datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Sat, 18 May 2024 14:28:31 +0000 de-DE hourly 1 Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! https://www.datensicherheit.de/cyber-angriff-mittel-deepfake-phishing-mitarbeiter-sensibilisierung-ceo-imitationen-erkennung https://www.datensicherheit.de/cyber-angriff-mittel-deepfake-phishing-mitarbeiter-sensibilisierung-ceo-imitationen-erkennung#respond Sat, 18 May 2024 14:28:31 +0000 https://www.datensicherheit.de/?p=44715 knowbe4-martin-j-kraemer-2024Dieser Deepfake-Vorfall macht deutlich, wie hoch das Risiko solcher Angriffe ist und dass sie Unternehmen jeder Branche betreffen können.]]> knowbe4-martin-j-kraemer-2024

Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

[datensicherheit.de, 18.05.2024] „Vor Kurzem wurde bekannt, dass ein Mitarbeiter eines Entwicklungsunternehmens für Passwortmanager das Ziel eines Deepfake-Phishing-Angriffs wurde, bei dem sich der Angreifer als ,CEO’ des Unternehmens ausgab“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in einer aktuellen Stellungnahme. In diesem Fall sei positiv zu vermelden: „Dank seiner Schulung konnte der Mitarbeiter jedoch die verdächtigen Anzeichen des Angriffs rechtzeitig erkennen und ließ sich nicht täuschen.“ Dieser Vorfall mache indes deutlich, „wie hoch das Risiko solcher Angriffe ist und dass sie Unternehmen jeder Branche betreffen können“. Zugleich zeige er, wie entscheidend die Sensibilisierung der Mitarbeiter für eine wirksame Verteidigung sei.

knowbe4-martin-j-kraemer-2024

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Deepfakes nutzen generative KI, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen!

Kontaktierter Mitarbeiter erkannte Deepfake-Angriff und machte Meldung

Bei dem besagten Vorfall habe ein Mitarbeiter mehrere Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht erhalten, welche alle durch den Einsatz von Deepfake-Technologie die Stimme des „CEO“ nachgeahmt hätten. Der betreffende Mitarbeiter habe jedoch verdächtige Merkmale des Angriffs bemerkt: „Die Kommunikation fand außerhalb der üblichen Geschäftskanäle statt und es wurde eine künstliche Dringlichkeit vermittelt.“ Daraufhin habe er den Vorfall umgehend dem internen Sicherheitsteam gemeldet.

IT-Sicherheitsexperten warnten zudem vor der zunehmenden Verbreitung von Deepfake-Technologien und betonten, wie wichtig es sei, das Bewusstsein für derartige Angriffe zu schärfen. Dr. Krämer führt hierzu aus: „Deepfakes nutzen generative Künstliche Intelligenz, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen.“ Diese Technologie sei nicht nur mit politischer Desinformation in Verbindung gebracht worden, sondern gebe auch im privaten Sektor zunehmend Anlass zur Sorge, da sie leicht zugänglich sei und potenziell für betrügerische Aktivitäten genutzt werden könne.

Deepfake-Phishing-Angriffe haben für Unternehmen erhebliches Schadens-Potenzial

„Einmal erfolgreich durchgeführt, könnten solche Angriffe schwerwiegende Konsequenzen haben“, warnt Dr. Krämer. Von der Offenlegung vertraulicher Informationen bis hin zu finanziellen Verlusten oder sogar dem Zugang zu sensiblen Systemen und Datenbanken könnte ein Deepfake-Phishing-Angriff erhebliche Schäden verursachen. Die Tatsache, dass der Mitarbeiter in diesem Fall die verdächtigen Merkmale des Angriffs erkannt und reagiert habe, zeige, dass eine umfassende Schulung und Sensibilisierung für solche Bedrohungen unerlässlich seien.

„Die potenziellen Auswirkungen von Deepfake-Angriffen auf Unternehmen sind vielfältig und können von Rufschädigung bis hin zu finanziellen Verlusten reichen.“ Daher sei es entscheidend, dass Unternehmen nicht nur auf reaktive Maßnahmen setzten, sondern auch proaktiv handelten, um sich gegen diese Bedrohungen zu wappnen. Dr. Krämer betont: „Das umfasst nicht nur technologische Lösungen, sondern auch eine Sensibilisierung der Mitarbeiter für die Risiken von Deepfakes und die Förderung einer Sicherheitskultur und Wachsamkeit in der gesamten Organisation!“ Letztendlich erfordere der Kampf gegen Deepfake-Bedrohungen eine ganzheitliche Strategie, die sowohl technologische Innovationen als auch menschliche Intelligenz umfasse.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de
, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

]]>
https://www.datensicherheit.de/cyber-angriff-mittel-deepfake-phishing-mitarbeiter-sensibilisierung-ceo-imitationen-erkennung/feed 0
QakBot: Neue Windows-Zero-Day-Schwachstelle ausgenutzt https://www.datensicherheit.de/qakbot-neuheit-windows-zero-day-schwachstelle-ausnutzung https://www.datensicherheit.de/qakbot-neuheit-windows-zero-day-schwachstelle-ausnutzung#respond Sat, 18 May 2024 14:20:52 +0000 https://www.datensicherheit.de/?p=44712 Entdeckung wurde im Zuge der Untersuchung der Windows DWM Core Library Elevation of Privilege-Schwachstelle Anfang April 2024 gemacht

[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.

Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke

„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.

Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“

Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.

Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows

Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.

„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.

Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“

Nutzer sollten nun ihre Windows-Systeme aktualisieren

Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.

Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

  • „PDM:Exploit.Win32.Generic“
  • „PDM:Trojan.Win32.Generic“
  • „UDS:DangerousObject.Multi.Generic“
  • „Trojan.Win32.Agent.gen“
  • „Trojan.Win32.CobaltStrike.gen“

Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)

NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail

NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail

MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability

]]>
https://www.datensicherheit.de/qakbot-neuheit-windows-zero-day-schwachstelle-ausnutzung/feed 0
Cyber-Risiken: IT-Security-Verantwortliche scheitern oft an der Kommunikation mit der Obersten Leitung https://www.datensicherheit.de/cyber-risiken-it-security-verantwortliche-scheitern-kommunikation-oberste-leitung https://www.datensicherheit.de/cyber-risiken-it-security-verantwortliche-scheitern-kommunikation-oberste-leitung#respond Fri, 17 May 2024 11:47:43 +0000 https://www.datensicherheit.de/?p=44705 trend-micro-richard-wernerTrend Micro hat am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht.]]> trend-micro-richard-werner

Mehrheit der CISOs (Chief Information Security Officers) in Deutschland und weltweit fühlt sich von der obersten Führungsebene unter Druck gesetzt, die Cyber-Risiken herunterzuspielen

[datensicherheit.de, 17.05.2024] Trend Micro hat nach eigenen Angaben am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht. Demnach fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76% gegenüber weltweit 79%) von der Geschäftsleitung unter Druck gesetzt, die Cyber-Risiken im Unternehmen herunterzuspielen. „48 Prozent (weltweit 41%) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyber-Risiken vorzugehen“, berichtet Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme zu den Ergebnissen der aktuellen Trend-Micro-Studie.

trend-micro-richard-werner

Foto: Trend Micro

Richard Werner rät Unternehmen zur Einführung einer ganzheitlichen Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM)

Große Hürde für CISOs, den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen

Werner berichtet: „Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42%) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43%), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34%, weltweit 33%) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.“

Diese Ergebnisse deuteten offensichtlich auf ein gravierendes Kommunikationsproblem hin: Offenbar schafften es die IT-Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichteten fast alle (99%), dass sich ihre interne Lage verbessert habe, sobald es ihnen gelungen sei, den geschäftlichen Nutzen ihrer Cyber-Sicherheitsstrategie zu messen:

  • „46 Prozent (weltweit 43%) erhielten daraufhin mehr Budget.
  • 45 Prozent (weltweit 44%) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
  • 42 Prozent (weltweit 41%) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
  • 40 Prozent (weltweit 45%) erhielten mehr Verantwortung.
  • 26 Prozent (weltweit 46%) fühlen sich als glaubwürdiger wahrgenommen.“

Zu oft wird immer noch die Cyber-Sicherheit lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt

Doch es gebe noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34%, weltweit 34%) werde Cyber-Sicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.

Nur zirka die Hälfte (51%, weltweit 54%) der Befragten seien zuversichtlich, „dass ihre Führungsebene die Cyber-Risiken, denen das Unternehmen ausgesetzt ist, vollständig versteht“. Da sich diese Zahl seit 2021 kaum verändert habe, stellten sich nun die Fragen: „Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyber-Risiken effektiv in geschäftlichen Begriffen zu kommunizieren?“

Eine große Herausforderung sei dabei die heterogene IT-Security-Landschaft. „Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyber-Risiken zu machen“, erläutert Werner.

Cyber-Risiken indes zumeist das größte Geschäftsrisiko für Unternehmen

Er führt weiter aus: „Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62%) sagen, dass Cyber-Risiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt.“ Werner warnt in diesem Zusammenhang: „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden!“ Der erste Schritt zur Verbesserung sollte darin bestehen, eine „Single Source of Truth“ für die gesamte Angriffsfläche zu schaffen.

Über die Hälfte der Befragten (59%, weltweit 58%) glaubten, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssten. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM) könne dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefere.

Abschließend erläutert Werner: „ASRM sammelt interne und externe Security-Daten in einem zentralen ,Data Lake’, analysiert und korreliert sie KI-gestützt. Im ,Executive Dashboard’ erhalten CISOs alle Informationen zur Risiko-Exposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.“

Weitere Informationen zum Thema:

TREND MICRO
Warum werden CISOs nicht gehört? / Studie von Trend Micro zeigt: IT-Sicherheitsverantwortlichen wird von Geschäftsführungen zu wenig Vertrauen entgegengebracht

]]>
https://www.datensicherheit.de/cyber-risiken-it-security-verantwortliche-scheitern-kommunikation-oberste-leitung/feed 0
Digitaltag 2024 am 7. Juni: Bitkom als Partner sieht Handlungsbedarf https://www.datensicherheit.de/digitaltag-2024-7-juni-bitkom-partner-handlungsbedarf https://www.datensicherheit.de/digitaltag-2024-7-juni-bitkom-partner-handlungsbedarf#respond Fri, 17 May 2024 11:31:05 +0000 https://www.datensicherheit.de/?p=44702 Bitkom möchte wichtige Schlagworte der Digitalisierung allen Menschen verständlich machen

[datensicherheit.de, 17.05.2024] Laut einer aktuellen Bitkom-Umfrage soll jeder Dritte noch nie von „Deepfakes“ gehört haben – ein weiteres Drittel habe dazu allerhöchstens „rudimentäres Wissen“. Auch die Begriffe „Krypto-Währung“, „Ransomware“ und „Blockchain“ seien den Deutschen ebenfalls noch weitestgehend unbekannt. Der Branchenverband möchte daher als Partner des fünften bundesweiten „Digitaltags“ am 7. Juni 2024 zur Verbesserung digitaler Kenntnisse beitragen. Grundlage der Erkenntnisse ist demnach eine Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat: „Dabei wurden 1.002 Personen in Deutschland ab 16 Jahren telefonisch befragt. Die Befragung fand im Zeitraum von KW 14 bis KW 18 2023 statt. Die Umfrage ist repräsentativ.“ Die Fragestellung habe gelautet: „Inwieweit sind Sie mit den folgenden Begriffen bzw. Technologien vertraut?“

Deepfake – Bedeutung laut Bitkom-Umfrage noch weitgehend unbekannt bzw. unklar

Es habe bereits den Papst getroffen, wie auch Donald Trump, die US-Sängerin Taylor Swift und den deutschen Nachrichtensprecher Christian Sievers sowie kürzlich auch Schauspielerin Uschi Glas: „Von ihnen allen sind mithilfe von Künstlicher Intelligenz gefälschte Fotos oder Videos verbreitet worden.“

Diese sogenannten Deepfakes, also digital erzeugte oder veränderte Bilder, Videos oder auch Audio-Sequenzen, seien oftmals nur schwer als Fälschung zu erkennen. 34 Prozent der Menschen in Deutschland sei der Begriff „Deepfake“ aber noch gänzlich unbekannt. Weitere 34 Prozent hätten zwar diesen Begriff schon einmal gehört, wüssten aber nicht genau, was das ist. Lediglich etwa jeder Fünfte (22%) wäre nach eigenem Dafürhalten in der Lage, zu erklären, was damit gemeint ist.

Mit zahlreichen Aktionen möchte der Bitkom mithelfen, die Digitalisierung zu erklären und erlebbar zu machen

„Deepfakes sind längst ein Massenphänomen. Es braucht ein breites Bewusstsein dafür, dass sie existieren und mitunter gezielt eingesetzt werden, um Personen zu verunglimpfen, Wahlen zu beeinflussen oder die Öffentlichkeit in die Irre zu führen“, betont der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder. Er sieht darin einen Auftrag: „Wir müssen dieses und andere wichtige Schlagworte der Digitalisierung allen Menschen verständlich machen.“

Der „Digitaltag“ am 7. Juni 2024 solle mit bundesweit mehr als 2.000 Aktionen dieses Verständnis fördern. Der Bitkom engagiere sich auch in diesem Jahr wieder als Partner. Der „Digitaltag“ findet in diesem Jahr zum fünften Mal statt und hat die Förderung der Digitalen Teilhabe in Deutschland zum Ziel: Mit zahlreichen Aktionen soll die Digitalisierung erklärt und erlebbar gemacht.

Digital für alle: Bitkom unterstützt mit anderen Partnern die Initiative

Auch weitere Begriffe der Digitalisierung seien vielen Menschen noch immer ein Rätsel. So sei „Ransomware“ mehr als einem Drittel (36%) fremd. 33 Prozent hätten zwar von den Schadprogrammen gehört, „können aber nicht erklären, was damit gemeint ist“. 22 Prozent sähen sich in der Lage, den Begriff im Gespräch darzustellen. Ebenfalls komplett unbekannt oder nicht erklärbar: „Metaversum“ (70%), „Blockchain“ (65%), „Krypto-Währung (61%) und „Chatbot“ (54%).

Erklären könnten viele Deutsche nach eigener Einschätzung aber mittlerweile „Cookies“ (74%), „5G“ (67%) und „Künstliche Intelligenz“ (60%). Die Künstliche Intelligenz (KI) sei in diesem Jahr das „Digitaltag“-Schwerpunktthema. Hinter dem „Digitaltag“ steht die Initiative „Digital für alle“ – ein breites Bündnis von insgesamt 28 Organisationen aus Zivilgesellschaft, Kultur, Wissenschaft, Wirtschaft, Wohlfahrt und Öffentlicher Hand.

Weitere Informationen zum Thema:

bitkom
7. Juni 2024 / Bitkom @ Digitaltag

Digitaltag 2024
Digitale Teilhabe jetzt umfassend ermöglichen!

]]>
https://www.datensicherheit.de/digitaltag-2024-7-juni-bitkom-partner-handlungsbedarf/feed 0
BKA Lagebild Cybercrime 2023 erschienen: Alarmierende Zunahme von Vorfällen https://www.datensicherheit.de/bka-lagebild-cybercrime-2023-publikation-alarm-zunahme-vorfaelle https://www.datensicherheit.de/bka-lagebild-cybercrime-2023-publikation-alarm-zunahme-vorfaelle#respond Thu, 16 May 2024 19:37:47 +0000 https://www.datensicherheit.de/?p=44697 Führende Cyber-Sicherheitsexperten nehmen Stellung mit ihren Einsichten und Lösungsansätzen

[datensicherheit.de, 16.05.2024] Das BKA-Lagebild „Cybercrime“ gilt neben dem BSI-Lagebericht als die wohl wichtigste, jährlich erscheinende Einschätzung zum Status Quo der Cyber-Sicherheit Deutschlands. Die neueste Ausgabe zu den erfassten Cybercrime-Straftaten ist Mitte Mai 2024 erschienen und spiegelt offensichtlich eine alarmierende Zunahme wider. Angesichts dieser bedrohlichen Entwicklungen haben führende Cyber-Sicherheitsexperten zu ihren Einsichten und Lösungsansätzen Stellung bezogen:

Deutsche Unternehmen im Cybercrime-Ländervergleich auf Platz 4 der Ransomware-Opfer

„Im ,BKA Bundeslagebild Cybercrime 2023‘ stellt die Behörde fest, dass vor allem eine Zunahme von Cyber-Angriffen von ,Hacktivisten’ wie ,Killnet’ und ,Noname 057(16)‘ beobachtet werden konnte“, so Marco Eggerling, „Global CISO“ bei Check Point Software. Dies decke sich mit ihren eigenen Erkenntnissen: „Vor allem diese beiden Gruppierungen hatten und haben es auf Betreiber Kritischer Infrastruktur wie Flughäfen etc. abgesehen, auch wenn ihr bevorzugtes Mittel der Wahl – DDoS-Attacken – wenn überhaupt, dann nur von kurzem Erfolg waren.“ Der Fokus dieser Gruppen liege mehr auf Eigen-PR, als darauf tatsächlichen Schaden anzurichten.

Bedrohlicher seien da eher die Aktivitäten der Ransomware-Gruppen einzuschätzen. Laut dem jährlichen „Cyber Security Report 2024“ von Check Point Research (CPR) hätten deutsche Unternehmen im Ländervergleich auf Platz 4 der Ransomware-Opfer gelegen. Zu den Hauptzielen gehörten Organisationen und Firmen aus dem Bildungs- und Gesundheitssektor sowie der öffentlichen Verwaltung. Die Angreifer hätten ihre Strategie verfeinert: „Sie nutzen vermehrt Zero-Day-Schwachstellen und Ransomware-as-a-Service (RaaS) mit neuen Erpressungstaktiken.“

Bemerkenswert sei auch, dass das BKA eine Zunahme von Delikten aus dem Ausland beobachtet habe und dass nun mehr Verbrechen mit Cybercrime in Verbindung stünden (26,5%). „Vor allem die Zunahme bei den Ransomware-Zahlungen und die vom BKA festgestellte durchschnittliche Summe von mehr als 620.000 US-Dollar macht angesichts der Diskussionen um die NIS-2 nachdenklich“, betont Eggerling.

Jedes Nutzer-Konto sollte als digitale Brandschutztür im Cyberspace aufgefasst werden!

Eines zeige dieser Report ganz deutlich: „Cyber-Kriminelle benötigen zunehmend zweckentfremdete digitale Identitäten, um Schaden anzurichten und Daten zu entwenden“, unterstreicht Thomas Müller-Martin, „Global Partners Technical Lead“ bei Omada. Dass die Ermittler als hauptsächliche Angriffsvektoren „Initial Access Broker“, Phishing-Methoden und Ransomware auflisteten, lehre uns, dass Identitätsmanagement nach dem Least-Privilege-Prinzip längst un­ab­ding­bar und kein „Nice-to-have“ sei.

Er führt aus: „Hacker kommen auch mit kompromittierten Nutzerkonten nur so weit, wie die Zugriffsrechte des Accounts reichen, den sie übernommen haben.“ Somit werde jedes Konto zu einer Art digitaler Brandschutztür.

„Moderne Zugriffsverwaltung muss obendrein in der Lage sein, in Sekundenschnelle alle (administrativen) Accounts zu deaktivieren – ein Muss bei der Geschwindigkeit zeitgenössischer Hacker-Angriffe“, so Müller-Martin. Überall brauche es also engmaschiges „Identity Management“ und ein schnelles Reaktionsvermögen. So reduziere man im Ernstfall den Blast-Radius eines Cyber-Angriffs. „Das schützt wertvolle Daten vor Fremdzugriff, gewährt Compliance und macht Unternehmen reaktionsfähig und zukunftssicher.“

Es gilt, komplexe Cyber-Angriffsvektoren effizient zu erkennen und zu neutralisieren!

Die Ergebnisse verdeutlichten die wachsenden Herausforderungen, die Cyber-Angriffe auf Unternehmen darstellen. Christian Borst, „CTO EMEA“ bei Vectra AI, kommentiert:Effektive Bedrohungserkennung und -reaktion, wie sie durch fortschrittliche Sicherheitsplattformen ermöglicht wird, sind essenziell, um sich gegen diese Risiken zu wappnen.“

Die Integration von Signalen aus unterschiedlichen Quellen – Netzwerk, „Cloud“, Identität und Endpunkte – könne helfen, komplexe Angriffsvektoren effizient zu erkennen und zu neutralisieren. Insbesondere die Anwendung Künstlicher Intelligenz (KI) zur Analyse und Priorisierung von Sicherheitswarnungen unterstütze Unternehmen dabei, schneller auf Bedrohungen zu reagieren und Ressourcen gezielter einzusetzen.

Borsts Fazit: „Durch die Kombination dieser Technologien können Sicherheitsteams die Überwachung, Erkennung und Reaktion auf Cyber-Angriffe optimieren, was zu einer signifikanten Reduzierung der durch Cyber-Kriminalität verursachten Schäden führt.“

Identitätsbetrug in Deutschland wieder wesentliches Einfallstor für Cyber-Kriminelle

Auch im vergangenen Jahr – 2023 – sei Identitätsbetrug in Deutschland wieder ein wesentliches Einfallstor für Cyber-Kriminelle gewesen. „Der Bericht belegt: Phishing, ,Spear Phishing’ und ,Social Engineering’ stehen bei Cyber-Kriminellen auch weiterhin hoch im Kurs, meint Detlev Riecke, „Regional Vice President (DACH)“ bei Ping Identity.

Er warnt: „Inzwischen stehen den Angreifern ausgefeilte KI-Werkzeuge zur Verfügung. Die Qualität der Angriffe wächst. Doch auch die Professionalität der Cyber-Kriminellen nimmt zu.“ Immer mehr Angreifer spezialisierten sich auf die Kompromittierung von Identitätsdaten, verdingten sich als „Initial Access Broker“. Sie nutzten die erbeuteten Daten nicht selbst, sondern verkauften sie im sogenannten Darknet an interessierte Dritte – ebenfalls Cyber-Kriminelle – weiter, welche dann Folgeangriffe planten und umsetzten. Mit einer Besserung der Lage werde in den kommenden Jahren also kaum zu rechnen sein.

„Sehr richtig stellt das BKA in seinem Bericht aber auch fest, dass mittlerweile KI-gestützte Tools existieren, mit denen gegen eben diese Art von Angriffen erfolgreich vorgegangen werden kann“, stellt Riecke klar: So seien moderne IAM- und CIAM-Systeme (Identity Access Management bzw. Customer Identity and Access Management) durchaus in der Lage, automatisiert Identitätsbetrug aufzuspüren und abzustellen – bevor Cyber-Kriminelle größere Schäden anrichten könnten.

Unternehmen sollten Kontrolle über digitale Umgebung verstärken und sich effektiver gegen komplexe Cyber-Bedrohungsszenarien schützen!

„Der Bericht hebt die steigenden Herausforderungen durch Ransomware und fortschrittliche, anhaltende Bedrohungen hervor“, führt Kristian von Mejer, „Director Central Europe“ bei Forescout, aus.

In diesem Kontext werde die Bedeutung von Lösungen deutlich, die nicht nur Sicherheitslücken aufzeigten, sondern auch aktiv nach Anomalien im Netzwerk suchten, um Angriffe frühzeitig zu erkennen und zu isolieren.

Solche Systeme sollten in der Lage sein, das gesamte Spektrum an „Managed Devices“ zu überwachen und in Echtzeit auf Bedrohungen zu reagieren. Durch die Kombination aus Sichtbarkeit aller Netzwerkelemente und der Fähigkeit, Sicherheitsrichtlinien dynamisch anzupassen und durchzusetzen, könnten Unternehmen die Kontrolle über ihre digitale Umgebung verstärken und sich effektiver gegen die komplexen Bedrohungsszenarien von heute schützen.

Umgang mit KI erforderlich – denn Cyber-Kriminelle nutzen diese bereits zunehmend für täuschend echt aussehende Betrugsmaschen

„Die im ,Bundeslagebild Cybercrime’ aufgezeigte steigende Komplexität und Raffinesse von Cyber-Angriffen unterstreicht die Notwendigkeit für fortschrittliche Lösungen zur Betrugserkennung und -prävention“, erklärt Frank Heisel, „Co-CEO“ von RISK IDENT. Der Einsatz von Technologien, welche verdächtige Transaktionen und Aktivitäten in Echtzeit analysieren und interpretieren könnten, sei entscheidend, um die durch Cyber-Kriminalität verursachten Schäden zu minimieren.

Besonders wichtig sei dabei der Umgang mit Künstlicher Intelligenz (KI), welche zunehmend für täuschend echt aussehende Betrugsmaschen verwendet werde. „Anbieter, die ihre Sicherheitssoftware kontinuierlich – auch mit Hilfe von Machine Learning – weiterentwickeln und an neue Betrugstaktiken anpassen, bieten Unternehmen einen wichtigen Vorteil im Kampf gegen Online-Betrug.

Zusätzlich zur Implementierung von Betrugserkennungslösungen ist laut Heisel jedoch auch die Bildung der Gesellschaft zum Thema KI von entscheidender Bedeutung. Eine umfassende Aufklärung könne die natürliche Resistenz jedes Einzelnen gegen solche Betrügereien erhöhen und somit einen entscheidenden Schutzfaktor gegen die wachsenden Bedrohungen durch Cyber-Kriminalität hinzufügen.

Phishing immer noch einer der am häufigsten genutzten Cyber-Angriffsvektoren

Alexander Koch, „VP Sales EMEA“ bei Yubico, gibt folgende Einschätzung: „Der Report zeigt, dass Phishing immer noch einer der am häufigsten genutzten Angriffsvektoren ist. Ein neuer Trend ist dabei, dass die Verwendung von Künstlicher Intelligenz zur Verfeinerung von Phishing-Kampagnen zunimmt.“

Allein dieser Umstand rücke die Bedeutung von robusten Authentifizierungsverfahren besonders in den Fokus. Hardware-Sicherheitstoken (wie z.B. der „YubiKey“) böten eine erhebliche Abwehr gegen solche Bedrohungen, indem sie den Angreifern eine physische Barriere gegen Remote-Phishing-Angriffe entgegensetzten. Diese Geräte erforderten direkte menschliche Interaktion, was sie gegenüber den ausgeklügelten Methoden der Cyber-Kriminellen resistent mache.

Durch die Nutzung physischer Sicherheitsmechanismen werde der Authentifizierungsprozess deutlich sicherer, da betrügerische Eingriffe in digitale Prozesse wirkungsvoll blockiert würden. Koch fasst zusammen: „Dies stellt sicher, dass selbst hochpersonalisierte Phishing-Versuche, die auf den Diebstahl sensibler Daten abzielen, keinen Erfolg haben.“

Oberste Priorität für Unternehmen: Cyber-Anomalien und -Risiken sofort erkennen und adressieren

Lars Christiansen, „Area VP EMEA Central“ bei Tanium: „Der Bericht hebt unter anderem hervor, dass die Herausforderungen durch Cyber-Kriminalität stetig steigen, insbesondere in den Bereichen Ransomware und Angriffe auf IT-Infrastrukturen.“ Die damit verbundenen wirtschaftlichen Schäden durch Cyber-Kriminalität, welche im Jahr 2023 laut Bitkom e.V. 148 Milliarden Euro erreichten, machten die Notwendigkeit effektiver Sicherheitslösungen deutlich.

Cyber-Sicherheits-Plattformen mit umfassender und integrierter Echtzeit-Überwachung sowie Steuerung von Endgeräten seien entscheidend, um die durch Cyber-Angriffe verursachten Schäden zu minimieren. Die Fähigkeit, schnell auf Bedrohungen reagieren zu können, reduziere nicht nur die potenziellen Kosten für Unternehmen, sondern stärke auch die allgemeine Resilienz gegenüber fortschreitenden und sich stets weiterentwickelnden Cyber-Bedrohungen.

Christiansens Empfehlung: „Für Unternehmen muss es nun oberste Priorität haben, Anomalien und Risiken sofort erkennen und adressieren zu können!“ Die Fähigkeit zur digitalen Wachsamkeit sei im Kampf gegen die wirtschaftlichen Auswirkungen von Cyber-Kriminalität unerlässlich.

Verteidigung gegen Cyber-Angriffe: Backups spielen entscheidende Rolle

Backups spielten eine entscheidende Rolle bei der Verteidigung gegen Cyber-Angriffe, indem sie die Wiederherstellung der Datenintegrität nach Sicherheitsvorfällen ermöglichten. Michael Heuer, „VP DACH“ bei Keepit, macht klar: „Eine effektive Backup-Strategie versetzt Organisationen in die Lage, essenzielle Daten rasch wiederherzustellen, was die Betriebskontinuität unterstützt und die Downtime sowie Kosten reduziert, die mit Cyber-Angriffen verbunden sind.“

Dies sei besonders wichtig, da viele Cyber-Kriminelle darauf abzielten, Daten zu kompromittieren oder zu verschlüsseln, wodurch der Zugriff auf wichtige Geschäftsinformationen verhindert werde.

„Dabei lassen sich SaaS-Applikationen wie ,Microsoft 365‘ oder ,Salesforce’ – die einen großen Teil der Firmendaten verwalten – besonders einfach mit den Backup-Lösungen dedizierter Spezialisten absichern“, rät Heuer abschließend.

Weitere Informationen zum Thema:

Bundeskriminalamt BKA, 16.05.2024
Im Fokus: Bundeslagebild Cybercrime 2023

]]>
https://www.datensicherheit.de/bka-lagebild-cybercrime-2023-publikation-alarm-zunahme-vorfaelle/feed 0
Ebury-Botnet: 400.000 Linux-Server weltweit infiziert https://www.datensicherheit.de/ebury-botnet-400-000-linux-server-welt-infektion https://www.datensicherheit.de/ebury-botnet-400-000-linux-server-welt-infektion#respond Wed, 15 May 2024 18:19:17 +0000 https://www.datensicherheit.de/?p=44694 In vielen Fällen konnten die „Ebury“-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen

[datensicherheit.de, 15.05.2024] Der IT-Sicherheitshersteller ESET hat nach eigenen Angaben am 15. Mai 2024 einen neuen Forschungsbericht veröffentlicht, welcher demnach das schädliche Treiben der Hacker-Gruppe „Ebury“ enthüllt: Diese soll mehr als 400.000 ,Linux’-, ,FreeBSD’- und ,OpenBSD’-Server im Laufe der vergangenen 15 Jahre mit ihrer Malware infiziert haben. „Allein in den vergangenen 18 Monaten kamen 100.000 neue Betroffene hinzu.“ In vielen Fällen hätten die „Ebury“-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen können. Diese Cyber-Kriminellen betrieben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen, welche immer noch im Gange sei und sich weiter ausbreite.

Ebury vielseitig schädlich – Verbreitung von Spam, Umleitungen von Web-Traffic und Diebstahl von Anmeldedaten

„Zu den Aktivitäten der ,Ebury’-Gruppe und ihres Botnets gehörten im Laufe der Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl von Anmeldedaten.“ In den letzten Jahren seien diese Hacker darüber hinaus auch in Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.

Seit mindestens 2009 diene „Ebury“ als „OpenSSH“-Hintertür und zum Diebstahl von Anmeldedaten. Sie werde verwendet, um zusätzliche Malware zu installieren, um das Botnet zu monetarisieren (z.B. Module für die Umleitung des Web-Traffics), den Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM) durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei AitM-Angriffen habe ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.

Ebury-Betreiber stahlen Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails

Die Betreiber hätten das „Ebury“-Botnet verwendet, um Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails zu stehlen. ESET habe neue Malware-Familien aufgedeckt, welche von dieser Bande zu finanziellen Zwecken entwickelt und eingesetzt worden seien – darunter „Apache“-Module und ein „Kernel“-Modul zur Umleitung des Webverkehrs. Die „Ebury“-Gruppe nutze auch Zero-Day-Schwachstellen in der Administratoren-Software aus, um Server massenhaft zu kompromittieren.

„Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um sich bei verwandten Systemen anzumelden.“ Jede neue Hauptversion von „Ebury“ bringe einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken mit sich.

Ebury-Kriminelle in der Lage, Tausende von Servern auf einmal zu kompromittieren

„Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern durch ,Ebury’ kompromittiert wurde. Hierbei wurde ,Ebury’ auf Servern eingesetzt, die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden. Dies führte dazu, dass die Kriminellen in der Lage waren, Tausende von Servern auf einmal zu kompromittieren“, berichtet ESET-Forscher Marc-Etienne M. Léveillé, welcher „Ebury“ mehr als ein Jahrzehnt lang untersucht habe.

Diese Hacker-Gruppe kenne keine geographischen Grenzen – es gebe in fast allen Ländern der Welt mit „Ebury“ kompromittierte Server. „Jedes Mal, wenn ein Hosting-Anbieter infiziert wurde, führte dies zu einer großen Anzahl weiterer betroffener Server in denselben Rechenzentren.“ Gleichzeitig schienen keine Branchen gezielter angegriffen zu werden als andere.

Namhafte Ebury-Opfer in aller Welt

Zu den Opfern gehörten Universitäten, kleine und große Unternehmen, Internetprovider, Krypto-Händler, Tor-Exit-Nodes, Shared-Hosting-Anbieter und Dedicated-Server-Provider. Ende 2019 sei die Infrastruktur eines großen und populären US-basierten Domain-Registrars und Web-Hosting-Anbieters kompromittiert worden.

Insgesamt seien etwa 2.500 physische und 60.000 virtuelle Server von den Angreifern kompromittiert worden. Ein sehr großer Teil der Server – wenn nicht alle – werde zwischen mehreren Nutzern für die Websites von mehr als 1,5 Millionen Konten gemeinsam genutzt. Bei einem anderen Vorfall seien insgesamt 70.000 Server dieses Hosting-Anbieters 2023 durch „Ebury“ kompromittiert worden. Auch „kernel.org“, der Host für den Quellcode des „Linux“-Kernels, sei unter den Opfern gewesen.

Ebury ernsthafte Bedrohung und Herausforderung für Linux-Community

„,Ebury’ stellt eine ernsthafte Bedrohung und eine Herausforderung für die ,Linux’-Community dar. Es gibt keine einfache Lösung, die ,Ebury’ unwirksam machen würde.“ Aber eine Handvoll Abhilfemaßnahmen könnten laut Léveillé angewandt werden, um die Verbreitung und die Auswirkungen zu minimieren.

Man müsse sich darüber im Klaren sein, dass es nicht nur sich weniger um die Sicherheit kümmernde Organisationen oder Einzelpersonen treffe – viele technisch versierte Personen und große Organisationen stünden auf der Liste der Opfer. Vor zehn Jahren habe ESET ein „Whitepaper“ über die Operation „Windigo“ veröffentlicht, bei der mehrere Malware-Familien in Kombination eingesetzt worden seien, wobei die „Ebury“-Malware-Familie den Kern gebildet habe.

ESET-Forscher erlangten erhebliche Einblicke in die Operationen der Ebury-Bedrohungsakteure

Ende 2021 habe sich die niederländische „National High Tech Crime Unit“ (NHTCU), ein Teil der niederländischen Polizei, an ESET wegen Servern in den Niederlanden gewandt, welche im Verdacht gestanden hätten, mit „Ebury“-Malware infiziert zu sein. „Dieser erwies sich als begründet, und mit der Unterstützung der NHTCU konnten die ESET-Forscher erhebliche Einblicke in die Operationen der ,Ebury’-Bedrohungsakteure gewinnen.“

Nach der Veröffentlichung des „Windigo-Papers“ Anfang 2014 sei einer der Täter 2015 an der finnisch-russischen Grenze festgenommen und später an die Vereinigten Staaten von Amerika ausgeliefert worden. Obwohl er zunächst seine Unschuld beteuert habe, seien von ihm schließlich 2017 die Vorwürfe eingeräumt worden – „einige Wochen bevor sein Prozess vor dem US-Bezirksgericht in Minneapolis beginnen und ESET-Forscher als Zeugen aussagen sollten“.

Weitere Informationen zum Thema:

eseT, 2024
APT Activity Report / IRAN-ALIGNED CYBERATTACKS: RISE IN DISRUPTIVE OPERATIONS / October 2023 – March 2024

datensicherheit.de, 13.02.2014
Ebury-Rootkit: Zahlreiche deutsche Server infiziert / BSI gibt Informationen für Betreiber und Provider

]]>
https://www.datensicherheit.de/ebury-botnet-400-000-linux-server-welt-infektion/feed 0
Datenschutzkonferenz: Alexander Roßnagel übernimmt Vorsitz ab 16. Mai 2024 https://www.datensicherheit.de/datenschutzkonferenz-alexander-rossnagel-uebernahm-vorsitz-16-mai-2024 https://www.datensicherheit.de/datenschutzkonferenz-alexander-rossnagel-uebernahm-vorsitz-16-mai-2024#respond Wed, 15 May 2024 18:10:30 +0000 https://www.datensicherheit.de/?p=44691 Intensive Erörterung zahlreicher Datenschutzfragen – u.a. zu Regelungslücken im Umgang mit Patientendaten bei Krankenhaus-Schließung

[datensicherheit.de, 15.05.2024] Die Datenschutzkonferenz (DSK), d.h. die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ist nach eigenen Angaben am 14. und 15. Mai 2024 zur 107. Sitzung in Bremerhaven zusammengetreten. „In intensiven Diskussionen wurden zahlreiche Datenschutzfragen erörtert, beispielsweise zu den Themen Regelungslücken im Umgang mit Patientendaten bei Schließung von Krankenhäusern, Anforderungen an die Sekundärnutzung genetischer Daten sowie zur Weiterentwicklung des Standard-Datenschutzmodells.“ Ab dem 16. Mai 2024 ist demnach der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, der Vorsitzende der DSK.

Landesbeauftragte für Datenschutz Schleswig-Holstein übergab Staffelstab an Hessen

Eine Besonderheit habe diesmal darin bestanden, „dass diese Tagung in Bremerhaven logistisch von der Dienststelle der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen ausgerichtet wurde, doch der Vorsitz bis zum 15.05.2024 und damit auch die Konferenzleitung noch einmal von der DSK-Vorsitzenden des Jahres 2023, der Landesbeauftragten für Datenschutz Schleswig-Holstein, Dr. h.c. Marit Hansen, ausgeübt wurde“.

Am Ende der 107. Sitzung gehe der Vorsitz nun bis zum Jahresende 2024 an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, über.

Erfolge bei Umsetzung des Anspruchs auf einheitliche Anwendung des Datenschutzrechts

Dr. Hansen habe ihr verlängertes Vorsitzjahr mit positivem Ergebnis abgeschlossen: „Die Zusammenarbeit in der Datenschutzkonferenz hat sich bewährt, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen.“

Für die Zukunft hält sie allerdings eine Geschäftsstelle für nötig, um als organisatorisches Fundament zu dienen „Die Erwartungen, die von uns selbst, aber auch von anderen an die Datenschutzkonferenz gestellt werden, sind jedes Jahr gestiegen. Um dieser Situation gerecht zu werden, brauchen wir eine Geschäftsstelle. Ich verspreche mir davon eine verbesserte Vollzugssteuerung und Entbürokratisierung.“

Forderung zur Etablierung einer festen Geschäftsstelle für die Datenschutzkonferenz erneuert

Ein Beispiel für eine Vereinfachung, welche den Verantwortlichen helfen würde, sei der DSK-Vorschlag, dass die Geschäftsstelle mit einer einheitlichen technischen Plattform für alle 17 Aufsichtsbehörden der Länder und des Bundes Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO und Meldungen von Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO entgegennehmen könnte.

Drei bei diesem Treffen beschlossene Dokumente sollen in Kürze auf der DSK-Website bereitgestellt werden:

  • Entschließung „Besserer Schutz von Patientendaten bei Schließung von Krankenhäusern“
  • Positionspapier „Anforderungen an die Sekundärnutzung von genetischen Daten zu Forschungszwecken“
  • Das Standard-Datenschutzmodell in der Version 3.1

Weitere Informationen zum Thema:

DSK
DATENSCHUTZKONFERENZ

datenschutz.hessen.de
Der HBDI / Prof. Dr. Alexander Roßnagel

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

]]>
https://www.datensicherheit.de/datenschutzkonferenz-alexander-rossnagel-uebernahm-vorsitz-16-mai-2024/feed 0
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie https://www.datensicherheit.de/nis-2-anforderungen-konkretisierung-bedeutung-verschaerfung-eu-richtlinie https://www.datensicherheit.de/nis-2-anforderungen-konkretisierung-bedeutung-verschaerfung-eu-richtlinie#respond Tue, 14 May 2024 14:51:38 +0000 https://www.datensicherheit.de/?p=44684 bluevoyant-andy-fourieIn einer Zeit zunehmender Cyber-Bedrohungen hat die EU mit Einführung der Richtlinie NIS-2 einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan.]]> bluevoyant-andy-fourie

NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

[datensicherheit.de, 14.05.2024] „In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS-2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan“, so Andy Fourie, „VP of Sales EMEA“ bei BlueVoyant, in seiner aktuellen Stellungnahme. Die NIS-2-Richtlinie baue auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und sei eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa. Diese Richtlinie betreffe mehr als 160.000 in der EU tätige Unternehmen „insbesondere diejenigen, die in 15 Schlüsselsektoren als ,wesentliche’ und ,wichtige’ Unternehmen eingestuft sind“.

bluevoyant-andy-fourie

Foto: BlueVoyant

Andy Fourie zu NIS-2-Konsequenzen: Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen!

NIS-2 schreibt KRITIS-Unternehmen umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor

NIS-2 schreibe solchen Unternehmen eine umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor und zwinge sie, ihre Schutzmaßnahmen in der Lieferkette und ihre Meldepflichten neu zu bewerten und zu verbessern. „Da die Frist für die Einhaltung der Vorschriften im Oktober 2024 abläuft, beginnt für die Unternehmen ein Wettlauf mit der Zeit, um die strengen Anforderungen von NIS-2 zu erfüllen.“

Fourie empfiehlt einen genaueren Blick auf die neuen Anforderungen: „NIS-2 führt vier Hauptbereiche ein, die jeweils spezifische Mandate umfassen, die darauf abzielen, die Cyber-Sicherheitsstandards in allen Bereichen zu erhöhen:“

1. Risikomanagement
Die Unternehmen müssten einen vielschichtigen Ansatz zur Minimierung von Cyber-Risiken umsetzen. Dazu gehörten die Einführung fortschrittlicher Protokolle für das Management von Vorfällen, die Stärkung der Sicherheit der Lieferkette, die Verbesserung der Sicherheit von Netzwerken, die Verbesserung der Zugangskontrolle und der Einsatz von Verschlüsselungstechnologien.

2. Verantwortlichkeit der Unternehmen
Die Richtlinie unterstreiche die Notwendigkeit der Überwachung und Schulung von Maßnahmen zur Cyber-Sicherheit durch die Unternehmensleitung. Sie führe Sanktionen, auch finanzieller Art, für Verstöße ein, „die auf fahrlässiges Verhalten von Führungskräften zurückzuführen sind“.

3. Berichtspflichten
Organisationen müssten Verfahren für die unverzügliche Meldung von derartigen Cyber-Vorfällen einrichten, welche die Bereitstellung von Diensten oder Datenempfängern erheblich beeinträchtigen, und dabei die festgelegten Meldefristen einhalten.

4. Geschäftskontinuität
Die Unternehmen müssten solide Pläne entwickeln, um die Betriebskontinuität nach größeren Cyber-Vorfällen zu gewährleisten. Dazu gehörten Strategien zur Systemwiederherstellung, Notfallverfahren und die Bildung von Krisenreaktionsteams.

10 NIS-2-Mindestanforderungen

NIS-2 definiere neben den allgemeinen Verpflichtungen zehn grundlegende Anforderungen, die das Fundament der Cyber-Sicherheit in der EU bilden sollen:

  1. Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
  2. Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
  3. Anwendung von Kryptographie und Verschlüsselung
  4. Effiziente Bewältigung von Sicherheitsvorfällen
  5. Sichere Systembeschaffung, -entwicklung und sicherer Systembetrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
  6. Durchführung von Schulungen zur Cyber-Sicherheit und Einhaltung grundlegender Praktiken der Cyber-Hygiene
  7. Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
  8. Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cyber-Vorfällen
  9. Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung für Sprach-, Video- und Textkommunikation
  10. Stärkung der Sicherheit in der Lieferkette – Anpassung der Sicherheitsmaßnahmen an die Schwachstellen der einzelnen direkten Zulieferer

Die Nichteinhaltung dieser umfassenden Anforderungen könnte erhebliche Geldbußen nach sich ziehen, die sich für „wesentliche Unternehmen“ auf 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes und für „wichtige Unternehmen“ auf sieben Millionen Euro oder 1,4 Prozent beliefen.

NIS-2-Vorbereitung als strategischer Imperativ

Für in der EU tätige Unternehmen bedeute die Vorbereitung auf NIS-2 eine Reihe strategischer Schritte, darunter die Feststellung der Anwendbarkeit, die Bewertung bestehender Sicherheitsmaßnahmen, die Überarbeitung der Sicherheitsrichtlinien und die Einbeziehung neuer Sicherheits- und Meldemaßnahmen in ihr Lieferkettenmanagement.

Glücklicherweise könnten aktuelle Cyber-Sicherheitsrahmenwerke, wie das „NIST Cyber Security Framework“ (CSF) oder ISO27001 eine solide Grundlage bilden, welche den Übergang für Unternehmen erleichtern könnten. Da die Frist im Oktober 2024 immer näher rücke, sei die Botschaft klar: „Die Zeit zum Handeln ist jetzt gekommen!“ Die NIS-2-Richtlinie der EU lege nicht nur die Messlatte für die Cyber-Sicherheit höher, sondern unterstreiche auch die Bedeutung eines einheitlichen und proaktiven Ansatzes zum Schutz der Digitalen Landschaft vor neuen Bedrohungen. „Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen“, legt Fourie abschließend nahe.

Weitere Informationen zum Thema:

Europäische Kommission
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

OpenKRITIS
NIS2 in EU Countries

NIS2 DIRECTIVE
NIS2 Requirements / Understand and prepare for the upcoming NIS2 requirements

OpenKRITIS
Sanktionen in NIS2 (ab 2024) / Situation ab 2024

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

]]>
https://www.datensicherheit.de/nis-2-anforderungen-konkretisierung-bedeutung-verschaerfung-eu-richtlinie/feed 0
E-Mail-Sicherheit: PSW GROUP rät, mit Zertifikaten die Kommunikation zu verschlüsseln https://www.datensicherheit.de/e-mail-sicherheit-psw-group-rat-zertifikate-kommunikation-verschluesselung https://www.datensicherheit.de/e-mail-sicherheit-psw-group-rat-zertifikate-kommunikation-verschluesselung#respond Tue, 14 May 2024 14:39:47 +0000 https://www.datensicherheit.de/?p=44680 psw-group-patrycja-schrenkAuch wenn E-Mail-Verschlüsselung laut DSGVO noch keine Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen eine E-Mail Verschlüsselung implementieren sollten.]]> psw-group-patrycja-schrenk

Die Verschlüsselung von E-Mails und ihren Anhängen als entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen

[datensicherheit.de, 14.05.2024] In einer Zeit, in der digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken sei, sei die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit – die Verschlüsselung von E-Mails und ihren Anhängen sei sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. „Auch wenn die E-Mail-Verschlüsselung laut Datenschutz-Grundverordnung keine generelle Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen, unabhängig von ihrer Größe oder Branche eine E-Mail Verschlüsselung implementieren sollten“, betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Im Sinne eines verbesserten Datenschutzes sollten Unternehmen sich mit dem Thema E-Mail-Verschlüsselung beschäftigen. Denn durch deren Einsatz könnten Kunden, Partner und Mitarbeitende sicher sein, „dass die Kommunikation sicher und authentisch ist, was wiederum das Vertrauen und die Glaubwürdigkeit stärkt“.

psw-group-patrycja-schrenk

Foto: PSW GROUP

Patrycja Schrenk: Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff!

Verschlüsselung von E-Mails angemessene Maßnahme, um sensible Informationen zu zu schützen

„Die Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff und verhindert damit, dass hochsensible persönliche und geschäftliche Informationen, wie Zugangsdaten, Kalkulationen oder Organigramme, in unbefugte Hände gelangen“, erläutert Schrenk. Zugleich warnt sie davor, die Notwendigkeit einer Verschlüsselung zu unterschätzen: „Selbst vermeintlich harmlose Informationen können von Cyber-Kriminellen genutzt werden, um Angriffe zu planen. Details zu internen Veranstaltungen oder Betriebsfeiern könnten beispielsweise für Social-Engineering-Angriffe verwendet werden. Durch die Verschlüsselung wird das Risiko solcher Angriffe minimiert.“

Wichtig ist laut PSW folgender Umstand: Zwar sei die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben, dennoch lege die Datenschutz-Grundverordnung (DSGVO) fest, dass Unternehmen und Organisationen geeignete Technische und Organisatorische Maßnahmen (TOM) ergreifen müssten, um personenbezogene Daten angemessen zu schützen. „Die Verschlüsselung von E-Mails ist eine solche angemessene Maßnahme, um den Schutz sensibler Informationen zu gewährleisten“, unterstreicht Schrenk.

E-Mail-Verschlüsselung: S/MIME-Zertifikate ermöglichen automatische Verschlüsselung

Eine gängige und sichere Methode, die Sicherheit von E-Mail-Kommunikation zu erhöhen, seien S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions). Solche digitalen Zertifikate ermöglichten die automatische Verschlüsselung von E-Mail-Inhalten samt ihrer Anhänge mit zusätzlicher Signaturfunktion. Schrenk führt aus: „Wenn eine E-Mail mit einem S/MIME-Zertifikat signiert und verschlüsselt ist, können nur der beabsichtigte Empfänger und der Absender die Nachricht lesen. Dies schützt den Inhalt vor unbefugtem Zugriff während der Übertragung, wodurch die Integrität und Vertraulichkeit der Nachrichten gewährleistet wird.“ Der Empfänger wiederum könne sicher sein, dass die empfangene E-Mail tatsächlich von der angegebenen Quelle stamme und nicht manipuliert worden sei. Dies helfe, Phishing-Angriffe zu erkennen und zu verhindern – eine wichtiger Punkt, denn laut Lagebericht zur E-Mail-Sicherheit des IT-Sicherheitsanbieters Mimecast seien 97 Prozent der befragten Unternehmen im Jahr 2022 Ziel von Phishing-Attacken per E-Mail gewesen.

Unternehmen könnten S/MIME-Zertifikate von verschiedenen, auf die Ausstellung von digitalen Zertifikaten spezialisierten Zertifizierungsstellen erwerben. Namhafte Anbieter seien DigiCert, Sectigo, D-TRUST und Certum. Schrenk über den Ablauf: „Zunächst muss das antragstellende Unternehmen seine Identität gegenüber der Zertifizierungsstelle nachweisen, üblicherweise durch Vorlage von Unternehmensdokumenten. Erst dann kann es den eigentlichen Antrag für das S/MIME-Zertifikat stellen, indem es relevante Informationen wie den Unternehmensnamen und gültige E-Mail-Adressen angibt.“ Dies geschehe in der Regel über ein Online-Formular auf der Website der Zertifizierungsstelle. Im Anschluss prüfe die Zertifizierungsstelle die eingereichten Informationen und erstelle das S/MIME-Zertifikat. Dieser Vorgang dauere wenige Tage. „Nach Erhalt des Zertifikats installiert und konfiguriert das Unternehmen dieses in den E-Mail-Clients seiner Mitarbeitenden“, so Schrenk.

Mit Verified Mark Certificates Sicherheit der E-Mail-Kommunikation noch weiter steigern

Neu seien übrigens sogenannte Verified Mark Certificates (VMC), die weiter zur Steigerung der E-Mail-Sicherheit beitrügen. Durch die Implementierung dieser Zertifikate werde das Logo des E-Mail-Absenders bereits im Posteingang des Empfängers angezeigt, „noch bevor die E-Mail geöffnet wird“. Dies gehe über die herkömmliche Sicherung hinaus und trage dazu bei, die E-Mail-Sicherheit zu erhöhen, „indem Spam oder gefährliche Nachrichten frühzeitig erkannt werden“. Gleichzeitig biete es Unternehmen erhebliche Marketingvorteile, weil durch die visuelle Hervorhebung im Posteingang die Wahrscheinlichkeit, dass der Empfänger die E-Mail öffnet, steige, was sich positiv auf die Öffnungsraten auswirke.

„VMC-Zertifikate unterliegen dem BIMI-Standard, der das Anzeigen von Markenlogos in E-Mail-Clients regelt und somit einen höheren Schutz vor Phishing und anderen Angriffen bietet. Dadurch wird auf den ersten Blick anhand des Markenlogos erkennbar, ob es sich um eine vertrauenswürdige E-Mail handelt. Voraussetzung für die Nutzung von VMC-Zertifikaten allerdings ist die DMARC-Konformität, womit gewährleistet wird, dass eine Nachricht tatsächlich von der angezeigten Absender-Domain stammt. Zudem muss das Markenlogo markenrechtlich geschützt sein“, führt Schrenk abschließend aus.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 30.01.2024
Lagebericht der E-Mail-Sicherheit: E-Mail Sicherheit wird zur Chefsache

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht zu den Standards / Benötigt werden „Fachübersetzer“ und IT-Verantwortliche mit gutem Durchblick

datensicherheit.de, 12.07.2019]
E-Mail-Verschlüsselung mit PGP nicht sicher / PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen

]]>
https://www.datensicherheit.de/e-mail-sicherheit-psw-group-rat-zertifikate-kommunikation-verschluesselung/feed 0
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig https://www.datensicherheit.de/passkeys-ersatz-passwoerter-mangel-zweckmaessigkeit https://www.datensicherheit.de/passkeys-ersatz-passwoerter-mangel-zweckmaessigkeit#respond Mon, 13 May 2024 18:55:34 +0000 https://www.datensicherheit.de/?p=44674 thales-simon-mcnallyDer aktuelle Digital Trust Index von Thales zeigt auf, dass 64 Prozent der Befragten vom umständlichen Zurücksetzen von Passwörtern frustriert sind.]]> thales-simon-mcnally

Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

[datensicherheit.de, 13.05.2024] „Passwörter sind nicht mehr zweckmäßig – sie sind leicht zu knacken und sind für den Anwender zu komplex!“, so Simon McNally, „Technical Director IAM EMEA“ bei Thales, in seiner aktuellen Stellungnahme. Die jüngste Ausgabe des „Digital Trust Index“ von Thales zeigt demnach auf, dass 64 Prozent der Befragten vom umständlichen Zurücksetzen von Passwörtern frustriert sind. Menschliches Versagen sei immer noch die Hauptursache für Datenschutzverletzungen. Für Unternehmen sollte nicht zuletzt deshalb das Passwort-Thema ein wichtiges Anliegen sein. Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) und des Quantencomputings machten dies nur noch dringlicher. McNally kommentiert: „Passwörter sollten der Vergangenheit angehören, den Passkeys gehört die Zukunft. Die von einigen Tech-Konzernen eingeleitete Entwicklung sollte gefördert werden.“

thales-simon-mcnally

foto: Thales

Simon McNally: Passkeys ermöglichen besseren Schutz der Privatsphäre

Es ist Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben

McNally: „Wenn also ein Tag für die Sensibilisierung dieses Themas benötigt wird, dann ist es an der Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben.“ Durch den Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und damit wesentlich sicherer. „Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden.“ Für den Anwender sei die Verwendung einfacher und er brauche sich nicht mehr komplizierte Passwörter oder Phrasen zu überlegen.

Schließlich ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten. Letztes Jahr – 2023 – habe Google angekündigt, dass Passkeys nun standardmäßig für Nutzer aktiviert seien, und auch Amazon und Apple hätten diesen Schritt vollzogen.

3 Schritte, um Einsatz von Passkeys zu beginnen

Anwender könnten die folgenden Schritte gehen, um mit dem Einsatz von Passkeys zu beginnen. „Der Einsatz hängt von den Konten ab, über die die Anwender verfügen sowie die Websites, die sie nutzen“, erläutert McNally und führt weiter aus:

1. Bestehende Konten auf den Einsatz von Passkeys überprüfen!
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass der Umstieg einfach sei.

2. Passkeys auf den Geräten aktivieren!
In den Sicherheitseinstellungen des Telefons, Tablets oder Computers gebe es die Option zum Erstellen eines Hauptschlüssels. Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

3. Eine Authentifizierungsmethode einrichten!
„Wenn das Gerät oder Betriebssystem dies unterstützt, muss eine Authentifizierungsmethode eingerichtet werden.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Weitere Informationen zum Thema:

THALES
2024 Thales Digital Trust Index / Building Digital Experiences that Enhance Consumer Trust

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 16.06.2022
Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet / Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen

]]>
https://www.datensicherheit.de/passkeys-ersatz-passwoerter-mangel-zweckmaessigkeit/feed 0