Aktuelles, Branche - geschrieben von dp am Samstag, Februar 16, 2019 20:58 - noch keine Kommentare
Gehackte Daten: Illegaler Online-Handel boomt
Thorsten Krüger erläutert in seinem Kommentar eine offensichtlich unterschätzte Gefahr
[datensicherheit.de, 16.02.2019] Thorsten Krüger, „Director Sales IDP DACH & CEE“ bei Gemalto, warnt davor, den Online-Handel mit gehackten Daten zu unterschätzen: Aktuell mache ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten würden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheine die Lage nicht besser zu werden. Besonders kritisch sei, dass gerade beim Thema Schutz persönlicher Informationen bekannte „Best Practices“ nicht umgesetzt würden. Nachfolgend gibt Krüger drei Schlussfolgerungen zur Kenntnis.
1. Schutz von Accounts allein durch Passwörter nicht mehr zeitgemäß
In vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planten die Kriminellen mit ein, so Krüger: „Die Hintermänner bewerben im Beispiel ,Credential-Stuffing‘-Attacken.“ Hierbei werden demnach E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter zunächst nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit der Nutzer ließen sich so weitere Accounts übernehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spreche sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: „Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet.“ Ein zweiter Faktor sei traditionell eine „Smart Card“, könne aber auch per „PushTAN“ über das Mobiltelefon erfolgen. Entsprechende Angebote gebe es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. „Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie“, berichtet Krüger.
2. Unzureichende Anwendung starker Verschlüsselung
Beim genannten Vorfall seien die Passwörter teilweise im Klartext gespeichert gewesen. Einige Informationen seien mit dem schon seit Jahren als unsicher gelten Algorithmus „MD5“ verschlüsselt gewesen. Sicherheitsexperten sowie das BSI seien von den Vorteilen der Kryptographie überzeugt, warnten aber auch vor dem Versagen der Schutzwirkung, „falls diese unsauber implementiert wird“.
Krüger rät: „Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen.“ Besonders das Schlüsselmaterial müsse verwaltet und geschützt werden, „denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys“.
3. Unternehmen fokussieren zu einseitig auf Perimeter-Sicherheit
„Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden“, so Krüger. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzverletzungen sei kein Zufall. Viele Firmen seien immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warne das BSI bereits seit 2016 und spreche von „Assume the Breach“.
Genau weil sich durch „IoT“, „Cloud Computing“ und „BYOD“ immer neue Angriffsvektoren auftäten, müssten IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. „Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen“, fordert Krüger.
Fazit: noch viel Handlungsbedarf
Es fehle nicht an „Awareness“ und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gebe es immer wieder – und spätestens seit der Anwendbarkeit der DSGVO stünden Organisationen unter Zugzwang.
Es sei daher umso überraschender, dass bei den grundlegenden Mechanismen „so nachlässig gehandelt wird“. Das Beispiel verdeutlicht laut Krüger, „dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht“.
Weitere Informationen zum Thema:
The Register, 11.02.2019
Security / 620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts
datensicherheit.de, 12.10.2018
Gemalto Breach Level Index: 4,5 Milliarden Datensätze im ersten Halbjahr 2018 kompromittiert
datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt
datensicherheit.de, 10.07.2018
Gemalto: Unternehmen sammeln mehr Daten als sie verarbeiten können
datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt
datensicherheit.de, 02.10.2017
Kein Einzelfall: US-Börsenaufsicht gibt Informationsdiebstahl durch Hacker zu
datensicherheit.de, 29.06.2017
Neue Ransomware-Angriffe: Unternehmen sollten ihren eigenen Fortschritt bewerten
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren