[datensicherheit.de, 03.09.2025] Kevin Heneka hebt in seiner aktuellen Stellungnahme „Technical Surveillance Counter Measures“ (TSCM) als „Gebot der Stunde“ hervor – immer mehr Unternehmen müssten erkennen, dass Cybersecurity allein nicht ausreicht. Er warnt: „Wirtschaftsspionage findet ebenso bei Meetings, in Hotelzimmern und am Verhandlungstisch statt.“

Unternehmen sollten auch im realen Leben Schutz vor Wirtschaftsspionage suchen

Eine rasant steigende Nachfrage nach Geräten für den Abhörschutz und die Abwehr von Überwachungsmaßnahmen – eben „Technical Surveillance Counter Measures“ (TSCM) – erfährt nach eigenen Angaben derzeit das Karlsruher Sicherheitsunternehmen hensec.

• Dessen Inhaber, Heneka, führt aus: „Immer mehr Unternehmen erkennen, dass es über Cybersecurity hinaus notwendig ist, sich auch im realen Leben vor Wirtschaftsspionage durch Konkurrenten und staatliche Akteure zu schützen. Auf Reisen, in Konferenzen und am Verhandlungstisch besteht überall die Gefahr, illegal abgehört oder gefilmt zu werden.“

Die Unternehmen müssten proaktiv agieren, um sich vor dem Ausspähen von Geschäftsgeheimnissen, vertraulichen Verhandlungen und persönlichen Informationen zu schützen. Hierfür halte z.B. hensec eine ganze Reihe von TSCM-Systemen bereit, welche höchsten Sicherheitsanforderungen genügten.

hensec-Detektoren können Unternehmen helfen, verdeckte Überwachungsgeräte aufzuspüren

Im Zentrum des Portfolios stehe der TSCM-Detektor „M1-PRO“, welcher verdeckte Überwachungsgeräte im Frequenzbereich von 0 kHz bis 20 GHz aufspüren könne. Dieses System erkenne sowohl analoge als auch digitale, drahtlose oder verkabelte Spionagegeräte, einschließlich GSM, LTE, „5G“, WLAN und „Bluetooth“. Mit intelligenten Sonden wie einer Thermal- und Laser-/Infrarotsonde könne „M1-PRO“ sogar Geräte, „die gar keine Signale aussenden, wie beispielsweise Audiorecorder im Standby-Modus oder Laser-Mikrofone“, auffinden. Eine spezielle GPS-Antenne reaktiviere verborgene GPS-Tracker zur Detektion, während die Mikrokamera-Sonde selbst ausgeschaltete Kameras lokalisiere.

• Ergänzend dazu fungiere der „MEFF M2-PRO“ als Minispion-Detektor mit integriertem HF-Spektrumanalysator. Dieses Gerät scanne Bandbreiten von 100 Hz bis 24 GHz im Mikrosekundentakt und sei damit prädestiniert für die Erkennung illegaler Abhörsignale, umfassende Hochfrequenzanalysen und den Schutz vor Missbrauch im HF-Spektrum.

Anwender bestätigten, dass dies eine der besten, je von ihnen getesteten Lösungen zum Detektieren von „BTLE-Devices“ oder illegalen Trackern (z.B. AirTags) sei. Mit knapp vier Kilogramm Masse und bis zu sechs Stunden Batteriebetrieb sei dieses Gerät für den mobilen Einsatz bestens geeignet. Eine Echtzeit-Richtungserkennung ermögliche die präzise Verfolgung von Signalen, während die integrierte automatische Berichtserstellung wertvolle Zeit bei der Nacharbeit spare.

Abwehrmaßnahmen der Unternehmen müssen mit technischer Aufrüstung mithalten

Für die optische Überprüfung von Räumlichkeiten biete sich „MEFF S1-Optik“ an – dieses ebenfalls tragbare Gerät erkenne versteckte Minikameras, unabhängig davon, ob sie ein- oder ausgeschaltet sind – selbst dann, wenn sie über keine Stromversorgung verfügten.

• Die Kameralinsen werden demnach hierzu durch einen leistungsstarken roten LED-Strahl und spezielle Rotfilter-Brillen visuell ausfindig gemacht. Der mit einem Helm gelieferte Detektor sei ideal für schnelle Sicherheitsüberprüfungen in sensiblen Bereichen wie Konferenz- oder Hotelzimmern.

Heneka betont abschließend: „Die Wirtschaftsspione werden nicht nur immer dreister, sondern setzen dazu auch immer raffiniertere Technik ein. Die Abwehrmaßnahmen müssen mit dieser technischen Aufrüstung mithalten, um wirksam zu sein!“ Genau dies sei der Anspruch und das Leistungsversprechen von hensec.

Weitere Informationen zum Thema:

hensec
Ganzheitliche Sicherheit für Industrie, Wirtschaft und Behörden

datensicherheit.de, 13.08.2025
IT-Unsicherheit im Hotel: 5 Angriffsmethoden auf Gäste / Viele Reisende wissen nicht, dass Hotels Hotspots für digitale Bedrohungen sein können – was dann einen erhofften erholsamen Aufenthalt zum Risiko für persönlichen Daten und Geräte macht

datensicherheit.de, 04.08.2025
Überwachungskameras: Wenn Sicherheitstechnik zum -risiko wird / Überwachungstechnik kann als Einfallstor für Kriminelle dienen – laut einer aktuellen Bitsight-Recherche senden weltweit rund 40.000 Kameras Bilder ungeschützt ins Netz

datensicherheit.de, 19.09.2017
Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht / Forscher der Ben-Gurion-Universität warnen vor Missbrauch

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.

[datensicherheit.de, 15.01.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung ein: „Wie schütze ich mich effizient? Abwehrmechanismen gegen Phishing und Ransomware“ – dieses Web-Seminar zielt darauf ab, einen Überblick über aktuelle Strategien und Gegenmaßnahmen zu geben, um sich gegen die zunehmend raffinierteren Bedrohungen durch Phishing und Ransomware zu verteidigen.

Abbildung: it’s.BB

Web-Seminar am 24.01.2024 in Zusammenarbeit mit der IHK Berlin

Interessanter Einblick zur Stärkung der eigenen digitalen Abwehr

Vom Verständnis der neuesten Phishing-Trends bis hin zur Implementierung robuster Sicherheitsstrategien soll dieses Web-Seminar einen interessanten Einblick zur Stärkung der eigenen digitalen Abwehr bieten.

„Egal, ob Sie technisch Interessierter oder ein proaktiver Geschäftsführer sind, erhalten Sie interessante Informationen, um Ihren Cyber-Raum sicher und widerstandsfähig zu gestalten.“ Dieses Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

Abwehrmechanismen gegen Phishing und Ransomware

Mittwoch, 24. Januar 2024
16.00 bis 17.00 Uhr, online via „zoom“
kostenlose Teilnahme – Anmeldung erforderlich

Agenda (ohne Gewähr):

• Begrüßung
• „Überblick Phishing und Endring-Strategien“
• „Anatomie von Ransomware“
• „Bedrohungen identifizieren, Risiken erkennen“
• „Technische Präventivmaßnahmen: Sicherheitswerkzeuge und -technologien“
• „Organisatorische Maßnahmen: Eine Kultur der Sicherheit schaffen“
• Fragen / Diskussion / Abschluss

Referenten: Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG, und Anna Borodenko, IHK Berlin.

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 24. Januar / Wie schütze ich mich effizient? / Abwehrmechanismen gegen Phishing und Ransomware

[datensicherheit.de, 06.07.2022] Cloudflare hat sich nach eigenen Angaben darauf spezialisiert, DDoS-Attacken abzuwehren und regelmäßig Daten zu neuesten Angriffstrends, zu Ursprungsländern von Cyber-Attacken und zu angegriffenen Branchen zu veröffentlichen. Aktuell hat Cloudflare die DDoS-Attack-Trends für das zweite Jahresquartal 2022 veröffentlicht: In den Monaten April bis Juni wurden in der sogenannten DACH-Region demnach überwiegend Medien-Unternehmen sowie IT- und Software-Organisationen attackiert. In einer Stellungnahme hierzu wird auf die wichtigsten Ergebnisse im Überblick eingegangen.

Cloudflare-Statistik beinhaltet größte jemals gemessene HTTPS-DDoS-Attacke

Neben dem allgemeinen internationalen Angriffsgeschehen werde in der neuen Cloudflare-Statistik auch auf die größte jemals gemessenen HTTPS-DDoS-Attacke eingegangen, welche dieses Unternehmen im Juni 2022 abgewehrt habe. Zudem analysiere Cloudflare das Angriffsverhalten in Russland und der Ukraine.

Der o.g. HTTPS-DDoS-Angriff mit 26 Millionen Anfragen pro Sekunde sei von einem kleinen, aber starken Botnetz ausgegangen. „Der Angriff wurde automatisch erkannt und abgewehrt.“

Ziele der Cyber-Angriffe in Russland und der Ukraine laut Cloudflare

Rundfunk- und Medienunternehmen seien im zweiten Quartal 2022 in der Ukraine am stärksten von DDoS-Angriffen betroffen gewesen. Die fünf am häufigsten angegriffenen Branchen der Ukraine seien allesamt Online-/Internet-Medien, Verlage und Rundfunkanstalten.

In Russland hingegen seien Online-Medien als am häufigsten angegriffene Branche auf den dritten Platz zurückgefallen. In Russland am meisten betroffen sei der Sektor „Banken, Finanzdienstleistungen und Versicherungen“ (BFSI) gewesen – „fast 45 Prozent aller DDoS-Angriffe auf der Anwendungsebene zielten auf den BFSI-Sektor ab“. Kryptowährungs-Unternehmen in Russland seien am zweithäufigsten angegriffen worden.

Weitere wichtige Cloudflare-Erkenntnisse:

Vermehrte Lösegeldforderungen
Im Juni 2022 hätten 20 Prozent der Cloudflare-Kunden, welche von einem DDoS-Angriff betroffen gewesen seien, gemeldet, dass sie eine Lösegeldforderung erhalten hätten. Dies sei der höchste Wert in diesem Jahr (2022) und ein deutlicher Anstieg im Vergleich zu sechs Prozent im Mai und zwölf Prozent im April.

Luft- und Raumfahrtindustrie im Visier
Die Angriffe auf die Luft- und Raumfahrtindustrie hätten seit dem ersten Quartal 2022 um 256 Prozent zugenommen.

Längere Angriffsdauer
Während die meisten Angriffe kurzweilig seien, habe Cloudflare im zweiten Quartal 2022 über 20 Prozent mehr Angriffe verzeichnet, welche zwischen 20 und 60 Minuten dauerten, und einen Anstieg von neun Prozent bei Angriffen mit einer Dauer länger als drei Stunden.

Weitere Informationen zum Thema:

The Cloudflare Blog, 06.07.2022
DDoS attack trends for 2022 Q2

The Cloudflare Blog, 14.06.2022
Cloudflare mitigates 26 million request per second DDoS attack

[datensicherheit.de, 25.01.2022] Die aktuelle Stellungnahme von BlackBerry bezieht sich auf die Anzahl der Attacken durch Ransomware, welche demnach täglich ansteigt – dies verdeutlichten aktuelle Zahlen des TÜV SÜD. Cyber-Kriminelle hätten längst florierende Geschäftsmodelle etabliert und vermarkteten Ransomware quasi als „Cybercrime-as-a-Service“ (CaaS). BlackBerry hat nach eigenen Angaben mit dem „Prevention First“-Ansatz eine Strategie parat, Unternehmen durch den Einsatz Künstlicher Intelligenz (KI) präventiv vor Cyber-Kriminellen zu schützen.

Ransomware-Attacken einer der entscheidenden Cybersecurity-Trends 2022

Die Gefährdung von Datenbeständen und Netzwerken in Unternehmen und Organisationen nimmt offensichtlich zu: „Laut TÜV Süd werden Attacken durch Ransomware einen der entscheidenden Cybersecurity-Trends des Jahres 2022 ausmachen – mit weitreichenden bis verheerenden Folgen für die Betroffenen, wenn ein solcher Angriff erfolgreich verläuft.“

In der aktuellen Entwicklung der allgemeinen IT-Bedrohungslandschaft werde Ransomware bisweilen als CaaS gelabelt. Der Hintergrund: „Cyber-Kriminelle vermarkten die Schadsoftware mittlerweile ähnlich wie reguläre Software und haben damit ein Geschäftsmodell geschaffen“ – Malware werde gegen Lizenzgebühren und inklusive technischem Support zum Kauf angeboten.

Dies sei „ein gefährlicher Schattenmarkt auf Wachstumskurs“. Auswege aus der Gefährdung versprächen folgende Tipps:

1. Tipp: Ransomware mit täglich fast 400.000 neuen Schadsoftware-Varianten – proaktiv agieren!

Über die Digitale Transformation zu reden sei eine Sache, sie in der Praxis umzusetzen eine andere. Genauso verhalte es sich mit dem Thema IT-Sicherheit. Vielerorts bestehe in Unternehmen und Organisationen Nachholbedarf hinsichtlich der Gefahrenabwehr. Allerdings reiche es keineswegs aus, den Rückstand aufzuholen und abzuwarten, wie potenzielle Angreifer ihre Strategie ausrichten.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sich Ransomware mit täglich fast 400.000 neuen Schadsoftware-Varianten zur größten Erpressungsmethode entwickelt.

Vor diesem Hintergrund seien Unternehmen gut beraten, proaktiv nach wirksamen Strategien zu suchen, qualifizierte Sicherheitspartner an Bord zu holen und gezielt Lücken in der eigenen Sicherheitsstrategie aufzuspüren und zu schließen.

2. Tipp: Ransomware unterstreicht Notwendigkeit, in die Schulung und Awareness der Mitarbeiter zu investieren!

Fehler seien typisch menschlich – „was wie ein Allgemeinplatz klingt, erhält besondere Brisanz im Kontext der IT-Gefahrenabwehr“.

Denn für Unternehmen empfehle es sich, nicht nur ihre Datenbestände und Systeme umfassend zu schützen, sondern auch bei der Belegschaft „Awareness“ für das Thema Sicherheit zu schaffen:

Hierzu sollten Mitarbeiter durch Schulungen und eine gelebte Sicherheitskultur im Unternehmen systematisch in die Security-Strategie mit einbezogen werden. Dabei sollte der Fokus darauf gelegt werden, jeden Endpunkt möglichst lückenlos abzusichern.

3. Tipp: KI zur Ransomware-Abwehr – technische Infrastruktur effektiv absichern!

Als besonders wirksam im Bereich technischer Maßnahmen erweise sich in der Praxis das „Zero Trust“-Prinzip: Vielerorts werde Mehr-Faktor-Authentifizierung um neue Entwicklungen aus dem KI-Segment ergänzt, um IT-Systeme von Unternehmen effektiv gegen Cyber-Angriffe abzusichern.

Beispiel „Prevention First“: Hierbei würden Angriffe nicht erst im Nachhinein bekämpft, sondern mithilfe von KI frühzeitig erkannt und gestoppt, bevor sie ausgeführt werden können. In einer eigens dafür entwickelten Lösung habe BlackBerry rund 1,5 Billionen Dateien in das System eingespeist und 20 Milliarden Dateimerkmale extrahiert.

Wie erfolgreich dieser Ansatz auch gegen Ransomware funktioniert, zeige ein simulierter Hacker-Angriff in der „Quantum Lab“-Testumgebung von BlackBerry. Dort zeige sich: Moderne Gefahrenabwehr profitiere von agilen Strukturen und weitsichtigen strategischen Entscheidungen für die geeignete Technologie – „und genau hier ist das Management eines jeden Unternehmens gefragt“.

Weitere Informationen zum Thema:

TÜV SÜD, 16.11.2021
TÜV SÜD: Das sind die Cybersecurity-Trends 2022

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland / IT-Sicherheitslage bleibt angespannt bis kritisch

[datensicherheit.de, 30.05.2019] PSW GROUP Consulting mahnt in einer aktuellen Stellungnahme, dass Überwachung uns alle betrifft. Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden sei klar: Jeder könne in einem schier unglaublichen Umfang überwacht und ausspioniert werden, und das nicht nur von der NSA. Auch Unternehmen wie Facebook, Google und Amazon überwachten, „wo es nur geht“.

Überwachung nicht allein im Cyberspace

Die Überwachung fange zwar im Internet an, sei aber nicht auf dieses beschränkt. „Der Datenskandal der Deutschen Post zeigt, dass die Überwacher längst in den eigenen Reihen sitzen. Da wäre die Meldebehörde, die unsere Daten für Parteiwerbung weitergibt, wenn wir nicht widersprechen“, zählz IT-Sicherheitsexperte Christian Heutger von der PSW GROUP Consulting auf.
Heutger führt noch weiter aus: „Oder Reise-Anbieter, die aufgrund bisher gebuchter Reisen neue passende Angebote machen. Oder auch Auskunfteien wie die Schufa, die überlegt hatte, Facebook-Daten für die Schufa-Auskunft mit auszuwerten.“

Überwachung – meist unter dem Deckmantel der „Sicherheit“

„Drohnen, ,Staatstrojaner‘ und Gesichtserkennung in Echtzeit: Regierungen, aber auch Tech-Firmen haben wirklich viele Ideen zur Überwachung – meist unter dem Deckmantel der Sicherheit“, so Heutger. Tatsächlich gebe es zahlreiche Möglichkeiten, Menschen abzuhören und zu überwachen: „Zum Beispiel über die Mikrofone und Kameras auf Rechnern, Smartphones und Tablets, über intelligente Lautsprecher, smarte Autos, Verkehrs- und Überwachungskameras“, warnt Heutger und nennt nur einige von den zahlreichen Beispielen:
„Mobilfunkanbieter übertragen und speichern Daten, die zum Teil in Polizeiakten übertragen werden. Sind Daten bei Unternehmen gespeichert, müssen wir außerdem davon ausgehen, dass auch der Staat darauf zugreifen kann, beispielsweise bei Finanztransaktionen, aber auch auf Kommunikationsinhalte von ungesicherten Messengern, auf die Aufenthaltsorte des Mobiltelefons oder Tablets, auf Fluggastdaten, Suchmaschinenprotokolle, auf Dokumente in ,Google Drive‘, auf Fotos bei ,Flickr‘ und so weiter.“ Auch Verkehrskameras überwachten zum Teil nicht nur den üblichen Verkehrsfluss, sondern könnten ebenfalls zum Bespitzeln herangezogen werden.

Ausweitung der Videoüberwachung im Öffentlichen Raum

Zudem habe Anfang 2017 der Bundestag der Ausweitung der Videoüberwachung im Öffentlichen Raum zugestimmt. So solle es beispielsweise Betreibern von Einkaufszentren oder Sportanlagen einfacher gemacht werden, Überwachungskameras anzubringen. Schon heute dürfe die Polizei dank entsprechender Kameratechnik Kfz-Kennzeichen automatisch auslesen.
Am Bahnhof Südkreuz in Berlin existiere die Videoüberwachung mit Gesichtserkennung bereits. Die Aufnahmen würden direkt mit einer Datenbank abgeglichen. „Wenn die Software eine Person aus der Datenbank mit der am Bahnhof abgleichen kann, schlägt sie Alarm und Beamte dürfen am Bahnhof anrücken.“

Auch in der Wohnung und am Arbeitsplatz…

Heutger fährt fort: „Und damit ist noch längst nicht Schluss. Wir alle können am Arbeitsplatz oder in unserer Wohnung überwacht werden. Wer will, bekommt auch unseren aktuellen Aufenthaltsort heraus. So gibt es zahlreiche Möglichkeiten, Mitarbeiter im Job zu überwachen: Software, die die Eingaben auf der Tastatur aufzeichnet, Überwachung für die E-Mails oder Kameras am Monitor.“
Eine Firma habe grundsätzlich das Recht, zu prüfen, ob die Arbeit nach den Vorgaben und fehlerfrei erledigt wird. Es gebe jedoch Grenzen, „und die sind erreicht, wenn die Persönlichkeitsrechte missachtet werden“. So sei es dem Arbeitgeber untersagt, private E-Mails zu lesen, das private Surfverhalten nachzuverfolgen oder aber Kurznachrichten auf dem Diensthandy einzusehen, informiert Heutger.

IoT-Trend kann sich schnell zur Rundumüberwachung entwickeln

Das Internet der Dinge (auf Englisch: Internet of Things / IoT) bringe zwar manche Erleichterung ins Wohnzimmer – gleichzeitig aber auch rücksichtslose Überwacher. Erst jüngst habe die Sprachassistentin „Alexa“ ein Gespräch eines Ehepaares ohne dessen Wissen aufgezeichnet und dieses an einen Mitarbeiter versendet. Heutger: „Es ist nur ein Beispiel, aber es zeigt, dass der IoT-Trend sich schnell zur Rundumüberwachung entwickeln kann.“
Wer aber darauf achtet, mit welchen Technologien er sein „Smart Home“ steuert, könne IoT indes auch sicher einsetzen. Wichtig dabei sei aber, die Sicherheit des Smartphones nicht zu vergessen. Denn in aller Regel würden IoT-Geräte darüber gesteuert. Die sicherste IoT-Technologie nütze nämlich nichts, „wenn Eindringlinge via Smartphone-Hack ins Eigenheim eindringen“.

GPS-Funktion nur temporär nutzen!

„Via GPS-Funktion im Handy lässt sich sehr sicher der Aufenthaltsort des Besitzers bestimmen“. Deshalb, so Heutger, sollte die GPS-Funktion nur temporär genutzt werden, wenn sie wirklich benötigt wird. Ein noch recht junger Trend seien Drohnen, die mit Kameras ausgestattet sein könnten. Auch Wärmebildkameras seien inzwischen denkbar, die dann sogar einen Blick durch die Wände des eigentlich geschützten Hauses freigeben könnten. „Zwar ist das Befliegen von Privatgrundstücken bzw. das Filmen verboten, aber nicht jeder hält sich dran.“
Es sei inzwischen also immer möglich, irgendwo von irgendjemandem überwacht zu werden. Bürger könnten sich jedoch dagegen wehren – mit verschiedenen Möglichkeiten.

Christian Heutgers Tipps zur Abwehr von Überwachung:

1. Anbieter sorgfältig auswählen!
   Es sei längst kein Geheimnis mehr, dass einschlägige Online-Services mit Daten handelten, überwachten oder mit Geheimdiensten zusammenarbeiteten. Auf der Website „prism-break.org“ ließen sich datenschutzfreundliche und quelloffene Alternativen zu konventionellen Anbietern finden. „Ich rate außerdem, auf europäische Anbieter auszuweichen, da sie der Datenschutz-Grundverordnung unterliegen. Und wer meint, bei ,facebook‘ wäre das nicht möglich, irrt. Die Alternativen heißen ,Diaspora‘, ,MeWe‘ oder ,minds‘“, erläutert Heutger.
2. Verschlüsselung von E-Mails und Datenübertragungen!
   Verschlüsselung funktioniere gegen das Ausspähen. Daher sei es sinnvoll, bei E-Mails immer auf einen Mix aus Transport- und Ende-zu-Ende-Verschlüsselung zu setzen. So seien die Inhalte geschützt und der Transportweg sei gegen Manipulation und Überwachung abgesichert.
3. IP-Adresse verschleiern!
   Um sich im World Wide Web möglichst spurlos zu bewegen, gebe es die Möglichkeit, die IP-Adresse zu verschleiern.
4. Verzicht auf bestimmte Techniken und Dienste!
   Es lohne sich, situativ nachzudenken, welche Technik eingesetzt wird oder eben nicht. Wer kein Krypto-Telefon besitzt, um verschlüsselt zu telefonieren, sollte wichtige Nachrichten oder Geschäftsgeheimnisse nicht am Telefon besprechen. Das gelte auch für E-Mails: Wer diese nicht verschlüsseln kann, sollte andere Kanäle zum Überbringen sensibler Nachrichten und damit zur Vermeidung von Überwachung nutzen. „Notfalls werden brisante Themen nur persönlich besprochen.“
5. Regelmäßige Software-Updates, um Sicherheitslücken zu schließen!
   Starke Passwörter würden helfen, den Zugriff auf Benutzerkonten deutlich zu erschweren. „Jeder muss sich aber auch ein wenig mit der von ihm eingesetzten Technik befassen. Dazu gehört zu wissen, welche Berechtigungen Apps haben, wann zuletzt ein Passwort erneuert wurde, in welchen Netzwerken man aktiv ist und welche Informationen dort geteilt werden“, rät Heutger.

© PSW Group

Christian Heutger: Abwehr von Überwachungsmaßnahmen ist möglich

Weitere Informationen zum Thema:

PRISM BREAK
Hilf mit, die Massenüberwachung ganzer Bevölkerungen unwirtschaftlich zu machen! Wir alle haben ein Recht auf Privatsphäre!
„Hinweis: Die Verwendung der hier empfohlenen Software allein kann keinen 100%igen Schutz vor Überwachung Deiner Kommunikation gewährleisten. Bitte forsche selbst nach, bevor Du dieser Software sensible Informationen anvertraust.“

PSW GROUP CONSULTING – BLOG, 17.04.2019
Big Brother is watching you – wie viel Überwachung können wir ertragen?

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 25.04.2014
IT-Sicherheitsrisiken im Mittelstand: PSW GROUP unterstützt neuen Security Performance Index

[datensicherheit.de, 11.03.2019] Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto Networks berichtet.

Mehrschichtiger Ansatz

Dieser Ansatz beinhaltet den Einsatz mehrerer Technologien wie Endpoint Detection and Response (EDR), User and Entity Behavioral Analytics (UEBA) sowie Network Traffic Analysis (NTA), um die Transparenz in der gesamten Umgebung zu erhöhen. Darüber hinaus verwenden Sicherheitsteams in der Regel Warn- und Protokoll-Aggregationstechnologien wie SIEM-Tools (Security Information Event Management), um Richtlinien festzulegen, Ereignisse zu korrelieren und Probleme zu priorisieren. Schließlich ist es notwendig, die mit den Daten erzeugten Warnmeldungen irgendwie zu verknüpfen, um Bedrohungen schneller zu untersuchen und unschädlich zu machen.

Flut an Warnungen kann manuell nicht mehr bewältigt werden

Die mehrschichtige Prävention gehe jedoch zu Lasten von Zeit und Expertise. Viele Sicherheitsteams sind nicht in der Lage, die oftmals sehr große Anzahl von Warnungen zu verarbeiten. Herkömmliche Sicherheitsinfrastrukturen sind gekennzeichnet durch eine Überflutung mit Ereignismeldungen. Das durchschnittliche SOC (Security Operations Center) kann 174.000 Warnungen pro Woche erhalten. Mit einem personell begrenzten Team kann die Rechnung nicht aufgehen.

Sicherheitsteams können auf mehr als 40 eng fokussierte Tools angewiesen sein, um Angriffe zu untersuchen und zu entschärfen. Daten aus Netzwerk, Endpunkten und Cloud werden manuell erfasst. Untersuchungen werden zunehmend komplex und unüberschaubar. Die Identifizierung und Isolierung von Sicherheitsbedrohungen zieht sich dadurch in die Länge. So dauert es 197 Tage, um einen Sicherheitsvorfall innerhalb eines Netzwerks zu erkennen, und 69 Tage, um darauf zu reagieren. Kein Wunder, dass Vorfälle dieser Art immer wieder in die Schlagzeilen kommen. Die durchschnittlichen Kosten einer Sicherheitsverletzung in den USA lagen 2018 bei geschätzten 7,91 Millionen US-Dollar.

Fachkräftemangel erfordert alternativen Ansatz

Durch die Überlastung entsteht ein Laufradeffekt, der dazu führt, dass die Sicherheitsteams fast ihre gesamte Arbeitszeit damit verbringen, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. Selbst wenn Unternehmen ihre Sicherheitsteams aufstocken wollen, scheitert dies daran, dass das gesamte IT-Umfeld und insbesondere die IT-Sicherheit von chronischem Fachkräftemangel betroffen ist. Bis 2023 soll einer Studie zufolge die Zahl der unbesetzten Stellen auf weltweit 1,8 Millionen steigen.

Daher ist nach Meinung von Palo Alto Networks nun ein besserer Ansatz gefragt, damit kleine, schlagkräftige Teams effizienter und effektiver werden. Es geht darum, die Komplexität und Grenzen von Silo-Tools wie EDR, UEBA und NTA zu umgehen. Gesucht ist eine ganzheitliche, integrierte Lösung, die die bisherigen Silos aufbricht und in der Lage ist, das Sicherheitsteam in allen Phasen zu unterstützen: bei der Erkennung von Anomalien, Alarmverfolgung, Untersuchung von Vorfällen und Bedrohungssuche. Eine solche Lösung sorgt für Sichtbarkeit, ist integrierbar mit anderen Tools, nutzt Analytik in großem Stil und vereinfacht investigative Aufgaben. Dadurch reduziert sich die Zeit für die Erkennung und Reaktion auf Bedrohungen. Sicherheitsteams können durchatmen – und proaktiv statt reaktiv arbeiten.

XDR statt DER – mehr Produktivität durch Automatisierung

Diesen neuen Ansatz gibt es nach Angaben des Unternehmens bereits: Gegenüber EDR bedeutet XDR eine deutliche Abkehr von der herkömmlichen Vorgehensweise der Erkennung und Reaktion. Das „X“ steht für jede Datenquelle, sei es Netzwerk, Endpunkt oder Cloud. XDR kombiniert Daten aus diesen verschiedenen Quellen mit allgemeinen Bedrohungsinformationen. Dadurch werden unterschiedliche Aspekte zusammengeführt, um ein weitaus umfassenderes Bild eines Angriffs zu liefern. Dank der integrierten Analysefunktionen kann der Angriff schneller erkannt und besser abgewehrt werden. Zudem ist das System in der Lage, bösartigen Traffic zurückzuverfolgen und einen Angriff zu rekonstruieren. Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen.

Weitere Informationen zum Thema:

Palo Alto Networks
Redefine Security Operations with XDR

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

[datensicherheit.de, 11.08.2016] Ransomware bedroht Geschäftsabläufe und kann unter Umständen sogar ein komplettes Unternehmen zum Stillstand bringen. In letzter Zeit gab es dafür zahlreiche Beispiele. Die Angreifer dringen dabei in das Unternehmens-Netzwerk ein und verschlüsseln geschäftskritische Daten. Dann erzwingen sie die Zahlung eines „Lösegeld“, um ggf. wieder Zugriff auf die Daten zu geben. Um sich vor Ransomware zu schützen, müssten Unternehmen laut Palo Alto Networks ihre Sicherheitsarchitektur neu ausrichten.

Wandel der IT-Sicherheitsansätze in Richtung Prävention

Martin Zeitler, „Senior Manager Systems Engineering“ von Palo Alto Networks, empfiehlt „einen grundlegenden Wandel der IT-Sicherheitsansätze in Richtung Prävention“. Herkömmliche Sicherheitstechnologie, die sich auf die Erfassung eines Sicherheitsvorfalls und die Sanierung nach der Infektion beschränke, sei nicht mehr effektiv genug gegen moderne Bedrohungen wie Ransomware, so Zeitler.

Checkliste zur Umsetzung einer präventionsbasierten Sicherheitsstrategie

Palo Alto Networks hat für die Umsetzung einer präventionsbasierten Sicherheitsstrategie eine Checkliste zusammengestellt:

1. Schritt: Reduzieren der Angriffsfläche
   • Gewinnen Sie einen vollständigen Überblick und identifizieren sie den gesamten Datenverkehr im Netzwerk. Blockieren Sie unbekannten, potenziell hochriskanten Verkehr.
   • Setzen Sie anwendungs- und benutzerbasierte Kontrollen durch. Beschränken Sie die Nutzung SaaS-basierter Anwendungen auf die Mitarbeiter, die diese für geschäftliche Zwecke benötigen.
   • Stoppen Sie alle gefährlichen Dateitypen. Nicht alle Dateitypen sind bösartig, aber diejenigen, die bekanntermaßen ein höheres Risiko darstellen oder bei den jüngsten Angriffen zum Einsatz kamen, sollten kontrolliert werden.
   • Etablieren Sie ein Regelwerk für die Nutzung von Endpunktgeräten. Beschränken Sie für Benutzer nicht-konformer Endpunkte die Verbindung zu kritischen Netzwerkressourcen.
2. Schritt: Vermeiden bekannter Bedrohungen
   • Stoppen Sie bekannte Exploits, Malware und Command-and-Control-Datenverkehr. Das Blockieren bekannter Bedrohungen erhöht die Kosten eines Angriffs für den Gegner und reduziert letztlich die Wahrscheinlichkeit eines Versuchs, ins Netzwerk einzudringen.
   • Blockieren Sie den Zugriff auf bösartige URLs und Phishing-URLs. Verhindern Sie so, dass Benutzer versehentlich eine bösartige Nutzlast herunterladen oder ihre Anmeldedaten gestohlen werden.
   • Scannen Sie SaaS-basierte Anwendungen nach bekannter Malware. SaaS-basierte Anwendungen stellen einen neuen Weg für die Malwareverbreitung dar und müssen sorgfältig geschützt werden.
   • Blockieren Sie bekannte Malware und Exploits auf den Endpunkten. Dadurch stellen Sie sicher, dass Ihre Endpunkte geschützt sind.
3. Schritt: Erkennen und vermeiden unbekannter Risiken
   • Erkennen und analysieren Sie unbekannte Bedrohungen in Dateien und URLs. Wenn neue Dateien eintreffen, analysieren und untersuchen Sie diese auf schädliches Verhalten.
   • Aktualisieren Sie die unternehmensweiten Schutzmaßnahmen und verhindern Sie bisher unbekannte Bedrohungen. Verteilen Sie automatisch Schutzmaßnahmen auf die verschiedenen Teile der Sicherheitsinfrastruktur des Unternehmens.
   • Fügen Sie Kontext zu Bedrohungen hinzu und sorgen Sie für proaktiven Schutz und Schadenreduzierung. Der Kontext notwendig, um die Angreifer, die Malware und die Indikatoren für eine Kompromittierung besser zu verstehen.
   • Blockieren Sie unbekannte Malware und Exploits auf dem Endpunkt. Sobald etwas auf unbekannte Bedrohungen hindeutet oder verdächtiges Verhalten identifiziert wurde, müssen die zuvor unbekannte Malware und Exploits auf dem Endpunkt sofort gestoppt werden.

Mehr gezielte Angriffe erwartet

Zeitler erwartet vor allem im Unternehmensumfeld eine „zunehmende Spezialisierung und Individualisierung von Ransomware-Attacken“.
Bisher seien die meisten Attacken „mit der Schrotflinte“ ausgeführt und fast wahllos Unternehmen aber auch Privatpersonen attackiert worden. Zukünftig würden wir mehr Attacken sehen, die sich gezielt gegen einzelne Unternehmen richteten, warnt Zeitler. Auch deshalb sei professionelle Prävention unverzichtbar.

[datensicherheit.de, 06.07.2016] Cyber-Attacken werden zunehmend raffinierter – herkömmliche Abwehrmethoden haben sich laut CyberArk dabei als unzulänglich erwiesen. Die Analyse von Angriffsmustern zielgerichteter Attacken zeige, welche neuen Lösungen benötigt würden.

Typisches Angriffsszenario in vier Schritten

Experten der CyberArk Research Labs in Newton bei Boston im US-Staat Massachusetts haben nach eigenen Angaben zahlreiche Cyber-Angriffe detailliert analysiert. Eine Auswertung der Angriffsmethoden und -techniken sei von „essenzieller Bedeutung, um adäquate Abwehrmaßnahmen ergreifen zu können“.
Bei den untersuchten Sicherheitsvorfällen habe sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert:

1. Diebstahl und Nutzung von Zugangsdaten
   Prinzipiell seien zunächst zwei Angriffsarten zu unterscheiden – die Insider-Attacke und der externe Angriff. Der Unterschied liege darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befinde und über einen Account-Zugriff mit Zugangsdaten verfüge.
   Der externe Angreifer hingegen habe kein Account und müsse erst den Perimeter-Schutzwall überwinden. Hierfür gebe es mehrere Möglichkeiten: Weit verbreitet seien zum Beispiel Phishing-Attacken.
   Die weiteren Schritte in der Fortsetzung des Angriffs seien identisch, gleichgültig, ob Insider oder Externer als Akteur – immer gehe es dann um die missbräuchliche Nutzung von Zugangsdaten.
2. Erweiterung der Privilegien
   Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nureingeschränkte Rechte besitzen, bestehen laut CyberArk zwei Möglichkeiten: Erstens könnte er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt.
   Zweitens könnte er auch versuchen, auf einen anderes Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel seien dabei lokale Administrator-Konten. Oft werde dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort biete ein einfaches Ziel für fortschrittliche Angriffe.
3. Zugriff auf Zielsysteme
   Dieser Schritt lasse sich in drei Stufen untergliedern: Zunächst testet der Angreifer laut CyberArk, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschließend verschaffe er sich Zugriff auf weitere Accounts, zum
   Beispiel durch Entwendung von Passwort-Hashes. In einem letzten Schritt versuche der Angreifer dann, auf das Zielsystem zuzugreifen. Sei dies nicht möglich, wiederhole er die Stufen 2 und 3.
   Es sei dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten.
4. Vollendung des Angriffs
   Im letzten Schritt erreiche der Angreifer sein Ziel. Beispiele seien der Diebstahl vertraulicher Daten oder Geistigen Eigentums bzw. die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen.

Angriffe so früh wie möglich aufspüren und stoppen!

Sobald Schritt 4 vollzogen ist, sei für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerkten – zum Beispiel einen laufenden Datenabfluss –, könne es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb sei es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.
Die jüngste Vergangenheit habe gezeigt, dass es mit herkömmlichen Sicherheitsmaßnahmen unmöglich sei, alle Angreifer außerhalb des eigenen Perimeters zu halten – liege ein Insider-Angriff vor, sei das ohnehin nicht möglich, erklärt Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. „Zwar ist Perimeter-Sicherheit wichtig, aber Unternehmen sollten sich nicht ausschließlich darauf verlassen, Angriffe am Schutzwall stoppen zu können“, so Kleist. Ebenso wichtig sei es, Attacken in späteren Phasen zuverlässig zu unterbrechen – und dafür gebe es mehrere „Best Practices“.

CyberArk: Best Practices für erfolgreiche Abwehr zielgerichteter Attacken

Zielgerichtete Attacken seien fast ausschließlich auf eine missbräuchliche Nutzung privilegierter Accounts zurückzuführen. Ihre Sicherheit müsse deshalb bei der Konzeption einer Abwehrstrategie immer im Vordergrund stehen. Nur so könne ein Unternehmen den aktuellen, zielgerichteten Angriffen trotzen, betont Kleist

• Sichere Speicherung privilegierter Zugangsdaten
  Alle privilegierten Zugangsdaten, einschließlich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen.
• Automatische Änderung privilegierter Zugangsdaten
  Alle privilegierten Zugangsdaten müssen regelmäßig geändert werden.
• Isolierung und Überwachung privilegierter Account-Sessions
  Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern.
• Richtlinienbasierte Einschränkung von Administratorrechten und Endpunkt-Sicherung
  Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Business- und administrative Anwender umgesetzt werden.

Weitere Informationen zum Thema:

CYBERARK
White Paper: Know the Path of an Attacker and Block it with Privileged Account Security