwache Unternehmensführung hin, sagt Hermann Klein, „Country Manager DACH“ von Stonesoft. Selbst der Vorstand sollte sich beteiligen, indem er die Zuständigkeiten des Managements beaufsichtigt und das Risikoprofil des Unternehmens überprüft.

Weitere Informationen zum Thema:

StoneBlog
because Network Security is everybody’s business



2 Kommentare

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Michael Schwarz
Jul 3, 2011 11:16

„All diese attackierten Unternehmen und Institutionen haben eines gemeinsam – die Netzwerksicherheitssysteme sind auf höchste Sicherheit und Integrität ausgelegt.“

Was aber kaum gegen SQLi, XSS, CSRF oder RFI/LFI hilft, wenn die Webapplikationen schlampig programmiert sind.

„Da Cracking-Tools ständig weiterentwickelt werden und zunehmend Verbreitung finden,…“

Unfug! Offene Augen reichen vollkommen aus, um eklatante Sicherheitslücken zu finden.

Das größte Problem sind Projektleiter die darauf drängen eine Website in möglichst kurzer Zeit, mit möglichst vielen Features, mit möglichst wenig kostenintensiver Sicherheit, ins Netz zu schubsen und dies noch mit unqualifizierten Programmierern, denen die Security-Basics fehlen. Stichwort: Web Application Security

Ein Beispiel für Stonesoft selber: http://bit.ly/lGoEor

Ich kann mich immer wieder über Firmen aufregen, die ihre heilsbringenden Produkte unters Volk bringen wollen, die ursächlichen Probleme nicht ansprechen und so tun als ob ihre Soft-/Hardwarelösung nun alle Probleme lösen würde. Wer seine Lösung verkauft, der sollte erst einmal Beratungsarbeit leisten und seinem Kunden erklären dass eine Firewall, etc. eben nicht die ultimative Lösung ist, wenn es schon erhebliche Defizite bei der Sicherheit der Webapplikationen gibt.

Michael Schwarz
Jul 5, 2011 21:28

Stonesoft bedient auch gleich wieder ein Vorurteile. Es wurde nur dafür gesorgt dass das obige Beispiel nicht mehr funktioniert, aber das eigentliche Problem wurde nicht behoben.

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung