[datensicherheit.de, 19.10.2024] Der „Cybersecurity Awareness Month“ versteht sich als eine internationale Initiative, welche sich demnach auf einfache Möglichkeiten konzentriert, sich selbst, die Familie und Unternehmen vor Online-Bedrohungen zu schützen. Das Leitthema des Jahres 2025, „Secure our World“, solle die Allgegenwärtigkeit digitaler Technologien unterstreichen, welche Verbindungen auf der ganzen Welt ermöglichen, und aufzeigen, wie einfache, aber wirksame Maßnahmen eine nachhaltige Wirkung entfalten könnten. „In einer Welt, in der die digitalen Leben immer stärker miteinander verflochten sind, erhöht jeder abgesicherte Angriffsvektor die Sicherheit der vernetzten Menschen.“ In diesem Zusammenhang werden nachfolgend von Imperva „die vier besten Wege zur Absicherung der digitalen Welt“ vorgestellt:

1. Imperva-Tipp zur Absicherung: Schutz von Zugangsdaten – und zwar ohne Passwörter

Bedrohungsakteure würden immer geschickter darin, gezielt auf Zugangsdaten zuzugreifen, daher bewege sich die Branche allmählich weg von Passwörtern und hin zu einer passwortlosen Zukunft. „Das bedeutet, dass man auf andere Formen der Authentifizierung umsteigt, die biometrische Daten, PINs, Muster und Passkeys anstelle von Passwörtern nutzen können.“ Mit einer wachsenden Anzahl von Passkeys und passwortlose Authentifizierung unterstützenden Plattformen werde die Abkehr von Passwörtern immer einfacher und reibungsloser.

„Wenn passwortlose Optionen nicht machbar sind, sollten sichere Passwörter mit einem Passwortmanager verwendet werden!“ Leider verwendeten weniger als 40 Prozent aller Online-Nutzer für jedes Konto ein eigenes Passwort, so der Bericht der „National Cybersecurity Alliance 2023 Oh Behave!“. Wiederverwendete Passwörter gäben Cyber-Kriminellen einen Bonus-Zugang zu anderen Bereichen des digitalen Lebens einer Person, wenn sie sich nur die Mühe gemacht hätten, einen einzigen Zugangscode zu stehlen bzw. zu kaufen oder gar zu knacken.

Abgesehen davon, dass man sich für jede Website anders anmelden sollte, empfehle die gängige Meinung (s. z.B. CISA), dass ein sicheres Kennwort Folgendes enthalten sollte:

• Mindestens 16 Zeichen.
• Zufallsgenerierung mit einer Mischung aus Buchstaben, Symbolen und Zahlen.
• Möglicherweise eine „Passphrase“ aus vier bis sieben Wörtern, wobei eine Zufallsgenerierung empfohlen werde.

In beiden Fällen – Passwörter oder passwortlose Schlüssel – werde ein Passwort-Manager benötigt. Angesichts der Tatsache, dass eine Durchschnittsperson etwa 100 verschiedene Anmeldedaten verwalten müsse, sei es kein Wunder, dass fast ein Drittel der Internetnutzer einen Passwort-Manager verwende, um diese alle zu verwalten.

2. Imperva-Tipp zur Absicherung: Erkennen und Melden von Phishing

Laut dem „Thales 2024 Data Threat Report“ (DRT) sei Phishing der am zweitschnellsten wachsende Angriffsvektor. Phishing-Taktiken würden dank KI immer raffinierter, und es sei wichtiger denn je, Arbeitnehmer in die Lage zu versetzen, deren verräterischen Zeichen zu erkennen. KI-basierte Kampagnen könnten nun wortgetreue E-Mails in jeder beliebigen Sprache verfassen, in der Regel:

• Ein Gefühl der Dringlichkeit erzeugen (Panik erzeugen und das kritische Denkvermögen kurzschließen).
• Aufforderung zu einer ungefragten Handlung (z.B. „Ändern Sie Ihr Passwort jetzt!“ oder „Downloaden Sie jetzt!“).
• Aufforderung zur Eingabe persönlicher Daten (in der Regel Finanzdaten, wie beim „Business Email Compromise“ / BEC-Betrug).

Der effektivste Weg, Menschen in die Lage zu versetzen, Phishing-E-Mails zu erkennen und zu melden, sei jedoch die Stärkung der „menschlichen Firewall“. Unternehmen sollten in Schulungsprogramme zum Sicherheitsbewusstsein nicht nur für ihre Mitarbeiter, sondern auch für deren Familien investieren, um eine positive Kultur zu schaffen – „in der jeder aufgefordert ist, Fehler zu melden, z.B. das Klicken auf einen bösartigen Link“.

3. Imperva-Tipp zur Absicherung: Multifaktor-Authentifizierung einschalten

Die Multifaktor-Authentifizierung (MFA) werde von vielen Anbietern von „Cloud“-Diensten und noch mehr von normalen Unternehmen als Sicherheitsebene verlangt. CISA, ENISA und andere globale Sicherheitsbehörden rieten dazu, „dass jeder sie einführt, da sie zusätzliche Sicherheitsebenen neben den Passwörtern allein schafft (z.B. einen Textverifizierungscode oder einen Fingerabdruck)“. Es seien verschiedene MFA-Optionen verfügbar:

• Phishing-resistente MFA werde von der CISA als „Goldstandard“ bezeichnet und umfasse FIDO/WebAuthn-Authentifizierung und PKI-basierte Methoden (Public Key Infrastructure ).
• App-basierte MFA-Methoden erhöhten die Sicherheit, indem sie eine „Pop-up“- oder „Push“-Benachrichtigung an das Telefon des Benutzers sendeten, ein Einmalpasswort (OTP) generierten oder ein token-basiertes OTP verwendeten.
• Bei SMS- oder Voice-MFA werde dem Benutzer einfach ein Verifizierungsanruf oder -text geschickt.

Trotz der Bedeutung und Vielfalt solcher MFA-Methoden zeige der „DTR“-Bericht von Thales 2024, dass nur 46 Prozent der Unternehmen MFA für mehr als 40 Prozent ihrer Mitarbeiter nutzten. Eine phishing-resistente MFA sei zwar am effektivsten gegen KI-gestützte Social-Engineering-Angriffe, aber jede Form von MFA schon gleich viel besser als gar keine MFA. Darüber hinaus biete die Einführung von MFA einen großen geschäftlichen Nutzen. Der „Thales 2024 Digital Trust Index“ zeige, dass 81 Prozent der Kunden erwarteten, „dass Marken MFA anbieten, was zu einer größeren Loyalität und einem größeren Vertrauen führt“.

4. Imperva-Tipp zur Absicherung: Software aktualisieren: Eine wichtige Abwehrmaßnahme, aber mit Vorsicht zu genießen

Alle Mitarbeiter müssten wissen, „dass sie jedes Mal, wenn sie daran erinnert werden, Software-Updates akzeptieren und anwenden müssen“. Sicherheitslücken könnten nur so geschlossen werden. Einem Ponemon-Bericht zufolge gingen 60 Prozent der Sicherheitsverletzungen auf nicht gepatchte Schwachstellen zurück, was diese einfache Maßnahme noch wichtiger mache.

Cyber-Kriminelle hätten sich schnell KI zu eigen gemacht, um selbst Zero-Day-Schwachstellen zu erkennen und auszunutzen. Interessanterweise öffneten diese ungepatchten Lücken den Weg für die Verbreitung störender Ransomware-Angriffe.

Unternehmen, insbesondere in Kritischen Infrastrukturen, sollten ihre Systeme jedoch mit Bedacht und nicht aus Angst patchen. Auch wenn rechtzeitige Sicherheitsupdates von entscheidender Bedeutung seien, sei es ebenso wichtig, diese Updates in einer kontrollierten Umgebung zu testen. Dies sollte erfolgen, „bevor sie veröffentlicht werden, um die Möglichkeit zu minimieren, dass Kritische Systeme beschädigt werden“.

Impervas Fazit:

Das übergeordnete Ziel des „Cybersecurity Awareness Month“ sei die Sicherheit von Identitäten, Anwendungen, Daten und Software – sowohl von persönlichen als auch von Unternehmensdaten – zu verbessern. Wie die oben genannten Methoden zeigten, müssten gute Verteidigungsmaßnahmen nicht schwierig zu handhaben oder umzusetzen sein. „Wenn man es einfach hält, und praktische, leicht zu handhabende Werkzeuge und Verfahren einsetzt, wird es auch besser angenommen.“

Als Unternehmen sollten die oben genannten bewährten Verfahren durch Lösungen ergänzt werden, „die einen zuverlässigen Anwendungs- und Datenschutz bieten, um das Risiko einer Datenverletzung zu verringern“. Diese Lösungen schützten Anwendungen und APIs, könnten sensible Daten erkennen und klassifizieren, böten Risikoinformationen und ergänzten die Bemühungen der Mitarbeiter um mehr Sicherheit. Die oben genannten benutzerfreundlichen Methoden ermöglichten es Mitarbeitern, die „erste Verteidigungslinie“ zu sein, und die Bereitstellung z.B. von Imperva-Lösungen sei die nächste Verteidigungsebene.

Weitere Informationen zum Thema:

NATIONAL CYBERSECURITY ALLIANCE, 24.09.2024
Cybersecurity Awareness Month / Oh Behave! The Annual Cybersecurity Attitudes and Behaviors Report 2024

THALES, 2024
Global Edition: 2024 Thales Data Threat Report / Navigating New Threats and Overcoming Old Challenges

THALES BLOG, Amit Prakaash, 02.07.2024
Redefining Security: The Power of Passwordless Authentication

THALES BLOG, Pedro Martinez, 02.02.2024
Passkeys and The Beginning of Stronger Authentication

imperva, Blog, Nik Hewitt, 10.10.2022
Why we all Need a Password Manager / What is a password manager?

CISA America’s Cyber Defense Agency
Require Strong Passwords / Enforcing a password manager protects your business / Strong Passwords Mean Safer Business Accounts

[datensicherheit.de, 08.05.2019] Immer häufiger erhalten Hacker Zugriff auf die Public-Cloud-Ressourcen von Unternehmen und Organisationen. Die Ursache ist oft ein nachlässiger Umgang mit den Zugangsschlüsseln berechtigter Nutzer. Eine wesentliche Quelle solcher Schlüssel stellen Entwickler-Plattformen wie GitHub dar, auf denen Mitglieder der DevOps-Teams oft auch vertrauliche Informationen ablegen, die sich in Skripten oder Konfigurationsdateien befinden.

Hoher Schaden möglich

Hacker sind sich dessen bewusst und führen automatisierte Scans auf solchen Repositories durch, um ungeschützte Schlüssel zu finden. Sobald sie solche Schlüssel gefunden haben, erhalten Hacker direkten Zugriff auf die exponierte Cloud-Umgebung, die sie für Datendiebstahl, Account-Übernahme und Ressourcenausbeutung nutzen. Ein sehr häufiger Anwendungsfall ist der Zugriff von Hackern auf ein Cloud-Konto, in dem sie dann multiple Instanzen starten, um Kryptowährungen zu schürfen. Die Kryptowährung bleibt beim Hacker, während der Besitzer des Cloud-Kontos die Rechnung für die Nutzung von Computerressourcen bezahlen kann. Solche Fälle von Erschleichung sind häufiger als man denken sollte – auch namhafte Auto- und Software-Hersteller oder Internet-Unternehmen finden sich unter den Opfern. Der Schaden kann dabei durchaus 4- bis 5-stellige Beträge pro Tag erreichen. Das Problem ist so weit verbreitet, dass Amazon sogar eine spezielle Supportseite eingerichtet hat, auf der den Entwicklern mitgeteilt wird, was sie tun sollen, wenn sie versehentlich ihre Zugangsschlüssel preisgeben.

Kompromitierung von Drittanbietern als Zugang zu Zugangsschlüssel

Neben dem Hochladen auf GitHub & Co. gibt es jedoch auch andere Möglichkeiten, Zugangsschlüssel zu exponieren. Hierzu zählen etwa Fehlkonfiguration von Cloud-Ressourcen, die solche Schlüssel enthalten, Kompromittierung von Drittanbietern, die über solche Zugangsdaten verfügen, Exposition durch Client-seitigen Code, der Schlüssel enthält, gezielte Spear-Phishing-Angriffe gegen DevOps-Mitarbeiter und mehr.

Bild: Radware

Infografik Cloud-Angriffe

Radware hat drei grundlegende Tipps für Public-Cloud-Nutzer, mit denen sie sich vor Missbrauch ihrer Ressourcen schützen können:

1. Vom Worst Case ausgehen
   Natürlich ist die Sicherung der Vertraulichkeit von Anmeldeinformationen von größter Bedeutung. Da solche Informationen jedoch auf verschiedene Weise und aus einer Vielzahl von Quellen weitergegeben werden können, sollte man davon ausgehen, dass Anmeldeinformationen bereits veröffentlicht sind oder in Zukunft veröffentlicht werden können. Die Annahme dieser Denkweise wird dabei helfen, den Schaden, der durch diese Gefährdung entstehen kann, zu begrenzen.
2. Berechtigungen einschränken
   Die Hauptvorteile der Migration in die Cloud sind die Agilität und Flexibilität, die Cloud-Umgebungen bieten, wenn es um die Bereitstellung von Computerressourcen geht. Agilität und Flexibilität gehen jedoch oft auf Kosten der Sicherheit. Ein gutes Beispiel ist die Gewährung von Berechtigungen für Benutzer, die sie nicht haben sollten. Im Namen der Zweckmäßigkeit erteilen Administratoren den Benutzern häufig pauschale Berechtigungen, um einen uneingeschränkten Betrieb zu gewährleisten. Das Problem ist jedoch, dass die Mehrzahl der Benutzer die meisten der ihnen gewährten Berechtigungen nie verwenden und sie wahrscheinlich gar nicht erst benötigen. Dies führt zu einer klaffenden Sicherheitslücke, denn wenn einer dieser Benutzer (oder deren Zugriffsschlüssel) gefährdet wird, können Angreifer diese Berechtigungen ausnutzen, um erheblichen Schaden anzurichten. Daher wird die Begrenzung dieser Berechtigungen nach dem Prinzip der geringsten Privilegien erheblich dazu beitragen, potenzielle Schäden zu begrenzen, wenn Zugriffsschlüssel in falsche Hände geraten
3. Die Früherkennung ist entscheidend
   Der letzte Schritt ist die Implementierung von Maßnahmen, die die Benutzeraktivität auf potenziell schädliches Verhalten überwachen. Ein solches bösartiges Verhalten kann die erstmalige Verwendung von APIs, der Zugriff von ungewöhnlichen Orten aus, der Zugriff zu ungewöhnlichen Zeiten, verdächtige Kommunikationsmuster, die Exposition von Daten oder Ressourcen und vieles mehr sein. Die Implementierung von Erkennungsmaßnahmen, die nach solchen Indikatoren für bösartiges Verhalten suchen, diese korrelieren und vor potenziell bösartigen Aktivitäten warnen, wird dazu beitragen, dass Hacker frühzeitig entdeckt werden, bevor sie größeren Schaden anrichten können.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2019
Thycotic-Umfrage: PAM wandert in die Cloud

datensicherheit.de, 29.04.2019
Studie: Trend zur Cloud – IT-Security spielt entscheidende Rolle

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

datensicherheit.de, 28.04.2019
Herausforderungen bei Cloud-First-Strategie meistern

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

[datensicherheit.de, 07.08.2018] Die umfassende Absicherung von IT-Systemen vor dem Hintergrund der digitalen Transformation bleibt nach wie vor eine der größten Herausforderungen für IT-Organisationen. Das zeigt eine aktuelle Studie der International Data Corporation (IDC) [1], die von Matrix42 unterstützt wurde. Allerdings ist eine weitgehend geschlossene Security-Kette nur in wenigen der befragten Unternehmen vorhanden. Ein Gesamtlösungsansatz zur Informationssicherheit ist aber eine Grundvoraussetzung, um alle Komponenten, Lösungen und Prozesse zu erfassen und in der Folge die erforderlichen Richtlinien abzuleiten.

IT-Sicherheit bleibt weiterhin ein Dauerbrenner

IT-Sicherheit bleibt weiterhin ein Dauerbrenner in den IT-Abteilungen und für die Mitarbeiter in den Fachbereichen der Unternehmen. In der IDC-Studie geben 67 Prozent der befragten Unternehmen an, in den letzten Monaten Sicherheitsvorfälle verzeichnet zu haben. Am häufigsten waren PCs und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Sie werden als Einfallstor in das Rechenzentrum genutzt. Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren betroffen, ebenso wie Drucker, Sensoren und IoT.

Sicherheitsrisiko: Fehlverhalten der Anwender

Allerdings sind das Fehlverhalten der Anwender (37 Prozent) sowie unzureichend gesicherte Endpoints (34 Prozent) die beiden am häufigsten genannten Sicherheitsrisiken. „Noch immer unterschätzen viele Unternehmen die aktuellen und zukünftigen Sicherheitsbedrohungen. Sie übersehen, dass IT-Security ganzheitlich betrachtet werden muss. Nur durch ein mehrschichtiges Schutzsystem, das aufeinander abgestimmte Maßnahmen koordiniert zur Verfügung stellt, volle Transparenz anbietet und automatisiert schützt, sind Organisationen auch in der Zukunft gut gegen Angriffe gewappnet“, erklärt Oliver Bendig, CEO bei Matrix42.

Fünf Empfehlungen:

IDC gibt fünf Empfehlungen, um den Schutz der IT zu verbessern:

1. Führen Sie eine realistische Bestandsaufnahme der Schutz-, Abwehr- und Wiederherstellungsfähigkeit Ihres Unternehmens durch.
2. Betrachten Sie IT-Security ganzheitlich und planen Sie strategisch.
3. Integrieren Sie Ihre Tools und automatisieren Sie Ihre Prozesse.
4. Nutzen Sie unterschiedliche Lösungen und Bereitstellungsmodelle.
5. Entwickeln Sie eine Security-Kultur in Ihrem Unternehmen.

Neue Herausforderungen

Laut den IDC-Experten zeichnen sich bereits neue Herausforderungen und Veränderungen im Bereich der IT-Sicherheit ab, denen sich Unternehmen stellen müssen. Eine zunehmende Autonomie der Fachbereiche, neue Use Cases jenseits der betriebswirtschaftlichen IT sowie Internet-of-Things-Szenarien werden verstärkt in den Fokus rücken. Für IT-Entscheider wird es also auch in Zukunft nicht einfacher, das Spannungsfeld aus Business Enablement und sicherem IT-Betrieb aufzulösen.

Matrix42: Endpoint-Security mit mehr als 15 Modulen

Matrix42 bietet seinen Kunden eine Endpoint-Security-Lösung mit über 15 Modulen aus einer Hand anbietet. Diese Module sind aufeinander abgestimmt und ergänzen sich, funktionieren aber auch alleine oder in Kombination mit anderen. Bendig: „Unser Ziel ist es, unseren Kunden und deren Anwendern eine IT-Security-Lösung anzubieten, die die Produktivität nicht einschränkt und unbemerkt im Hintergrund läuft. Mit unserer Lösung bieten wir absolute Transparenz über alle sicherheitsrelevanten Vorgänge sowie automatisches Erkennen, Reagieren und Handeln beim Auftreten von Anomalien.“

[1] IDC Multi-Client-Projekt: IT-Security in Deutschland 2018. Herausforderungen und Pläne. Befragt wurden im Juni 2018 230 Organisationen in Deutschland mit mehr als 20 Mitarbeitern.

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 23.07.2018
Handhabung von IT-Komplexität: Sechs Strategien für CIOs

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

[datensicherheit.de, 17.05.2017] Anlässlich des „15. Deutschen IT-Sicherheitskongresses“ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben den neuen Leitfaden zur IT-Grundschutz-Vorgehensweise „Basis-Absicherung“ vorgestellt.

In drei Schritten zur Informationssicherheit

Der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ richtet sich laut BSI an kleine und mittlere Unternehmen (KMU) sowie kleinere Behörden und soll einen kompakten und übersichtlichen Einstieg zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) liefern. Der Leitfaden basiere auf dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik und erläutere elementare Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus.

Für ein Mindestmaß an Informationssicherheit

„Der neue Leitfaden ist der ideale Einstieg für Institutionen, die sich mit grundlegenden Fragen der Informationssicherheit befassen wollen. Unser Anspruch als nationale Cyber-Sicherheitsbehörde ist es, erfolgreich Informationssicherheit zu gestalten. Dazu gehört auch, die Anwender in Staat, Wirtschaft und Gesellschaft nicht allein zu lassen, sondern ihnen praktikable Handlungsempfehlungen zur Verfügung zu stellen“, erläutert BSI-Präsident Arne Schönbohm. Mit diesen könnten sie ein „Mindestmaß an Informationssicherheit auf Basis des modernisierten IT-Grundschutzes über alle Geschäftsprozesse und Fachverfahren hinweg“ umsetzen.

Anwender zur Mitwirkung aufgerufen!

Der neue Leitfaden steht als „Community Draft“ zum Download auf der Website des BSI zur Verfügung. Anwender sind vom BSI aufgerufen, per E-Mail unter grundschutz [at] bsi [dot] bund [dot] de Anregungen und Hinweise zu diesem Leitfaden abzugeben. Diese sollen dann in dessen Weiterentwicklung einfließen.

Modernisierter IT-Grundschutz

Seit seiner Einführung im Jahr 1994 werde der IT-Grundschutz des BSI permanent weiterentwickelt und gelte mittlerweile als Referenzwerk für Informationssicherheit in Deutschland. Die Vorgehensweisen nach „IT-Grundschutz“ böten zusammen mit dem „IT-Grundschutz-Kompendium“ eine systematische Methodik zur Erarbeitung von Sicherheitskonzepten und praxiserprobten Sicherheitsmaßnahmen, die in zahlreichen Behörden und Unternehmen seit vielen Jahren erfolgreich eingesetzt würden.
Derzeit unterziehe das BSI den IT-Grundschutz einer Modernisierung, insbesondere in Bezug auf Vorgehensweisen, auf eine Neuausrichtung der IT-Grundschutz-Profile sowie auf eine Verschlankung der Bausteine, was insgesamt eine „Beschleunigung der Umsetzung von praxisnahen IT-Sicherheitsmaßnahmen“ ermöglichen soll.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
BSI-Standards – Methoden, Verfahren und Prozesse zur Informationssicherheit / BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras