Was kommt auf Unternehmen zu kommt

[datensicherheit.de, 05.06.2023] Die NIS2-Richtlinie stellt innerhalb der Europäischen Union neue Anforderungen an das Management der Cybersicherheit. Öffentliche Einrichtungen und private Unternehmen sind verpflichtet, die Bestimmungen regelkonform umzusetzen. Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, nimmt im Gespräch mit Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, aus Expertensicht zu wichtigen Fragen rund um NIS2 Stellung.

Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, Bild: WALLIX

ds: Herr Rabben, was genau verstehen wir unter der NIS2-Richtlinie?

Rabben: Die im Dezember 2022 veröffentlichte NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016. Ziel der Europäischen Union war es damals, „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ zu initiieren. NIS2 geht nun deutlich darüber hinaus und erweitert das Regelwerk. Die Notwendigkeit hierfür sah die EU in dem stark zunehmenden Bedrohungspotenzial durch Cyberkriminelle. NIS2 soll dazu beitragen, im gesamten europäischen Raum ein Maximum an IT-Sicherheit zu gewährleisten. Darüber hinaus dient die neue Richtlinie dazu, die nationalen Maßnahmenpakete der EU-Mitgliedstaaten auf ein einheitliches Fundament zu stellen. Diese sind verpflichtet, NIS2 innerhalb von etwa 20 Monaten in nationales Recht zu überführen.

ds: Worin unterscheiden sich die beiden Richtlinien im Wesentlichen?

Stefan Rabben: Der Regelungsbereich der NIS-Richtlinie umfasste neben konventionellen IT-Systemen und Netzwerken auch die Kritischen Infrastrukturen (KRITIS). NIS2 erweitert nun den ursprünglichen Anwendungsbereich: Das Regelwerk gilt für sogenannte wesentliche und wichtige Einrichtungen sowie für Institutionen der öffentlichen Verwaltung. Diese sind in der Pflicht, alle sicherheitsrelevanten Vorfälle in ihren IT-Systemen unverzüglich zu melden. Zudem müssen sie diverse Kontrollverfahren der nationalen Aufsichtsbehörden zulassen.

ds: Welche Sanktionen drohen bei Nichteinhaltung?

Stefan Rabben: Wird die Richtlinie missachtet, können die Behörden empfindliche Bußgelder anordnen. Halten die betroffenen Einrichtungen und Unternehmen die Anforderungen von NIS2 nicht konsequent ein, müssen die EU-Mitgliedsstaaten ihre Sanktionen gegenüber der NIS-Richtlinie sogar noch verschärfen. So können gegen wesentliche Einrichtungen Bußgelder von bis zu zehn Millionen Euro oder in Höhe von zwei Prozent des weltweiten Umsatzes erlassen werden.

ds: Worauf müssen Unternehmen bei der Umsetzung der neuen Richtlinie achten?

Stefan Rabben: Die NIS2-Richtlinie bringt für die jeweiligen Einrichtungen beträchtlichen organisatorischen Aufwand mit sich, was die Anpassung ihrer IT-Infrastrukturen betrifft. Um die erforderlichen Sicherheitsmaßnahmen zu realisieren und die entsprechenden Risiken einzudämmen, müssen die Akteure die typischen Gefahren neuer Technologien und IT-Praktiken im Detail kennen. Daher ist eine regelmäßige Risikobewertung und Einschätzung von Cybergefahren durchzuführen. Wesentliche und wichtige Einrichtungen sind darüber hinaus zur Umsetzung vorbeugender Maßnahmen zur Abwehr von Angriffen auf die IT-Sicherheit verpflichtet. Hierfür benötigen sie ausgefeilte technische Lösungen, welche die entsprechenden Anforderungen gezielt adressieren.

ds: Welche Maßnahmen unterstützen hierbei konkret? Und wie lassen sie sich technisch realisieren?

Stefan Rabben: Eine zentrale Rolle in diesem Kontext spielt ein durchdachtes Identitäts- und Berechtigungsmanagement. Dies hilft betroffenen Einrichtungen dabei, effektive Maßnahmen zur Prävention und Erkennung von Cybergefahren zu ergreifen und dadurch ein Maximum an Compliance-Sicherheit zu gewährleisten. Essenziell ist hierbei die Implementierung eines dreistufigen Sicherheitsverfahrens aus Identifizierung, Authentifizierung und Autorisierung. Dies stellt sicher, dass ausschließlich legitimierte Personen auf sensitive Applikationen und kritische Daten zugreifen können. Eine weitere Anforderung von NIS2 betrifft die umfassende Gewährung von Zugangsrechten zu privilegierten Konten. Eine praktikable Lösung hierfür bilden Tools für die privilegierte Zugangskontrolle (Privileged Access Management, PAM) wie etwa der PAM4ALL-Ansatz von WALLIX. Dieser erlaubt IT-Administratoren ein zentrales Management sämtlicher User und Systeme. Dies stellt sicher, dass ausschließlich legitimierten Anwendern zur richtigen Zeit der Zugang zu vertraulichen Ressourcen gewährt wird. Organisationen profitieren dadurch von einem optimalen Schutz ihrer Daten vor Cyberangriffen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.12.2022
NIS2: Neue EU-Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit

Im Interview mit Oded Vanunu zur aktuellen Bedrohungslage der IT-Sicherheit, Trends, Zukunft des Web 3 und Telegran

datensicherheit.de, 05.05.2023] Im Rahmen der CPX 360 EMEA in München, der Hausmesse von Check Point Software Technologies, dem großen IT-Sicherheitsanbieter aus Israel, hat Herausgeber und Chefredakteur von datensicherheit.de (ds)  Carsten J. Pinnow mit Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point, über die aktuelle Bedrohungslage der IT-Sicherheit und die Trends unter Hackern gesprochen. Außerdem wurden die Zukunft des Web 3 mit Smart Contracts als neuer Basis und Telegram als öffentlicher Plattform und Schwarzmarkt für Cyber-Kriminelle thematisiert.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point, Foto: Check Point

ds: Guten Tag, Herr Vanunu! Schön, dass wir uns heute mal wieder von Angesicht zu Angesicht unterhalten können. Beginnen wir gleich mit der ersten Frage: Sie haben schon einige große Nachforschungen durchgeführt und veröffentlicht, aber welche war die faszinierendste Entdeckung Ihrer Karriere?

Oded Vanunu: Hallo! Ja, ich freue mich auch, dass wir wieder Veranstaltungen vor Ort abhalten und besuchen können. Zu Ihrer Frage: Es gibt viele Dinge, auf die ich stolz sein kann. Nicht jeder Tag ist gleich strukturiert, ganz anders als beispielsweise in einer Position als Leiter der Cyber-Kriegsführung oder in einem Cyber-Unternehmen, das sich wirklich nur auf Cyber konzentriert. Ich habe jedoch auf fast allen großen Plattformen Schwachstellen entdeckt. Die Auswirkungen betrafen sofort Millionen, Hunderte von Millionen oder sogar Milliarden von Menschen. Wir fanden, zum Beispiel, eine Sicherheitslücke in WhatsApp. Das war eine der wichtigsten Entdeckungen. Wir waren sogar in der Lage, die gesamte Kommunikation nachzuvollziehen. Wir konnten Nachrichten im Namen anderer Personen oder von Personen, die nicht in der Gruppe waren, versenden. Wir konnten Nachrichten löschen und bearbeiten. Das war eine wichtige Erkenntnis, denn WhatsApp wird von den meisten Menschen für die tägliche Kommunikation genutzt. Daneben hatten wir Schwachstellen im DGI gefunden. Dies ermöglichte uns den Zugang zu Drohnen oder zu den Assets anderer Leute, sogar zu den Assets von Strafverfolgungsbehörden. Uns stand alles offen. Es gab Schwachstellen in Instagram, die wir ausnutzen konnten, um den Leuten eine bösartige Story zu senden. Sobald Sie diese öffnete, konnten wir Code auf Ihrem Gerät ausführen. Es gab also viele faszinierende Entdeckungen, aber ich denke, die Sache mit WhatsApp war bemerkenswert, da es sehr lange dauerte, bis die Sicherheitslücke geschlossen wurde.

ds: Sie nannten zwei Hauptaspekte, neben dem menschlichen Faktor, wenn etwas schief geht, nämlich die Konfiguration und die Implementierung der Algorithmen. Sie haben in Ihrem Kurzvortrag auch den Übergang von Web 2 zu Web 3 erwähnt und über Blockchains und deren Manipulation gesprochen. Mein Vater hat mir vor 40 Jahren schon von einigen Problemen, die Sie noch auf Ihrer Liste haben, erzählt: Division durch Null, Pufferüberlauf, hartkodierte Passwörter, Debugging-Informationen und fünf Weitere. Es sind somit noch dieselben. Die Frage lautet daher: Vielleicht sind die Algorithmen sicher, wenn man Blockchains verwendet, aber was ist mit der Implementierung der Algorithmen?

Oded Vanunu: Das ist das Problem. Sie haben völlig Recht, denn das Konzept der Ende-zu-Ende-Verschlüsselung ist nicht neu. Wir sind nun lediglich mit diesem Konzept sehr vertraut geworden. Es wurde in allen Instanzen von Messaging-Anwendungen implementiert. Es gibt das Backend, welches nicht wirklich dezentralisiert ist und im Grunde genommen als Basis genutzt wird, wenn man Sicherheitsdienste oder Cloud-Dienste anbietet oder aufbaut. Zusätzlich erstellt man das Frontend, welches die gesamte Geschäftslogik beinhaltet und alles für den Kunden zur Verfügung stellt, aber: Im Web 3 wird die wichtigste Neuerung sein, das Modell des Smart Contracts hinzuzufügen. Es ist wie eine Software oder wie ein QuellCcode, der auf eine Aktion wartet, um eine Art von Trigger Code zu erzeugen, um daraufhin eine Transaktion in der Blockchain durchzuführen. Genau dort liegen die Schwachstellen in der Umsetzung. Mir reicht nur eine Schwachstelle dort aus. Wenn ich diese ausnutze, erreiche ich eine Erhöhung meiner Zugriffsrechte auf die Blockchain. Beispielsweise bin ich bei Open Sea, einem der größten NFT-Marktplätze, auf diese Weise kürzlich fündig geworden. Es ist wie das Facebook der NFTs. Bedenken Sie, dass NFTs nicht nur dazu da sind, um Affenbilder zu verkaufen.

ds: Dazu kann ich sagen: ein Freund von mir arbeitet an einer neuen Art von Journalismus. Wenn man Artikel schreibt, wird man derzeit nur einmal bezahlt, aber in Zukunft will er Texte schreiben, die man wie NFTs verkaufen kann. So kann man mehrmals Geld verdienen. Ist das eine reale Möglichkeit, NFTs zu nutzen, nicht um Affenbilder zu verkaufen, sondern um ein digitales Produkt zu vertreiben?

Oded Vanunu: Ja, so wird es funktionieren! Das wird ganz einfach sein. Es wird eine App geben und alle Artikel werden dort auf einer Blockchain mit einem Smart Contract gespeichert, der die Logik des Angebots implementiert. Sobald jemand diese Daten nutzen möchte, muss er dafür bezahlen oder eine im Smart Contract implementierte Bedingung erfüllen, damit der Besitz wechseln kann. Angenommen aber, es handelt sich um die App Ihres Freundes, die er erstellt hat, und alle seine Artikel sind darin enthalten. Ich schaue mich um und finde eine Sicherheitslücke in seiner Anwendung, die ich ausnutzen kann. Eine Art Logikfehler oder eine Schwachstelle in der Eingabesicherheit. Das sind die häufigsten Fälle. Dann schicke ich Ihrem Freund einen bösartigen Link aus dem E-System. Wenn er daraufklickt, löst das den Angriff aus und gibt mir seine Token, die ich meiner Wallet hinzufüge und so ihm stehle. Das ist der größte Schwachpunkt.

ds Arbeiten Sie an einer Lösung für dieses Problem?

Oded Vanunu: Im Prinzip ja. Wir testen die gerade mit Kunden. Ich gehe davon aus, dass diese in naher Zukunft auf den Markt kommen wird. Außerdem versuchen wir nicht nur diesen, sondern noch einige andere Aspekte abzudecken.

ds: Es ist also immer dasselbe. Das, was heute als etwas Neues präsentiert wird, wurde in der Vergangenheit bereits entwickelt. Das ist also die nächste Stufe davon.

Oded Vanunu: Ja, doch es ist dennoch eine Innovation, die wir angesichts der künftigen Herausforderungen im Cyberspace fördern wollen, denn im Jahr 2022 wurden auf die beschriebene Weise bereits Vermögenswerte von rund 3 Milliarden US-Dollar entwendet. Das NFT-Ökosystem und die Innovation in diesem Bereich entwickeln sich und die IT-Sicherheit muss mithalten.

ds Das ist ein sehr spannendes Thema. Wir könnten sicher noch viel länger darüber reden. Aber ich würde gerne noch ein anderes Thema ansprechen. Hat die Pandemie das Verhalten von APT-Gruppen verändert?

Oded Vanunu: Ich habe viel zu diesem Thema geforscht. Die Pandemie war ein immenser Anstoß für viele Veränderungen und Entwicklungen, die wir heute beobachten können. Die Cyber-Kriminalität ist viel aggressiver und direkter geworden, vor allem, was Geldforderungen betrifft. Vor der Pandemie fanden alle böswilligen Aktivitäten und die Vorbereitung aller Hacker-Angriffe im Dark Net statt. Das Dark Net ist ein Ort, der für normale Menschen nicht leicht zugänglich ist. Es war daher ein Marktplatz, auf dem Akteure an andere Akteure verkaufen konnten, und ein Ort des Austausches unter Hackern. Als die Pandemie ausbrach, sahen wir eine große Verlagerung vom Dark Net, das ein isolierter Bereich ist, hin zu Telegram, einem leicht zugänglichen Messenger-Dienst. In den letzten zwei Jahren hat sich Telegram zum wichtigsten Marktplatz für Cyber-Kriminelle entwickelt, um ihre Waren zu vertreiben und Dienste anzubieten. Das ist etwas Außergewöhnliches, denn die Geschäftslogik von Telegram erlaubt es, Kanäle zu erstellen, sie mit Bots auszustatten, so dass man nicht einmal anwesend sein muss, und zudem geschieht alles anonym. Man kann eine Anwendung erstellen, die im Grunde Bots sprechen lässt, woraufhin wir anfingen, irrsinnige Ergebnisse zu sehen. Es war wie eine Tiefenrecherche, irre Zahlen rund um die Welt über die Entstehung von Schwarzmärkten. Es ist sehr simpel, weil man nur Krypto oder eine Gift Card verschicken muss, um, was auch immer man haben will, zu kaufen. Im Jahr 2021 war Telegram die wichtigste Plattform für Hacker und APT-Gruppen. Seitdem haben die Aktivitäten jedes Jahr zugenommen. Es gab daher einen generellen Anstieg der Cyber-Angriffe um 60 bis 80 Prozent. Was mit gefälschten Impfausweisen begann, hat sich zu einer Plattform für viele verschiedene Arten von Scams entwickelt. Aus meiner Sicht war die Epidemie der Übergang der Cyber-Kriminalität vom Verstecken ihrer Kanäle, Produkte und Aktivitäten im Dark Net hin zum Präsentieren im öffentlichen Netz.

ds: Wird Telegram weiterhin dafür genutzt?

Oded Vanunu: Natürlich. Es hört nicht auf. Im Gegenteil: die Nutzung nimmt zu.

ds: Wie untersucht Check Point die Nutzung von Telegram und wie sammelt ihr eure Informationen?

Oded Vanunu: Die Grundlage ist Aufklärung. Es müssen viele Informationen auf verschiedenen Plattformen und in verschiedenen Bereichen abgefragt werden. Sobald wir die Möglichkeit haben, Informationen in Echtzeit zu sehen, beginnen wir, eine Art von Operation im Dark Net aufzubauen. Dafür erstellt man Avatare, tritt einer Gruppierung bei, besucht Foren und versucht ständig, Dinge zu kaufen. Diese Operation wurde auf Telegram übertragen und wir haben Tools und Funktionen entwickelt, mit denen wir nach Schlüsselwörtern suchen und Kanäle durchsuchen können, die wir infiltrieren wollen. Wir haben also intelligente Funktionen entwickelt, um die relevanten Informationen zu finden, die wir suchen.

ds: Haben Sie, wie viele Israelis im Bereich der IT-Sicherheit, Ihre Fähigkeiten in der Armee gelernt?

Oded Vanunu: Nein, ich habe in der Armee keine IT gemacht. Jedes Jahr bildet die Armee Tausende von jungen Menschen im Alter von 21 oder 22 Jahren im realen Kampf und im Cyberwar aus. Das ist unbezahlbar. Wenn sie mit der Militär-Ausbildung fertig sind, nehmen sie dieses Wissen und setzen es in Innovationen um. Wir haben also großes Glück, dass wir diese Möglichkeit haben, denn der Cyberspace ist einer der wichtigsten Bereiche, der sich ständig verändert und man muss Schritt halten.

ds: Herr Vanunu, haben Sie vielen Dank für das interessante Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 30.03.2023
Cybersicherheit: Prävention vor nachträglicher Erkennung

datensicherheit.de, 03.02.2023
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

datensicherheit.de, 29.06.2020
Cybersicherheit: Vision einer mutigen neuen Welt während und nach der Pandemie

Wicjtigste Trends werden in diesem Jahr sind die API-Security und die Automatisierung von Cybersicherheitsprozessen

[datensicherheit.de, 30.03.2023] Im Rahmen der Veranstaltung CPX 360 vom 14. bis 16. März des Herstellers und Firewall-Pioniers Check Point Software Technologies in München kamen Mitarbeiter, Kunden und Partner des Anbieters zusammen. Anlässlich des 30-jährigen Jubiläums konnte Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, mit dem Gründer und CEO Gil Shwed über Aspekte der Cybersicherheit sprechen. In seiner Eröffnungsrede hatte er zuvor das Jahr der KI ausgerufen.

Gil Shwed, CEO von Check Point, © Martin Hangen/Check Point

ds: Können Sie uns die wichtigsten Punkte Ihrer Keynote noch einmal für unsere Leser im Hinblick auf Ihre Aussage zu Künsctlicher Intelligenz (KI) zusammenfassen?

Gil Shwed: Alle paar Jahre erlebt die Branche einen großen Wandel und wir befinden uns gerade mitten in der KI-Revolution. Seit einem Jahrzehnt investieren wir bei Check Point konsequent in diese Technologie und bauen sie in unsere Systeme ein. Zusätzlich nutzt mehr als die Hälfte unserer Threat Engines eine KI, um sicherzustellen, dass komplexe IT-Infrastrukturen geschützt bleiben. Für mich ist das Jahr 2023 der Wendepunkt für KI, da wir im täglichen Leben immer abhängiger von ihr werden und sie sich als integraler Bestandteil der Verteidigung unserer sich ständig entwickelnden Netzwerke etabliert hat.

ds: Welche Herausforderung bringt der „Working from Anywhere“-Trend für die Cybersicherheit?

Gil Shwed: Das anhaltende Engagement von Unternehmen und Mitarbeitern für hybrides Arbeiten hat zu einem Anstieg der verwendeten digitalen Geräte pro Person um durchschnittlich mehr als 50 Prozent geführt. Wir bei Check Point haben im letzten Jahr weltweit einen Anstieg der Cyberattacken von 38 Prozent festgestellt, der mit der Zunahme dieser Geräte korreliert. Für viele Unternehmen besteht das Problem darin, dass ihre Produkte nicht zusammenarbeiten – die Koordinierung ist einfach zu komplex. Wir müssen sicherstellen, dass alle Systeme kommunizieren, um das Risiko eines Angriffs einzudämmen. Dies ist derzeit nicht gängige Praxis und im Jahr 2023 wird dieses Defizit Unternehmen verwundbar machen.

ds: Welchen technologischen Trend sehen Sie in diesem Jahr abseits von KI im Vordergrund stehen?

Gil Shwed: Zwei der wichtigsten Trends werden in diesem Jahr die API-Security und die Automatisierung von Cybersicherheitsprozessen sein. APIs sind ein wachsender Teil der Angriffsfläche vieler Unternehmen im Internet, und ihre Eigenschaften machen sie zu einem idealen Ziel für automatisierte Angriffe. Es ist von entscheidender Bedeutung, dass Unternehmen API-Sicherheitslösungen in ihre Application Security-Strategie integrieren, um Missbrauchsversuche ihrer Web-APIs zu erkennen und zu verhindern. Die Automatisierung von IT-Sicherheitsprozessen bietet zahlreiche Vorteile für Sicherheitsteam, um die wachsenden Workloads trotz Personalmangel und vielfältiger Aufgaben zu bewältigen.

Carsten J. Pinnow im Interview mit Gil Shwed, © Martin Hangen/Check Point

ds: Sie propagieren seit Jahren den Ansatz, dass Präventionsmaßnamen besser sind als die nachträgliche Erkennung. Warum?

Gil Shwed: Der präventive Ansatz zur IT-Sicherheit beruht auf drei Grundprinzipien des höchstmöglichen Schutzes: Umfassend, konsolidiert und kooperativ. Unternehmen benötigen eine Lösung, die alle Vektoren abdeckt (um einen Vorfall von vornherein zu verhindern), eine konsolidierte Cybersicherheitsarchitektur, um die Sicherheitskoordination und -effektivität zu verbessern, und die Integration in Systemen von Drittanbietern, um möglichst genaue Echtzeitdaten zu liefern.

ds: Sie gelten als Förderer der IT-Security Start-Up-Szene in Israel. Wie unterstützt Check Point hier junge Unternehmen?

Gil Shwed: Zunächst einmal empfinde ich es als große Freude, dass wir eine so aktive Start-Up Szene in Israel speziell im Bereich Cybersicherheit haben. Sie führen mit innovativen Ideen und Konzepten dazu, dass auch wir immer wieder herausgefordert werden, uns und unsere Lösungen zu erneuern. Aktuell fördern wir unter anderem über unser CyberUp Accelerator Programm zahlreiche Start-Ups. Bislang profitierten 43 junge Unternehmen von unseren Erfahrungen. Viele dieser Unternehmen werden außerdem von ehemaligen Check Point-Mitarbeitern gegründet, die dann auch ab und zu wieder zu uns stoßen, indem wir sie und ihre Technologien in unsere Lösungen integrieren. Dadurch entstehen steter Austausch und Erneuerungsprozesse, die letztlich allen zugutekommt.

ds: Wir danken für das Gespräch.

Ankündigung von Infinity Global Services

Während der Veranstaltung stellten weitere Mitarbeiter die fortschreitende Entwicklung des Produkt- und Lösungsportfolios vor, darunter Eyal Manor, Vice President of Product Management, der auf die Produktverbesserungen einging, die zum Schutz gegen aktuelle IT-Bedrohungen entwickelt wurden. Hierbei handelt es sich um die Einführung von Check Point Infinity Global Services, einem End-to-End-Sicherheitsservice, der Unternehmen dabei helfen wird, fortschrittliche Cyber-Bedrohungen abzuwehren, auf weit verbreitete Angriffe zu reagieren und jeden Aspekt ihrer Widerstandskraft zu verbessern. Manor hob hervor, dass diese Einführung auf die wachsende Komplexität der IT-Sicherheit und den Mangel an qualifizierten Mitarbeitern zurückzuführen ist, die diese Aufgabe bewältigen sollen, denn in der Branche gibt es derzeit eine Qualifikationslücke von 3,4 Millionen Fachkräften.

Maya Horowitz, Vice President of Research, gab den Zuhörern in einer virtuellen Präsentation eine kurze Zusammenfassung der Unternehmensgeschichte. Sie reflektierte die Fähigkeit von Check Point, Bedrohungsinformationen zu entschlüsseln, zu analysieren und zu interpretieren, um neue Malware, Hackermethoden und -techniken zu identifizieren und daraufhin Wege zu finden, diese schnell abzuwehren. Sie verwies auf die Komplexität von Hacker-Gruppen, wie Conti, veranschaulichte die zunehmenden geopolitischen Spannungen, die nun auch in die Cyber-Dimension vorgedrungen sind, und sprach die besorgniserregende Verlagerung von Angriffen auf Einzelpersonen sowie auf Kritische Infrastrukturen (KRITIS) an.

Kunden, Mitarbeiter und Partner hörten zudem Redebeiträge von mehreren anderen Check Point-Führungskräften, darunter Ofir Israel, Vice President of Threat Prevention, der die Diskussion über die Auswirkungen von KI fortsetzte, indem er auf die Cyber-Kriegsführung einging und darlegte, wie diese Technologie die Welt der IT-Sicherheit verändert hat.

Die Veranstaltung bot den Teilnehmern einen Zugang zu den bewährten Methoden und Erkenntnissen zur Verwaltung der Cybersicherheitslandschaft. Mitarbeiter, Partner und Kunden hatten außerdem die Möglichkeit, an ausführlichen Podiumsdiskussionen teilzunehmen, die einen Vorgeschmack auf die neuen Produktankündigungen von Check Point und die Expertenprognosen für die IT-Sicherheitsplanung im Jahr 2023.

Weitere Informationen zum Thema.

datensicherheit.de, 03.02.2023
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

datensicherheit.de, 29.06.2020
Cybersicherheit: Vision einer mutigen neuen Welt während und nach der Pandemie

[datensicherheit.de, 21.07.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) lädt zum Anhören seines neuen Podcasts zur „Self-Sovereign Identity“ ein und erläutert hierzu: „,Self-Sovereign Identity‘ (SSI) ermöglicht Personen, Organisationen oder Geräten, eine eigenkontrollierte Digitale Identität, ohne dass es einer zwischengeschalteten Vermittlungsentität bedarf.“ Diese verschaffe Kontrolle darüber, „inwieweit personenbezogene Daten geteilt und verwendet werden“. In dem aktuellen TeleTrusT-Podcast zu diesem Thema erläutert der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann, demnach die Funktionsweise, Einsatzmöglichkeiten und Chancen, die sich aus dieser Technologie ergeben.

SSI für den TeleTrusT auch ein Beitrag zur technologischen Souveränität

„Self-Sovereign Identity“ stehe in engem Zusammenhang mit den Themen Blockchain, Plattformökonomie, eIDAS und DSGVO. Für Europa biete sich die Chance, die Abhängigkeit von nichteuropäischen Plattformanbietern zu reduzieren. „Insofern ist SSI auch ein Beitrag zu technologischer Souveränität.“

TeleTrusT-Podcast zur Self-Sovereign Identity auf SOUNDCLOUD online

TeleTrusT-Podcasts seien als Interviews angelegt: „Fachleute aus Wirtschaft, Forschung, Beratung, Politik und Verwaltung werden eingeladen, um zu einem bestimmten Thema befragt zu werden.“

TeleTrusT-Podcast „Self-Sovereign Identity“
Gesprächspartner: Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender
Interviewerin: Franziska J. Bock, TeleTrusT

In diesem jetzt veröffentlichten TeleTrusT-Podcast werden laut TeleTrusT u.a. folgende Fragen behandelt:

• Wer sind die Akteure im SSI-Ökosystem?
• Welche praktischen Anwendungen bietet SSI?
• Welchen Beitrag kann SSI zur angestrebten technologisch-digitalen Souveränität der EU leisten?
• Warum kann SSI helfen, die Privatsphäre gegenüber zentralen eID-Providern zu stärken?
• Was leistet SSI als Digitalisierungsbeschleuniger?
• Wie wirkt SSI einer Monopolisierung des eID-Managements entgegen?
• Inwieweit ist SSI ein Beitrag zu größerer Vertrauenswürdigkeit von Online-Dienstleistungen?
• Wo steht Deutschland mit dieser Anwendung?
• Welche Ziele verfolgt die EU mit SSI?

TeleTrusT betont Rolle des europäischen SSI-Ökosystems

Pohlmann erläutert: „Ich freue mich sehr, dass wir jetzt den ersten TeleTrusT-Podcast veröffentlichen.“ „Self-Sovereign Identity“ (SSI) sei ein wichtiges und zukunftsorientiertes Thema, mit dem wir uns alle intensiv beschäftigen müssten, um frühzeitig ein Teil des „europäischen SSI-Ökosystems“ zu werden.

Weitere Informationen zum Thema:

datensicherheit.de, 16.06.2021
TeleTrusT veröffentlicht Handreichung: Secure Platforms für Digitale Souveränität

TeleTrusT auf SOUNDCLOUD
Self-Sovereign Identity

Die Sicherung der Daten des eigenen Unternehmens rückt stark in den Fokus unter anderem wegen  COVID-19 und den damit einhergehenden Maßnahmen  und der gleichzeitig damit verbundenen Umstrukturierung der Arbeitswelt. Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) hat deshalb mit Thomas Sandner, Senior Director Technical Sales Germany bei Veeam Software, über die Trends im Bereich der Datensicherung und des Datenmanagements gesprochen.

ds: Schönen guten Tag Herr Sandner – fangen wir mal allgemein an: Warum sollten sich Unternehmen gerade jetzt mit Sicherheit und Management der eigenen Daten beschäftigen?

Thomas Sandner: Immer größere Anteile der Belegschaft von Unternehmen sitzen nicht mehr auf dem eigenen Campus oder in den eigenen Büroräumen, sondern daheim – geht man nach den aktuellen Vorhersagen, so wird der hohe Anteil von Home Office künftig beibehalten. Dadurch verschieben sich die Anforderungen von Unternehmen im Zusammenhang mit der Sicherung von Arbeitsplätzen und besonders der Daten, die dort verarbeitet werden. Kosten für die Speicherung und Wiederherstellung – Backup und Recovery – dieser Daten, steigen somit. Zu erwähnen ist dazu: Backup steht in diesem Zusammenhang für Kopien von Daten, welche zu bestimmten Zeitpunkten angelegt und aufbewahrt werden. Diese dienen als digitale Versicherung, sollten die Original-Daten beschädigt werden. Ein Replikationsvorgang hingegen beschreibt das unmittelbare Erstellen von Kopien von Dateien, fast in Echtzeit, die im Anschluss direkt im Rechenzentrum oder in der Cloud bereitgestellt werden.

ds: Anbieter wie Veeam bieten Kunden die Möglichkeit, die eigenen Daten in Form von Backups auszulagern – aber ist das nicht teuer? Und welche Vorteile hat der Kunde durch solch eine externe Betreuung?

Thomas Sandner: Die Auslagerung von Backups in eine Cloud, also Cloud to Archive, war zumeist mit einem enormen finanziellen Aufwand verbunden. Public-Cloud-Anbieter, wie AWS und Microsoft, bieten allerdings neue Lösungen an, darunter Azure Archive Cold Storage oder AWS S3 Glacier Deep Archive. Im Vergleich zu bisherigen S3-Speichern belaufen sich die Kosten dafür auf etwa 0,00099 US-Dollar je Gigabyte und Monat gegenüber den bisherigen 0,021 US-Dollar. Die geringere finanzielle Belastung geht dabei zulasten des zeitlichen Aufwands für die Bereitstellung der Daten. Die Vorteile einer solchen Auslagerung liegen in dem ganzheitlichen Ansatz, den beispielsweise Veeam in Sachen Datenmanagement verfolgt und den wir auch jedem Unternehmen empfehlen: In der Ausarbeitung einer umfassenden und verlässlichen Backup-Strategie sollten Unternehmen die 3-2-1-Regel beachten: drei Kopien der Daten auf zwei unterschiedlichen Medien, wobei eine der Kopien physisch extern ausgelagert wird. Um auch gegen Ransomware-Attacken gewappnet zu sein, sollten Unternehmen diese Strategie jedoch ausbauen, indem eine weitere der Kopien unveränderlich gestaltet wird – über die Funktion „immutable flag“ – und regelmäßige Tests sicherstellen, dass bei deren Wiederherstellung keinerlei Fehler auftreten werden. Durch diese Zusätze entsteht die 3-2-1-1-0-Regel für Backups.

ds: Nachdem Sie bereits Ransomware-Attacken angesprochen haben: Wie beeinflussen die gestiegenen Zahlen ihre Strategie und wie kann gutes Datenmanagement helfen?

Thomas Sandner: Ransomware-Attacken haben über die Jahre zugenommen – nicht zuletzt gefördert durch den Umstand, dass die Angriffsfläche, die Unternehmen bieten, durch die größere Anzahl der Fernzugriffe gestiegen ist. Bei einem erfolgreichen Einbruch in das Netzwerk eines Unternehmens verschlüsseln die Eindringlinge die dort gespeicherten Daten nicht nur – immer häufiger wird im Zuge einer Doppelten Erpressung zusätzlich ein Teil der Daten gestohlen und mit deren Veröffentlichung gedroht, um zusätzlich Druck auf die Opfer auszuüben. Die Möglichkeit zum Entschlüsseln der Daten bekommen Unternehmen dann nur, wenn sie sich den Lösegeldforderungen der Kriminellen beugen. Zuletzt zu beobachten war dieses Vorgehen beim polnischen Videospiel-Publisher und -Entwickler CD Project. Das Unternehmen konnte sich allerdings wehren, da die Angreifer nicht in der Lage waren, neben den Original-Daten auch die Back-ups zu kompromittieren. Aus diesem Beispiel geht hervor, wie wichtig eine sichere Backup-Strategie ist, um sich gegen Cyber-Bedrohungen, wie unter anderem Ransomware, zu schützen und den Schaden gering zu halten. Das bedeutet außerdem, die Backups vor unbotmäßigen Zugriffen der eigenen Administratoren zu schützen. Sollte sich nämlich ein Angreifer die entsprechenden Zugangsdaten verschaffen können – oder ein ehemaliger Mitarbeiter abtrünnig werden – so hätte er eventuell auch Zugriff auf diese Daten und könnte sie verschlüsseln oder löschen. Das unterstreicht die Bedeutung der unveränderlichen Kopie. Cloud-Speicher, wie von Amazon AWS, bieten ein Object Lock mit Zeitstempel an. Diese Funktion sorgt dafür, dass Daten automatisch für 30 Tage unveränderbar bleiben. Daten in der Cloud sind somit zusätzlich abgesichert. Lokale On-Premise-Backups hingegen lassen sich durch „immutable flags“ absichern. Dies ist eine Funktion in Linux-Dateisystemen, die den gleichen Zweck erfüllen, wie das Object Lock in der Cloud. Zusätzlich sollten dennoch keine Root-Zugriffe erlaubt und Secure-Shell-Protokolle abgeschaltet werden.

ds: Ein Problem bei konsequenter Datensicherung ist die Belastung für das System – wie kann man hierbei für Entlastung sorgen?

Thomas Sandner: Für Veeam heißt der Schlüssel: Continuous Data Protection. Der kontinuierliche Schutz von Daten im VMware-Bereich erfordert regelmäßige Snapshots des Systems, also eine Speicherung des Zustands und der Daten als Abbild – ein Vorgang, der die Systeme stark belasten kann. Neue Lösungen, wie Veeam Backup & Replication v11, setzen daher auf Continuous Data Protection (CDP). Diese Replikations-Funktion ermöglicht virtuellen Maschinen eine Erstellung von Recovery-Punkten im Sekundenbereich, wobei es keine herkömmlichen Snapshots generiert, sondern den vorhandenen Datenverkehr abzweigt und spiegelt. Als Richtwerte dienen Recovery Point Objectives (RPO): Ein Messwert, der angibt, wie viel Datenverlust bei einem Wiederherstellungsprozess entsteht, und Recovery Time Objectives (RTO), die besagen, wieviel Zeit die Wiederherstellung der Daten nach einem Zwischenfall benötigt. Je näher beide Werte gegen Null gehen, desto besser ist die Leistung der Backup-Lösung einzuordnen. Insgesamt decken wirklich moderne Lösungen daher die Bereiche Backup, VM-basierte Replikation, Storage Snapshots und CDP an.

ds: Wie lautet abschließend ihre Empfehlung für Unternehmen in Sachen Datensicherheit?

Thomas Sandner: Um das volle Spektrum von Datenmanagement-Lösungen ausnutzen zu können, müssen Unternehmen damit beginnen, in Backups mehr als nur eine Absicherung zu sehen. Die gespeicherten Daten können zum Beispiel dafür genutzt werden, um Transformationsprozesse zu unterstützen. Unter Einbindung einer Sandbox sind Backups in der Lage, System-Migrationen zu testen, zu optimieren und die Funktionalität von Patches sicherzustellen. In einer solch abgesteckten Umgebung sind sie zudem zur Schulung von Mitarbeitern ideal geeignet. Wem als Unternehmen das notwendige Fachwissen, die Fachkräfte oder das Geld für eine eigene Backup-Infrastruktur fehlt, der sollte für die Zukunft auf BaaS (Backup-as-a-Service) und DRaaS (Disaster-Recovery-as-a-Service) von zuverlässigen Anbietern zurückgreifen, denn: Datenmanagement und Datensicherheit gewinnen stetig an Bedeutung für die Geschäftskontinuität und müssen daher mit der höchstmöglichen Priorität und einer umfassenden Strategie angegangen werden, um den Schutz und die Flexibilität des eigenen Unternehmens zu gewährleisten.

ds: Ich bedanke mich für Ihre Zeit und für das Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 17.04.2020
Ransomware-Angriffe: Backups allein nicht ausreichend

Veeam
Backup & Replicatuion

Inventarisierung spielt eine wichtige Rolle für die Sicherheit im Unternehmen

[datensicherheit.de, 04.12.2020] Das Schwachstellenmanagement (Vulnerability Management) behandelt die sicherheitsrelevanten Schwachstellen von Systemen in IT-Infrastrukturen. Dabei werden Prozesse und Techniken aufgesetzt, die zu einer Steigerung der Datensicherheit im Unternehmen beitragen sollen. Im Interview sprechen Jörg Vollmer, General Manager, Field Operations, DACH, Qualys und Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) in diesem Zusammenhang über die Lösung Vulnerability Management Detection and Response (VDMR).

ds: Was kann die erweiterte Qualys-Lösung VMDR?

Jörg Vollmer: Das Herzstück der Qualys-Lösung ist unsere Plattform. Diese bildet die Basis für mehr als 20 unterschiedliche Security Services (“Apps“). Die Daten können mittels unterschiedlicher Sensoren, wie Agents, virtuellen oder hardwarebasierten Scannern, passiven Scannern, durch Schnittstellen über die API etc. erhoben werden und werden in dieser Plattform zentral verwaltet und ausgewertet. Seit letztem Jahr haben wir erweiterte Detection and Response-Features hinzugefügt. Aus diesem Grundgerüst entstand dann VMDR (Vulnerability Management Detection and Response). Diese Anwendung bringt viele Lösungen in einer zusammen und erleichtert die Handhabung des Schwachstellenmanagementprozesses. Die meisten unserer Kunden nutzten besonders unsere VM-Lösungen und konnten dann die Schwachstellen mit einer weiteren App, beispielsweise mit Threat Protect von Qualys, priorisieren. Ab sofort bietet VMDR dies als einen neuen, integrierten Service. Das beginnt bei der Inventarisierung aller Systeme, also der Asset Inventory, der Priorisierung und der Klassifizierung der Systeme und nicht zuletzt dem Auslesen der installierten Software. Darüber hinaus verfügt das Tool über Detection, also einem umfassenden Scanning aller vorhandenen Assets. Diese Daten werden dann durch die Qualys Machine Learning Engine verarbeitet. Die eigene Klassifizierung der Systeme wird in Betracht gezogen und die aktuelle Kritikalität der Schwachstellen aufgezeigt. So kann dem Unternehmen dann in der Folge relativ einfach eine Priorisierung der Schwachstellen nach Dringlichkeit des Patchens dargestellt werden. Wenn beispielsweise ein Unternehmen mit 100 000 Systemen gescannt wird, werden rasch eine Vielzahl an Schwachstellen gefunden und aufgezeigt. Logischerweise sollten alle geschlossen werden, doch dies gelingt i.d.R. mangels Ressourcen nicht auf einmal, sodass eine grundlegende Priorisierung notwendig ist. Dieser Prozess kann automatisiert ablaufen, alternativ ist sie manuell einzustellen. Dies ist beispielsweise dann sinnvoll, wenn das Unternehmen für sich selbst erkennt, welche Geräte priorisiert gepatcht werden sollten und an vorderster Stelle stehen. Beispielsweise könnte das der Produktionsserver sein, während der Druckserver erst etwas später gepatched werden kann. Mit Hilfe dieser Schwachstellenbasis können aktuelle Patches gemeldet werden. Besitzt beispielsweise ein Unternehmen seit längerer Zeit eine Schwachstelle mit niedrigerem Schweregrad und plötzlich wird diese aufgrund eines neuen Angriffvektors in der Kritikalität generell höher bewertet, so wird dies direkt in der Prioritätsliste oben angezeigt. Auf dem Dashboard werden dann die fehlenden Patches angezeigt, mittels der optionalen Patch Management App können diese auch direkt aus der Oberfläche ausgerollt werden. So schließt sich der Kreislauf. Innerhalb einer einzigen Oberfläche können Schwachstellen ermittelt und auch behoben werden. Das erhöht die Sicherheit um ein Vielfaches – mit weniger Aufwand.

Bild: Qualys

Jörg Vollmer, General Manager, Field Operations, DACH, Qualys

Im Rahmen von Covid-19 wird von Qualys eine vollständige 60 Tage Version kostenfrei angeboten, inkl. der Malware-Detection, da viele Unternehmen ein grundlegendes Problem mit dem Patchen mit Systemen, welche zu dieser Zeit verteilt in Homeoffices eingesetzt werden, haben. Die Endgeräte dort verbinden sich oft via VPN mit dem Unternehmensnetzwerk. Doch falls die Organisation ein zentrales Patch-Management hat und im großem Stil Sicherheitslücken gepatcht werden, kann die Bandbreite des Unternehmens-VPNs negativ beeinflusst werden, wenn die Patches darüber verteilt werden. Die Qualys-Platform nutzt den Cloud-Agent, um Patches direkt aus dem Internet herunterzuladen und belastet damit nicht mehr das Unternehmensnetzwerk. Nach wie vor kann manuell durch Priorisierung entschieden werden, welches Gerät zuerst gepatcht werden soll. Die Rückmeldung erfolgt über die Plattform.

ds: Inventarisierung spielt eine wichtige Rolle. Wie genau erkennt Qualys die Systeme? Läuft die Erkennung mit oder ohne Agenten ab?

Jörg Vollmer: Wie eingangs erwähnt, bieten wir verschiedenste Arten von Sensoren an. Der Agent ist die eleganteste Art, da er alle Informationen über das System liefert. Es gibt auch die Möglichkeit, mit unseren Standardscannern, welche virtuell und harwarebasiert verfügbar sind, die Systeme zu erkennen, wenn dabei authenticated Scanning durchgeführt wird. So werden die Systeme eindeutig identifiziert. Bei einem nicht authentifizierten Scanning wird das Ergebnis unscharf, denn dabei werden Systeminformationen erhalten, doch die Klassifizierung wird erschwert. Bei ICS ist es nicht möglich, einen Agenten zu installieren. Besonders bei alten ICS-Systemen ist es oft nicht ratsam, aktive Scans durchzuführen. Selbst ein einfacher ICMP Request auf beispielsweise sehr alte Produktionssteuerungsgeräte kann oftmals schon Probleme hervorrufen, was bis hin zum Absturz des Systems führen kann. Aus diesem Grund gibt es bei Qualys auch einen passiven Scanner. Dieser überprüft den Netzwerk-Traffic und kann anhand dessen die Inventarisierung durchführen. Es wird auch die Kommunikation eines Gerätes mit anderen Systemen überwacht; so kann umgehend festgestellt werden, falls mit unbefugten Geräten kommuniziert wird und es können entsprechend Maßnahmen ergriffen werden.

ds: Sie sprachen eingangs das Thema „Detection and Response“ an, bietet Qualys noch weitere Dienste in diese Richtung?

Jörg Vollmer: In der Tat – wir haben aktuell einen eigenen Multi-Vector EDR-Service (Endpoint Detection and Response) veröffentlicht, um Sicherheitsverantwortliche bei Ihrer täglichen Arbeit zu entlasten. Herkömmliche EDR-Lösungen konzentrieren sich nur auf die Endpunktaktivitäten, denen der für eine genaue Analyse von Angriffen erforderliche Kontext fehlt und daher zu einer hohen Rate an Fehlalarmen führt. Qualys Multi-Vector EDR nutzt die Stärke von EDR und erweitert gleichzeitig die Visibilität über den Endpunkt hinaus, um einen umfassenderen Schutz bereitzustellen. Multi-Vector EDR lässt sich in die Qualys Plattform integrieren, um wichtigen Kontext und Einblick in die gesamte Angriffskette zu bieten und gleichzeitig die Anzahl von false und negative Positives im Vergleich zu herkömmlichen EDR-Systemen drastisch zu reduzieren.

ds: Welche sogenannte Vektoren ziehen Sie bei der Analyse in Betracht?

Jörg Vollmer: Die Integration in die Qualys Plattform vereint mehrere Kontextvektoren wie Asset-Discovery, das Softwareinventar, Informationen über EOL von Software und Systemen, Schwachstellen und Exploits, Fehlkonfigurationen, detaillierte Endpunkttelemetrie und die Erreichbarkeit und Verbindungen der Systeme im Netzwerk. Diese Informationen sind alle für die Erkennung, Bewertung und Reaktion in einer einzigen App korreliert. Dies bietet dem Security-Team wichtige Echtzeit-Einblicke in die Vorgänge auf dem Endpunkt.

Darüber hinaus speichert Qualys EDR Telemetriedaten für die aktive und die historische Ansicht und korreliert diese mit unterschiedlichen intelligenten Feeds für externe Bedrohungen. Dadurch entfällt die Notwendigkeit, sich auf eine einzelne Malwaredatenbank zu verlassen und es wird eine priorisierte risikobasierte Bedrohungsansicht bereitgestellt. Auf diese Weise können die Securityteams proaktiv und reaktiv mit einem einheitlichen Kontext aller Sicherheitsvektoren nach Bedrohungen suchen, falsche Warnungen verringern und die Teams dabei unterstützen, sich auf das Wesentliche zu konzentrieren.

ds: Wie funktioniert das Lizenzmodell?

Jörg Vollmer: Bei uns funktioniert das Modell pro Asset. Das Lizenzmodell wurde durch VMDR vereinfacht. Früher gab es eine Vielzahl an Services, welche wir separat lizensiert hatten. Durch die Zusammenführung in VMDR ist es um einiges einfacher geworden. Es gibt auch keine Unterscheidung mehr zwischen Enterprise und Small-Medium-Enterprise mehr. Es handelt sich um ein degressives Preismodell. Je mehr Assets einfließen, desto geringer wird der entsprechende Preis je Asset. Dabei handelt sich ein Asset um jedes Gerät, welches bei Qualys in Betracht gezogen werden soll.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

Herausforderung Sichtbarkeit und Segmentierung von Netzwerken und Geräten

[datensicherheit.de, 01.07.2020] Forescout hat kürzlich mit der Version 8.2 ein Update seiner Lösung zur Sichtbarkeit und Segmentierung von Netzwerken und Geräten veröffentlicht. Im Interview unterhalten sich Kristian von Mejer von Forescout und Herausgeber Carsten J. Pinnow von datensicherheit.de (ds) über diverse Trendthemen in der IT-Sicherheit wie z.B. Netzwerksegmentierung, Cloud Services und Compliance-Herausforderungen.

Kristian von Mejer, Forescout Technologies Inc., © Forescout Technologies Inc.

ds: Was für Produktupdates gibt es bei Forescout?

Kristian von Mejer: Bei uns hat sich produkttechnisch in letzter Zeit einiges getan. Einiges davon ist vor allem in der heutigen Zeit wichtig. Wir haben im Rahmen des Release unseres 8.2 Updates von Forescout drei große Neuigkeiten eingeführt:

Die erste – und ich bin überzeugt davon, dass das einen der großen Unterschiede zwischen Forescout und anderen Anbietern im Markt darstellt – ist die Device Cloud, die jüngst Teil unseres Produktes wurde. Die Device Cloud ist für uns deshalb so relevant, weil wir dort i n unserem eigenen Big Data Lake inzwischen über 11 Millionen Fingerprints von Devices gespeichert haben. Diesen analysieren wir mithilfe einer KI, die wir mit der Akquisition einer kleinen israelischen Firma namens „Dojo“ zum Teil unserer Lösung gemacht haben. Von dieser Firma haben wir einen Satz von Device-Fingerprints gekauft und ebenso Analysefähigkeiten, die Auskunft darüber geben wie sich die Geräte verhalten. Forescout hatte schon immer seine Stärken im Erkennen und Klassifizieren von Geräten – jetzt können wir durch die Device Cloud außerdem eine Korrelation dahingehend machen, wie individuelle Geräte und Gerätetypen üblicherweise im Netz agieren. Kameras, Drucker etc. sprechen über verschiedene Ports mit verschiedenen Servern. Vor allem sehr spezifische Geräte wie z.B. Dialysemaschinen verhalten sich sehr unterschiedlich. Wir ermöglichen also unseren Kunden das Betreiben von Behaviour-Analytics, um sie für eigene Policies zu nutzen. Die Device Cloud kann also klassifizieren – und jetzt auch Behaviour definieren und das für Policies anwenden. Wenn sich also beispielsweise ein Türpanel auf einmal ganz anders verhält als Tausende von anderen ähnlichen Geräten die Forescout beobachtet, dann sollte man mal einen genaueren Blick darauf werfen, da hier wahrscheinlich etwas nicht stimmt.

Das nächste ist: Wir interagieren ja gerne und viel mit anderen Lösungen. Kollaboration ist für uns ganz wichtig. Früher war in der IT-Security noch viel die Rede von „Zwiebelschichten“, die um sensible Daten gelegt werden müssen. Dieser Ausdruck ist inzwischen fehlleitend, man sollte eher von einem „Mesh“ sprechen, das aus verschiedensten ineinander verwobenen und miteinander interagierenden Lösungen besteht. Das gibt es eine große Anzahl. Forescout war schon immer bemüht, mit anderen Lösungen zu kommunizieren. Wir haben nun eyeExtend Connect eingeführt, was die Integration von Forescout mit Drittlösungen auf einer Art crowd-sourced App Store möglich macht. Kunden bauen sich z.B. in Slack eine Integration und können diese dann in den App-Store hochladen. Unsere Engineers schauen sich das an, nehmen gegebenenfalls Änderungen vor und geben es dann frei. Wir sehen also ständig neue Integrationen und beziehen die Community mit ein. Wir haben über 3.500 sehr aktive Kunden, die genau hier helfen. Dadurch werden Integrationen einfacher konsumierbar.

Das dritte was wir neueingeführt haben ist ein Produkt namens eyeSegment. Wie der Name schon sagt, kommen wir hier zur Segmentierung, einem brandheißen Thema zu Zeiten von Remote-Arbeit. EyeSegment ist eine cloudbasierte Lösung, bei der wir die Daten und das Kommunikationsverhalten der Geräte von Forescout-Kunden analysieren. Das geschieht in unserer leistungsstarken cloudbasierten Plattform. Die Analyse ist immer speziell auf den Kunden zugeschnitten, aber selbstverständlich DSGVO-konform und anonymisiert. Warum ist dieses Thema so wichtig? Segmentierung ist seit Jahren in aller Munde. Kunden wollen zurecht Gerätetypen unterschiedlich voneinander gruppieren und getrennt betrachten. Das müssen sie nämlich auch. Im IT-Sicherheitsgesetz stehen hierzu ganz konkrete Anforderungen, besonders für den Bereich KRITIS. Die Einhaltung dieser Richtlinien ist heutzutage nicht mehr nur ein „nice-to-have“, sondern Pflicht

ds: Wie handhaben Unternehmen Segmentierung? Was sind die Herausforderungen?

Kristian von Mejer: Eine große Herausforderung ist die Frage: Wie und wo kann ich Segmentierung betreiben, ohne meine Geschäftsprozesse zu stören? EyeSegment bietet genau diese Sichtbarkeit in die Kommunikationsströme. Bevor ich den Hebel umlege und beschließe zu segmentieren, kann ich vorher analysieren: Wie kommunizieren beispielsweise meine Sicherheitskameras miteinander und mit anderen Geräten? Wenn ich segmentiere, was würde nicht mehr funktionieren? Man möchte natürlich keine legitimen Prozesse stören. EyeSegment ist eine Erweiterung von eyeSight, unserem Produkt welches vor allem Sichtbarkeit ermöglicht. EyeSegment bietet darüber hinaus die Analyse von Kommunikationsverläufen mit dem Ziel darüber eine Kontrolle aufzuziehen – entweder über ACLS, VPN-Nodes, oder über die Integration mit Next-Gen Firewall-Anbietern. EyeSegment ist das Medium dazwischen, das die Kommunikationsströme visualisiert. Das hilft Kunden immens beim Umsetzen von Segmentierung.

Damit kommen wir zu dem Thema, das gerade fast alle Unternehmen weltweit betrifft. Firmen investieren in das Unterfangen Remotearbeit möglich zu machen. Viele Unternehmen – darunter auch große Industriekunden – mussten nun erstmal Sichtbarkeit schaffen. Die von vielen Unternehmen eingesetzten VPN-Tunnels sind dabei der richtige Weg, um einen abgesicherten Kommunikationskanal zwischen Netzwerk und Remotegerät zu schaffen. Das Problem ist: Wie kann ich auch in dieser Situation Gerätehygiene und Compliance weiterhin forcieren? Unheimlich viele Unternehmen haben lediglich einen Remotezugang ohne speziell dafür ausgelegte Geräte. BYOD-Geräte können da ein großes Problem darstellen. Das sind zumeist keine von der Firmen-IT gemanagte und abgesicherte Geräte. Fehlende Patches oder unzureichende Sicherheit auf dem Gerät stellen eine große Gefahr für Unternehmen dar, die erst seit kurzem Remotearbeit eingeführt haben.

Hier kommt Forescout ins Spiel. Auch diese Geräte müssen mit einer Cyberüberprüfung beobachtet werden. Sobald sich irgendein Gerät mit dem Firmennetzwerk verknüpft, muss das erkannt werden. Bei Inhouse-Geräten tun wir das schon lange mit unseren Kunden, das muss jetzt auch in den privaten Bereich überführt werden. Natürlich muss hier sensibler vorgegangen werden, wegen privaten Daten die im Spiel sind und BYOD, aber Grundlagen wie Patch-Kontrolle und der Einsatz von Antivirus-Lösungen sind Fragen, die Unternehmen vor und während dem Verbindungsversuch prüfen müssen, um dann letztendlich diese Geräte in unterschiedliche Bereiche zu segmentieren. Wenn also ein Gerät über VPN zugreift, muss unterschieden werden ob alles in Ordnung ist und das Gerät compliant mit den Sicherheitsvorgaben ist, oder ob im Zweifelsfall der Zugriff verwehrt beziehungsweise beschränkt werden muss, wenn etwas nicht stimmt.

Diese Gerätehygiene muss nun auf den Privatbereich erweitert werden. Das ist gerade in heutigen Zeiten ein Thema, auf das Unternehmen einen großen Fokus legen. Die Unternehmen, die das Thema höherer Dynamik bereits im Vorfeld durch Shared-Office-Bereiche oder Home Office angegangen sind, sind jetzt natürlich klar im Vorteil. Der Aufbau einer solchen Infrastruktur ist alles andere als trivial und benötigt viel Zeit und Aufwand.

ds: Und wie sieht es mit der Cloud aus?

Kristian von Mejer: Hier in Deutschland ist seit einiger Zeit ein starker Trend in Richtung Cloud zu verzeichnen. Man hört immer öfter von so genannten Intranet-losen Ansätzen. Diese Cloud-Services sind natürlich hoch interessant. Wäre es nicht toll, wenn man von jedem Endgerät aus überall nur noch webbasierte Services konsumieren würde? Ein spannender Ansatz, er führt aber immer wieder zu großen Herausforderungen. Das komplette Abnabeln vom Firmennetzwerk ist oft mit einer Reihe von Problemen verbunden. Selbst wenn man versucht komplett auf die Cloud zu wechseln gibt es bei großen Unternehmen dennoch einige Services, die innerhalb des Intranets genutzt werden müssen. Was aber durchaus möglich ist, ist die mobilen Mitarbeiter, z.B. Sales-Teams die viel unterwegs sind, mit ausschließlich Intranet-losem Zugang auszustatten. Diesem Gedanken kann ich einiges abgewinnen. Aber: Diese Geräte machen nur einen Bruchteil des Unternehmens aus. Gerade bei produzierenden Unternehmen sehen wir im OT-Bereich viele Geräte, die wohl niemals vollständig vom Intranet getrennt sein werden. Diese OT-Geräte werden immer eine Secure-Zone bleiben, eine Parzelle, die in sich tausende Geräte als geschlossenes System beinhaltet. Ich mag den Intranet-losen Ansatz, das klingt großartig, ist toll, aber kann für die nächsten Jahrzehnte nicht vollständig und problemlos umgesetzt werden.

ds: Was ist bei der Cloud in Sachen Compliance zu beachten?

Kristian von Mejer: Sobald es um den Konsum von Cloud Services geht sind Unternehmen natürlich für die Einhaltung von Compliance-Richtlinien zuständig. Immer wenn der Mitarbeiter mit dem IT-Gerät unterwegs ist und Services nutzt, haben Firmen die Verantwortung die Online-Kommunikation sicher zu machen. Wenn ein Gerät das Online kommuniziert – wenn auch nur temporär – korrumpiert ist und die Datensätze in irgendeiner Form parallel auf fremde Server hochlädt, hat trotzdem die Firma den Sicherheitsvorfall zu beklagen. Unabhängig davon ob der Vorfall von einem Privatgerät „Intranet-less“ ausgegangen ist. Auch da müssen Unternehmen sehr sensibel herangehen und sich ihrer Verantwortung bewusst sein und daran denken, dass eben auch diese Privatgeräte, die Firmeninformationen verarbeiten, in das Sicherheitskonzept der Firma inkludiert sein müssen.

Besonders im Bereich KRITIS ist das problematisch. Unternehmen wissen bei diesen Cloud-Services nicht Bescheid und es entsteht Verwirrung. Stichwort DSGVO und US-Cloud-Act. Natürlich sind diese Unternehmen dazu verpflichtet, sich an die Compliance-Vorgaben zu halten. Alle Organisationen, die ihren Hauptsitz in den USA haben, sind z.B. zur Herausgabe von Daten an US-Behörden verpflichtet. Daher wünsche ich mir, dass Unternehmen stärker auf heimische Anbieter und Daten – bzw. Cloud-Services setzen.

ds: Welche Entwicklungen sehen Sie bei der Cybersicherheit im Bereich OT?

Kristian von Mejer: Was wir ganz stark sehen, ist die Herausforderung der Konvergenz von IT und OT. Bei OT spreche ich von produzierendem Gewerbe und proprietären Protokollen. Die Herausforderung: Wie kann ich die klassische IT-Security auf meine Produktion erweitern, ohne Probleme für die Sicherheit und die Abläufe zu schaffen?

Das stellt eine große Herausforderung dar und es entstehen oft Probleme zwischen den IT- und Produktionsebenen. Produktionsausfälle sind extrem kostspielig. In den Produktionsstätten wird mitunter auch sehr alte Technologie eingesetzt, z.B. analoge Modems. Gibt es da eine Überwachung? Nicht wirklich. Man traut sich aber nicht die bestehende Infrastruktur abzureißen oder einzugreifen, aus der Angst etwas kaputt zu machen. Hier müssen IT und OT an einem Strang ziehen.

Es sind nach wie vor sehr große Unterschiede bei den Herangehensweisen von traditioneller IT und OT. Diese Brücke zu überwinden ist eine große Herausforderung. Die Notwendigkeit, die IT einer Fabrik nach außen hin zu öffnen aufgrund von Verträgen von Maschinenherstellern für Wartungsarbeiten etc. ist zwar wichtig, aber die Geräte hängen teilweise an einer Infrastruktur mit veralteten Windowsversionen und anderen unsicheren Systemen, was das ganze problematisch macht. Da wird der Zugang zu sensiblen Daten geöffnet, was gefährlich sein kann. Wir sehen dieses Thema gerade viel und wir empfehlen ähnliche Kontroll- und Sicherheitsmechanismen aus der IT auch auf OT ausweiten zu können. Die Skalierbarkeit spielt hier auch eine wichtige Rolle und man sollte das regeln können auch ohne Anbieter zu wechseln.

Weitere Informationen zum Thema:

Forescout
Unternehmenswebsite

datensicherheit.de, 08.06.2020
IT-Sicherheit: Fragen zur Anpassung an die heutige Remote-Arbeitsumgebung

Reaktion auf die COVID-19-Pandemie und bessere Erfüllung von Richtlinien

[datensicherheit.de, 30.06.2020] Durch eine erhöhte Anzahl an Fernzugriffen auf Unternehmensnetzwerke wird eine starke Authentifizierung der Nutzer immer wichtiger. Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) hat sich deshalb mit Marc Bütikofer (MB), Head of Innovation Security Solutions bei Airlock, zusammengesetzt und über das Thema Zwei-Faktor-Authentifizierung (2FA) gesprochen.

Marc Bütikofer , Head of Innovation Security Solutions bei Airlock, Bild: Airlock

ds: Wiese sollten Zugänge über eine 2FA gesichert werden?

MB: Einerseits verlangen das staatliche Regulierungen, wie die PSD-2 für Zahlungsdienstleister, andererseits hilft es dabei, andere Richtlinien, wie die EU-DSGVO, besser zu erfüllen. Außerdem schafft es ein höheres Vertrauen der Kunden in die Dienste und damit das Unternehmen, weil jene sicher sein können, dass personenbezogenen Daten doppelt geschützt werden. Außerdem erlaubt eine Sicherung der Zugänge über 2FA es, komfortable Angebote, wie Single-Sign-On für alle Web-Services eines Unternehmens oder den Zugriff auf User-Self-Services sicher zur Verfügung zu stellen. Auch für den Zugriff von Mitarbeitern auf das Firmennetzwerk lässt sich Airlock 2FA gut einsetzen, etwa zur Absicherung von VPN-Fernzugriffen in Zeiten des Home Offices.

ds: Welche Form der Zwei-Faktor-Authentifizierung offeriert der Airlock-Secure-Access-Hub und warum?

MB: Der Zugang wird über eine App abgewickelt, die auf Bordmittel der Smartphones zurückgreift, wie FaceID für die Gesichtserkennung oder TouchID für den Fingerabdruck. Diese sind einerseits bewährt und andererseits geht damit die Implementierung schnell und günstig über die Bühne. Prinzipiell gibt es vier Methoden: One-Touch schickt bei der Anmeldung am Desktop eine Push-Nachricht auf das Smartphone, die bestätigt werden muss. Zero-Touch greift zur Bestätigung auf Umgebungs-Informationen zurück, wie Hintergrundgeräusche; eine umständliche Interaktion des Nutzers fällt weg. Fehlt die Datenverbindung des Smartphones, kann eine Offline-Anmeldung mittels QR-Code erfolgen. Außerdem lässt sich Offline auch ein Passcode verwenden, der alle 30 Sekunden automatisch geändert wird. Das entspricht beispielsweise der Funktion des bereits gängigen Hardware-Tokens, den viele Firmen für den Zugriff auf ihr VPN-Netzwerk einsetzen. Die Kommunikation zwischen Airlock 2FA und Smartphones findet über einen Cloud-Dienst statt.

Wer auf das Smartphone verzichten möchte, kann auch den Airlock 2FA Hardware Token verwenden, der, wie ein Smartphone, über Display und Kamera verfügt.

ds: Wie implementieren Sie 2FA/ den Secure Access Hub in Unternehmen?

MB: Bislang haben wir externe 2FA Lösungen für unsere Kunden auf Wunsch für diese eingebaut. Nun haben wir auf die starke Nachfrage nach 2FA mit einer eigenen Lösung reagiert und sie als Komponente unseres bewährten Secure Access Hubs gestaltet. Damit können wir sie besser auf die Bedürfnisse unserer Kunden und die anderen Komponenten des Hubs abstimmen. Airlock 2FA lässt sich bei neuen Kunden zusammen mit dem Secure Access Hub oder als Erweiterung bei Bestandskunden einführen.

ds: Gibt es besondere Hürden in den IT-Infrastrukturen, welche die Implementierung erschweren?

MB: Natürlich ist es stets einfacher, wenn keine Legacy-Systeme eingebunden werden müssen oder direkt mit 2FA zusammenarbeitende Komponenten, wie ein cIAM, von uns kommen und aufeinander abgestimmt sind. Aber Airlock 2FA lässt sich tatsächlich sehr einfach integrieren und mit bestehenden Systemen verknüpfen. Die zugehörige App wird über die bekannten App-Stores heruntergeladen und kann völlig generisch an Branding und Bedürfnisse des Kunden angepasst werden. Ein SDK erlaubt es außerdem, die 2FA-Funkionen in eigene Anwendungen zu integrieren.

ds: Wie schnell lässt sich 2FA integrieren?

MB: Je nach Anforderungen innerhalb weniger Stunden oder Tage. Monatelange Projekte entfallen dank der einfachen Integrationsmöglichkeiten und nahtloser Integration mit den anderen Komponenten vom Secure Access Hub.

ds: Stehen sich Sicherheit und Usability bei Zwei-Faktor-Authentifizierung im Weg?

MB: Ein Spannungsfeld liegt in der Natur der Sache, aber das ist ja die Herausforderung, diesen Spagat zu schaffen. Es geht darum, IT-Sicherheit einfach zu machen, sodass sie zum Beschleuniger von Innovationen wird, nicht zur Bremse.

ds: Wie optimieren Sie die Usability ohne die Sicherheit der 2FA zu kompromittieren?

MB: Wir setzen auf komfortable Methoden, um den zweiten Faktor abzufragen, wie Zero-Touch und One-Touch, statt der umständlichen und teuren SMS-Codes oder beispielsweise OTP-Eingaben. Außerdem haben wir bestimmte Prozesse so einfach wie möglich gestaltet, damit sie nicht nur technisch versierte Nutzer ausführen können. Neue Mitarbeiter lassen sich so schnell einbinden, die Angestellten können die Art des zweiten Faktors selbst auswählen und ein Wechsel des Smartphones kann dank der durch uns optimierten Prozesse ohne Helpdesk sehr einfach vonstatten gehen.

ds: Was macht die Herangehensweise des Secure Access Hubs einzigartig?

MB: Der Secure Access Hub ist eine Plattform, die verschiedene Komponenten zentral steuert und unter einem Dach vereint – ein Sicherheitspaket sozusagen. Dazu gehören Web Application Firewall (WAF), Customer Identity and Access Management (cIAM), API Gateway und nun eben 2FA. Alle Sicherheitslösungen stammen aus einer Hand und sind daher aufeinander abgestimmt. Es kommt also nicht zu den üblichen Kommunikationsproblemen zwischen den Produkten verschiedener Hersteller, die wiederum zu Sicherheitslücken führen können. Wir haben das Experten-Wissen vieler Absolventen der ETH Zürich und stehen mit der Universität in engem Kontakt. Wir sitzen in Zürich und bauen alles bei uns im Haus. Das ist echte Schweizer Qualität. Sogar der Support wird von uns persönlich geleistet.

ds: Wie werden die Daten der Mitarbeiter geschützt (besonders bei einer Authentifizierung über Kamera oder Audio)?

MB: Biometrische Daten – also Daten aus Fingerabdrücken oder Gesichtserkennung – verlassen das Mobiltelefon nicht, sie werden also nie zum Server geschickt. Sie werden ausschließlich verwendet, um auf dem Mobile kryptografisches Schlüsselmaterial freizuschalten. Die Zero-Touch-Authentisierung kann auf dem Vergleich von Hintergrundgeräuschen basieren. Audiodaten werden ans Mobiltelefon geschickt und dort verglichen. Die dabei verwendete Datenverbindung ist Ende-zu-Ende verschlüsselt und ist damit für den Server nicht sichtbar. Die Privatsphäre des Benutzers ist damit immer gewährleistet.

ds: Wie sieht das Lizensierungsmodell des SAH und der 2FA aus?

MB: Die meisten Kunden entscheiden sich für ein Mietmodell – also monatliche/jährliche Kosten anstatt von einmaligen Lizenzzahlungen mit einem Wartungsvertrag. Für einen Neukunden mit 100.000 Usern belaufen sich die jährlichen Kosten auf ca. 100.000 Euro – also 1 Euro pro User pro Jahr.

Weitere Informationen zum Thema:

Airlock
Unternehmenswebsite

datensicherheit.de, 05.05.2020
Sicherheit: Konzept Passwort muss überdacht werden

Cyber Threat Assessment Report 2020 vorgestellt

[datensicherheit.de, 15.04.2020] Angesichts der gehäuften Meldungen zu Cyberangriffen rund um COVID-19 hat Carsten J. Pinnow für datensicherheit.de (ds) ein Interview mit Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales zum vorliegenden COVID-19 Cyber Threat Assessment Report 2020 geführt.

ds: Welche Trends konnten Sie in Ihrer Analyse feststellen?

Delmas: Cyberkriminelle Gruppierungen scheinen der tatsächlichen Entwicklung des Virus zu folgen, mit wichtigen Angriffen zunächst in Asien (Taiwan, Südkorea, Mongolei…), dann in Mittel- und Osteuropa (Tschechische Republik, Ukraine) und schließlich in Westeuropa (Italien, Frankreich).

In den letzten Wochen wurden viele Fake-Domains, die mit COVID-19 in Verbindung stehen, angemeldet. Mehr als 10 Prozent dieser Domains können zur Einschleusung von Malware führen (d.h. einige Millionen Möglichkeiten zur Infektion mit Malware). So duplizieren Hacker beispielsweise Websites mit Hilfe interaktiver Karten über den Verlauf des Virus und fügen ihnen Malware hinzu. Massive Spam-Kampagnen nutzen COVID-19 als Lockmittel. Diese Kampagnen zielen in der Regel darauf ab, Lösegeldforderungen und Datendiebstahl zu betreiben oder Bank-Malware (z.B. TrickBot, Agent Tesla, FormBook, Loki Bot) einzusetzen. Per E-Mail verschickte Phishing-Kampagnen fordern die Benutzer auf, sich auf einer gefälschten Office 365-Webseite anzumelden, um Zugang zu einem angeblich wichtigen Dokument zu erhalten. Betrugskampagnen (Business Email Compromise oder BEC) verbreiten nicht unbedingt Malware, sondern fordern eine Geldsumme. Darüber hinaus nehmen auch Angriffe, die von staatlich finanzierten Hackergruppen durchgeführt werden, zu (Advanced Persistent Threat). Sie benutzen COVID-19 aktuell als Vorwand, um ihre Spionagekampagnen zu starten.

Bild: Thales

Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales

Hierzu ist wichtig zu wissen, dass diese cyberkriminellen Gruppierungen nicht neu sind, sondern die gleichen Cybergangster, mit denen wir es schon vorher zu tun hatten. Nun sprangen und springen sie auf die aktuellen Entwicklungen auf und versuchen davon zu profitieren. In Zeiten, in denen wir es mit Malware-as-a-Service zu tun haben und die Versender der Phishing-Mails nicht mehr die Urheber der Schadsoftware selbst sind, wird der Erfolg der Kampagnen und letztlich der Gruppierungen daran gemessen, wer am meisten Infektionen und erpresstes Lösegeld nachweisen kann. Die Tools bekommt der Angreifer dann von selbst und natürlich erhält die erfolgreichste Gruppe auch Zugriff auf die neuesten und besten Werkzeuge. Cybercrime ist ein Geschäft und in diesem Fall ist das Ausnutzen des Informationsbedarfs innerhalb der Bevölkerung der am meisten erfolgsversprechende Treiber.

Letztlich geht es aber nicht nur um die Infektion, um die Erpressung via Ransomware, es geht auch um Industriespionage. Dass jetzt besonders viele Mitarbeiter im Home Office arbeiten ist für viele Cyberkriminelle ein Vorteil, weil sie weniger Hürden nehmen müssen, um sich Zugriff auf sensible Daten zu verschaffen.

ds: In Deutschland ist vor allem der Mittelstand gefährdet, denn er kann sich keine teuren Sicherheitslösungen leisten, schon gar nicht, wenn die halbe Belegschaft und mehr nun aus der Ferne auf die IT-Systeme zugreifen müssen. Wie können sich gerade diese mittelständischen Unternehmen am besten vor solchen Angriffen schützen?

Delmas: In der Regel können Unternehmen gegen Spear-Phishing wenig ausrichten, sie können nicht von allen Mitarbeitern ständige Wachsamkeit erwarten. Die Opfer sind nicht wirklich darauf vorbereitet und es ist schwer sie im Home-Office zu schulen. Letztlich wird bei den Phishing-E-Mails und Business E-Mail Compromise (BEC) ein enormer Druck auf die Empfänger ausgeübt und es gibt zahlreiche Beispiele, bei denen selbst Experten es schwer haben die Anzeichen auf eine Phishing-E-Mail sofort richtig zu erkennen. Wir sehen über unsere Systeme, dass vor allem Telearbeiter über Cloud Services wie Office 365 mit Phishing geradezu bombardiert werden. BEC nimmt ebenfalls eher zu, als dass es weniger wird.

Wir raten dazu die Empfehlungen der ANSSI (Agence nationale de la sécurité des systèmes d’information, das französische Counterpart zum BSI) in ihrem Bulletin d’actualité CERTFR-2020- ACT-002 zu befolgen:

1. Wichtig ist, unter keinen Umständen die Webschnittstellen von Microsoft Exchange-Servern, die nicht auf dem neuesten Stand sind, im Internet zu veröffentlichen.
2.  Gewähren Sie keinen Zugriff auf Ihre File-Sharing-Server über das SMB-Protokoll.
3.  Wenn Sie neue Dienste im Internet bereitstellen oder bereitstellen müssen, aktualisieren Sie diese sobald wie möglich mit den neuesten Sicherheits-Patches und aktivieren Sie Protokollierungsmechanismen. Wenn möglich, aktivieren Sie die Zwei-Faktor-Authentifizierung.
4. Schnelles Aufspielen von Sicherheits-Patches, insbesondere bei Geräten und Software, die dem Internet ausgesetzt sind (VPN-Lösung, Remote-Desktop-Lösung, Messaging-Lösung usw.).
5. Führen Sie Offline-Backups für Ihre kritischen Systeme durch.
6. Verwenden Sie eine firmenspezifische Zugangslösung wie VPN, idealerweise IPsec oder TLS, um zu vermeiden, dass Anwendungen direkt dem Internet ausgesetzt werden.
7. Implementierung von Zwei-Faktor-Authentifizierungsmechanismen zur Begrenzung des Risikos von Identitätsdiebstahl (VPN und zugängliche Anwendungen).
8. Überprüfen Sie regelmäßig die Zugriffsprotokolle der im Internet veröffentlichten Lösungen, um verdächtiges Verhalten zu erkennen.

Darüber hinaus sollten Sie die folgenden Tipps befolgen:

• Vermeiden Sie es, dass Ihre Mitarbeiter auf Fake-News hereinfallen. Weisen Sie Ihre Mitarbeiter darauf hin, nur vertrauenswürdige Informationen zu konsumieren, die von staatlichen Stellen stammen. Nur so gelingt es die Flut an Falschinformationen einzudämmen, die dann dazu beitragen weitere per Phishing zugeschickte Fake-News anzuklicken und den eigenen Laptop zu infizieren.
• Alarmieren Sie Ihre Telearbeiter auf der Grundlage der Empfehlungen der ANSSI. Die überwiegende Mehrheit der Institutionen und Organisationen hat sich für die Fernarbeit entschieden. Dennoch sollte die Änderung der Arbeitsumgebung die Mitarbeiter nicht dazu veranlassen, ihre Gewohnheiten zu ändern. Im Gegenteil, im Lichte der hier beschriebenen Ereignisse ist es ratsam, sich an die Vorschriften zu erinnern, die in Ihrem Unternehmen zu beachten sind.
• Geben Sie der Aufklärung von Cyber-Bedrohungen den Vorrang. Einige der Angreifer sind äußerst erfolgreich. Die Überwachung ihrer Bewegungen vor dem Hintergrund laufender Kampagnen ist auf der Ebene der Institutionen und Organisationen von wesentlicher Bedeutung. Die Aufklärungsteams für Cyber-Bedrohungen sind mit diesen Gruppen vertraut, wissen, wie sie arbeiten und was sie motiviert. Regelmäßige Analysen ermöglichen es, eine proaktive Haltung gegenüber diesen Angreifern einzunehmen.
• Die Kombination von Erkennungswerkzeugen mit Informationen über Cyber-Bedrohungen zum Schutz ihrer Systeme. Der Einsatz von Werkzeugen wie IDS (Intrusion Detection Systems), die mit den Informationen der Cyber-Bedrohungsintelligenz angereichert sind, ermöglicht, die Angriffe aller Gruppen zum Zeitpunkt ihres Auftretens zu erkennen und so den potenziellen Schaden erheblich zu reduzieren.

ds: Gibt es bei all dem Negativen auch einen kleinen Lichtblick?

Delmas: Zumindest für Europa, allerdings ist der eher schwach. Nachdem die Gruppen im März vor allem in Europa aktiv waren, lenken sie nun ihre Aufmerksamkeit auf die USA. Das heißt jedoch nicht, dass jetzt europäische Firmen weniger im Fokus stehen. Die Cyberkriminellen gehen nur Back-to-Business, also nutzen jetzt wieder die allgemeinen Aufhänger für ihre Aktivitäten und nicht mehr die Themen COVID-19 und Heimarbeit. Wir müssen also wachsam bleiben und auch mittelständische Firmen müssen auf kurz oder lang in ihre Sicherheit investieren. Wenn man allerdings die oben genannten Tipps verfolgt, dann ist die Ausgangslage schon mal besser als vorher.

ds:Herr Delmas, wir bedanken uns für das Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

Genug Sicherheitsexperten, aber falsch verteilt

[datensicherheit.de, 08.04.2020] Carsten J. Pinnow für datensicherheit.de sprach angesichts der Diskussion um den Fachkräftemangel, vor allem bei der Einrichtung von Security Operations Centern und angesichts des Home Office-Trends und deren Auswirkungen auf die IT-Sicherheit mit Dr. Matthias Rosche, Geschäftsführer der Orange Cyberdefense Germany GmbH.

Bild: Orange Cyberdefense Germany GmbH

Dr. Matthias Rosche, Geschäftsführer der Orange Cyberdefense Germany GmbH

Im letzten Jahr wurde bekannt, dass die bisherige SecureLink zu 100 Prozent von dem französischen Telekommunikationsunternehmen Orange übernommen wird. Inzwischen ist dieser Prozess abgeschlossen, wie uns Dr. Rosche während des Gesprächs erklärt. Seit dem 9. März sind auch die letzten Umbauten abgeschlossen worden. Mit den weltweit mehr als 600 Mitarbeitern erzielte Securelink im Jahr 2018 einen Umsatz von 248 Mio. Euro und betreut mehr als 2.000 Kunden aus den unterschiedlichsten Branchen. Die spezialisierten Dienstleistungen umfassen Cybersicherheitsberatung, Sicherheitswartung und Rund-um-die-Uhr-Support durch „CyberSOCs“ (Cyber Security Operations Center), sowie Kompetenzen zur Erkennung und Reaktion auf Cybervorfälle und ein umfangreiches Technologie-Partnernetzwerk. Mit dieser Übernahme erwächst die neue Orange Cyberdefense zum europäischen Marktführer im Bereich Cybersicherheit mit ca. 2.100 Mitarbeitern, mehr als 700 Mio. Euro Umsatz (im Jahr 2018) und Standorten in den wichtigsten europäischen Märkten. Seine Stärken sieht das Unternehmen vor allem in den weltweiten SOCs, seinem Beratungsportfolio und dem Know-how seiner Mitarbeiter. Wir haben deshalb mal nachgefragt, welche Trends und Herausforderungen auf die SOCs und deren Mitarbeiter im Jahr 2020 zu kommen werden.

ds: Herr Dr. Rosche welche Trends sehen Sie für dieses Jahr auf die Betreiber von SOCs zu kommen?

Dr. Rosche: Letztlich passiert hier eine Menge, denn es gibt ja nicht weniger, sondern immer mehr Angriffe und Bedrohungen. Auf der technischen Ebene kann man sagen: Ohne SOAR (Security Orchestration, Automation and Response) läuft im SOC nichts mehr. Wir haben verschiedene marktführenden Lösungen und entsprechende Prozesse implementiert, um unseren Kunden hier laufend den besten Service zu liefern.

Ein wichtigerer Trend ist der Übergang in die Cloud. Derzeit wird reihenweise Infrastruktur 1:1 in die Cloud überführt. Das ist der erste Schritt jeder Cloud-Strategie. Im nächsten Schritt lösen sich diese klassischen Client-Server Strukturen auf und es entstehen völlig neue Implementierungen über Container bis hin zur komplett serverfreien Cloudumgebung mit vielen Eigenentwicklungen. Warum ist das auch für SOC-Betreiber ein wichtiger Trend? Software wird nun überall entwickelt. Jede Firma wird zu einer Softwarefirma. Die Frage, die sich nun stellt, ist, wie innerhalb der Firmen sichere Software programmiert und betrieben werden kann. An dieser Stelle möchte ich den Begriff Supply Chain Security erwähnen, der bereits bei der Code-Entwicklung beginnt und bis zur Bereitstellung der Software reicht. Für SOC-Betreiber bedeutet das, auf diese neue Art der Cloud-Security vorbereitet zu sein. Sicherheitskomponenten werden dabei direkt in der Entwicklung verbaut. Sicherheitsanbieter stellen dafür Libraries und Komponenten zur Verfügung, die direkt in die Anwendungen einfließen und Security by Design ermöglichen. Zero Trust Security wird ein Schlüsselthemen, wenn sich klassische IT-Architekturen auflösen.

Eine starke Authentisierung wird zum „Must Have“ vor allem für mobile Mitarbeiter. Letztlich wird aus „BYOD“ das Konzept „Any Device“. Allerdings ist zur Umsetzung dieses Konzepts eine flächendeckende Verfügbarkeit von 5G erforderlich, was sicherlich zwischen drei und fünf Jahren dauern wird.

ds: In Zeiten des Corona-Virus ist das Betreiben von SOCs sicher eine Herausforderung. Welche Maßnahmen haben Sie ergriffen, um Ihre Mitarbeiter zu schützen?

Dr. Rosche: Bei uns sind derzeit alle Mitarbeiter aus dem Home Office tätig. Uns war bereits vor dieser Krise wichtig, dass wir ein Notfall-Szenario entwickeln, welches den Remote-Zugriff und die Bereitstellung unserer Services aus dem Home Office heraus ermöglicht. Deshalb war es dann auch kein Problem unsere Experten von zu Hause arbeiten zu lassen und unseren Kunden trotzdem den qualitativen Service anzubieten, den sie von uns gewohnt sind. Wir sind so aufgestellt, dass wir auch bis auf weiteres so arbeiten und unsere Kunden schützen können.

Letztlich bin ich davon überzeugt, dass diese Krise eine große Chance für die Zukunft des Standorts Deutschland ist. Wir sehen wie viele unserer Kunden und Unternehmen nun verstärkt in die Digitalisierung investieren und dabei auch an die Absicherung ihrer digitalen Services denken. Hier beschleunigt sich gerade eine Entwicklung, die sonst wahrscheinlich noch einige Jahre in Anspruch genommen hätte. Das betrifft alle Branchen, egal ob Medizintechnik, Automotive, Maschinenbau, Banken und Versicherungen oder aber Transport und Handel.

ds: Welche Auswirkungen hat die derzeitige Krise auf den Fachkräftemangel im Security-Umfeld. Wird es durch die stärkere Digitalisierung zu einer weiteren Verschärfung dieser Entwicklung kommen?

Dr. Rosche: Ich glaube, es gibt genügend Security Experten, sie sind nur falsch verteilt. Der Fachkräftemangel im Bereich IT-Security führt ganz automatisch zur Optimierung dieser Ressourcen. Security Dienstleistungen skalieren und profitieren von der Kundenanzahl eines Anbieters. Viele Endkunden haben in der Vergangenheit versucht eigene Security Abteilungen für operative Services aufzubauen. Sie mussten allerdings lernen, dass nicht nur die Einstellung, sondern auch die kontinuierliche Entwicklung von Fachspezialisten zeit- und kostenintensiv ist. Sowohl große Konzerne als auch mittelständische Unternehmen schwenken nun um. Der Fachkräftemangel ist dabei der stärkste Treiber.

Die Automatisierung von Sicherheitsdienstleistungen als Managed Service kann viel Zeit sparen und bringt bei Dienstleistern einen größeren Effekt, als bei isolierten Services einzelner Unternehmen. Die aktuelle Pandemie-Krise sehe ich als große Chance für die Digitalisierung und damit auch für deutsche Unternehmen sich für die Zukunft wettbewerbsfähig aufzustellen.

ds: Herr Dr. Rosche wir bedanken uns für das Gespräch!

Weitere Informationen zum Thema:

datensicherheit.de, 01.04.2020
Krisenzeiten: Security Operations Center in Betrieb halten