[datensicherheit.de, 03.04.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance, warnt in seiner aktuellen Stellungnahme vor wachsenden Risiken von „KI-Washing“ bei automatisierten Zertifizierungen. Er führt aus, warum der vermeintlich bequeme, KI-gestützte „Shortcut zur Compliance“ für Unternehmen schnell zur rechtlichen und intransparenten Falle werden kann, wenn nämlich Geschwindigkeit echte Prüftiefe ersetzt: „Kaum ein Versprechen klingt so verlockend wie das, nie wieder mühsam Nachweise zusammentragen, Richtlinien formulieren und Auditoren zuarbeiten zu müssen. KI-gestützte ,Compliance’-Plattformen werben genau damit, schneller zum Zertifikat bei weniger Aufwand und automatisierter Nachweisführung.“ Doch aktuelle Fälle zeigten Schattenseiten solcher Versprechen auf.

Foto: Proliance

Alexander Ingelheim nimmt kritisch Stellung zu KI-gestützten „Compliance“-Plattformen

„KI-Washing“ für Unternehmen könnte sich zu großem Problem ausweiten

So sorgt in den USA demnach aktuell ein Fall für Aufsehen, in dem eine als KI-gestützt vermarktete Plattform offenbar Audit-Nachweise vorausgefüllt, Prüfberichte vor der eigentlichen unabhängigen Prüfung erstellt und die Grenze zwischen Prüfer und Geprüftem systematisch verwischt haben soll.

• Investoren distanzierten sich öffentlich, Kunden stünden vor der Frage, „ob ihre Zertifizierungen überhaupt belastbar sind“. Was nach einem Einzelfall aussehe, verweise auf ein strukturelles Problem: „Wenn Geschwindigkeit zum alleinigen Qualitätsmerkmal wird, leidet die Substanz!“

Dieses Phänomen habe einen Namen: „KI-Washing“. Die US-Börsenaufsicht SEC habe 2024 erstmals Strafen wegen irreführender KI-Aussagen verhängt, das Justizministerium Strafverfahren eingeleitet. In der EU adressiere der „AI Act“ künftig genau solche irreführenden Darstellungen.

EU-Unternehmen benötigen Gewissheit, wo ihre personenbezogenen Daten liegen und wer nach welchen Regeln darauf zugreift

Für den europäischen Markt komme eine weitere Dimension hinzu. Unternehmen, die personenbezogene Daten verarbeiten oder „Compliance“-Nachweise führen, brauchten Gewissheit darüber, wo ihre Daten liegen und wer nach welchen Regeln darauf zugreift. „Eine Plattform, die verspricht, DSGVO-Konformität automatisch herzustellen, aber selbst intransparent agiert, erzeugt ein Paradox, das Aufsichtsbehörden zunehmend kritisch sehen“, so Ingelheim.

• Verantwortungsvoller KI-Einsatz in der „Compliance“ lasse sich an klaren Kriterien festmachen: „Der Mensch bleibt am Steuer und trifft die Entscheidungen, während der Datenzugriff eng abgesteckt bleibt. Die eingesetzte Technologie ist nachvollziehbar, wobei europäische Open-Source-Modelle hier einen Transparenzvorteil gegenüber geschlossenen Systemen bieten. Und sensible ,Compliance’-Daten gehören zu europäischen ,Cloud’-Anbietern, im eigenen Rechtsraum.“

„Compliance“ existiere, um Vertrauen in der Wirtschaft sicherzustellen: „Wer in diesem Feld arbeitet, bekommt genau eine Chance, dieses Vertrauen zu rechtfertigen. Diese Chance verdient Sorgfalt, Sachverstand und echte Prüftiefe!“ Ingelheims Fazit: „Sie auf einen ,Shortcut’ zu reduzieren, der auf Preis und Aufwand optimiert, gefährdet am Ende genau das, was ,Compliance’ leisten soll.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

proliance
Alexander Ingelheim – Co-Founder & CEO

datensicherheit.de, 25.03.2026
Den Fortschritt im Blick, Cyberangreifer im Windschatten: Wie Unternehmen Governance, Risk & Compliance (GRC) mit KI harmonisieren / Künstliche Intelligenz entwickelt sich zunehmend zu einem entscheidungsrelevanten Faktor mit unmittelbaren Auswirkungen auf Risikoexposition, Haftung und regulatorische Anforderungen. Systeme treffen automatisierte Entscheidungen, priorisieren Risiken, analysieren Anomalien oder steuern Prozesse in Echtzeit.

datensicherheit.de, 27.01.2026
Strategische Prioritäten für Unternehmen 2026: Informationssicherheit, Compliance und Datenschutz / Datenschutz, Informationssicherheit und „Compliance“ stehen für Unternehmen 2026 nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren

[datensicherheit.de, 06.03.2026] Aktuelle Entwicklungen rund um den Iran zeigen aktuell offensichtlich auf, wie eng geopolitische Spannungen und Cyberoperationen inzwischen miteinander verwoben sind. Ismael Valenzuela, „VP of Threat Intelligence Research“ bei Arctic Wolf, geht in seiner aktuellen Stellungnahme auf die zunehmende Bedeutung hybrider Kriegsführung, KI-gestützter Systeme und Lieferketten im Kontext geopolitischer Eskalationen ein.

Foto: Arctic Wolf

Ismael Valenzuela warnt: Bereits subtile Manipulationen von Eingaben oder „Workflows“ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben!

OT, Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil des umkämpften Raums

„Was wir derzeit beobachten, ist hybride Kriegsführung in großem Maßstab – koordinierte kinetische Operationen gegen den Iran, vorbereitende Cyberaktivitäten sowie eine zu erwartende Welle iranischer und durch Stellvertreter geführter Einflusskampagnen, die die Grenzen zwischen militärischem Konflikt und zivilem Umfeld zunehmend verschwimmen lassen“, kommentiert Valenzuela.

• Organisationen weltweit müssten also davon ausgehen, dass ihre „Operational Technology“ (OT), Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil dieses umkämpften Raumes seien – „unabhängig davon, ob sie sich selbst als ,Ziel‘ betrachten oder nicht“.

Der Einsatz Künstlicher Intelligenz (KI) in der Kriegsführung sei längst keine theoretische Annahme mehr. „Wenn geopolitische Spannungen zunehmen, werden digitale Steuerungsebenen – insbesondere jene, die mit Automatisierung und Entscheidungsunterstützung verknüpft sind – zu strategischem Terrain!“, betont Valenzuela. Die Integrationsschichten, welche KI-Agenten mit internen Systemen, APIs und externen Datenquellen verbinden, zählten inzwischen zur Kritischen Infrastruktur (KRITIS).

KI-Framework bzw. -Anbieter per se weniger entscheidend als deren konsequente Kontrolle

Da Automatisierungsschichten über persistente Kontextinformationen verfügten und direkten Zugriff auf operative Systeme erhielten, entstünden faktisch neue angreifbare Steuerungsebenen. „Bereits subtile Manipulationen von Eingaben oder ,Workflows’ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben.“

• Das eigentliche Risiko liege daher nicht darin, welches KI-Framework oder welchen Anbieter ein Unternehmen bevorzugt, sondern darin, „ob diese integrierten Entscheidungsunterstützungs-Systeme mit derselben Strenge erfasst, überwacht und auf Belastbarkeit getestet werden wie die Netzwerke und Umgebungen, die sie beeinflussen“.

Valenzuela gibt zu bedenken: „Wenn Organisationen auf staatliche Systeme, globale Zulieferer oder automatisierungsgetriebene Entscheidungsprozesse angewiesen sind, müssen diese Abhängigkeiten dokumentiert, kontinuierlich neu bewertet und ausdrücklich in Krisensimulationen einbezogen werden!“

KI-basierte Kompromittierung der Lieferkette als Teil der Risikobewertung

Denn diese Operationen zur Einflussnahme würden zunehmend nicht nur Menschen direkt ins Visier nehmen, sondern vor allem jene Systeme, die Menschen informieren und ihre Entscheidungen prägen.

• Am stärksten werde sich dieser Wandel in den Lieferketten bemerkbar machen: „Exportkontrollen werden verschärft, Beschränkungen für Seltene Erden ausgeweitet, und Lieferkettenstrukturen werden immer kleinteiliger.“ Damit erweitere sich nun auch die Angriffsfläche: „Sie umfasst nicht mehr nur Code und Hardware, sondern auch Daten und KI-gestützte Prozesse, die darüber entscheiden, welche Komponenten von wem und unter welchen Rahmenbedingungen beschafft werden.“

In diesem Kontext könne eine Kompromittierung der Lieferkette zu manipulierten Firmware- oder Software-Updates, verfälschten Lieferanteninformationen oder durch KI verzerrte Risikobewertungen führen, welche kritische Abhängigkeiten unbemerkt in Einflussbereiche gegnerischer Akteure zu verschieben drohten.

Weitere Informationen zum Thema:

ARCTIC WOLF
Wir sorgen dafür, dass die Sicherheit funktioniert.

ARCTIC WOLF
Ismael Valenzuela

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

[datensicherheit.de, 01.12.2025] Laut einer aktuellen Stellungnahme von André Schindler, „General Manager EMEA“ und „SVP Global Sales“ bei NinjaOne, wird Endpoint-Management zu einer immer größeren Herausforderung für Unternehmen. So hätten in einer Studie der Enterprise Strategy Group (ESG) ganze 40 Prozent der IT-Verantwortlichen angegeben, dass die Verwaltung und Absicherung von Endpunkten heute wesentlich schwieriger sei als noch vor zwei Jahren. Für diese Entwicklung existiert demnach eine Reihe an Gründen: „Die Hauptursache ist, dass durch die zunehmende Verbreitung von Remote- und Hybrid-Arbeit die Anzahl an Endgeräten beträchtlich steigt.“ So nutzten laut ESG inzwischen 93 Prozent der Mitarbeiter zwei oder mehr Geräte. Gleichzeitig nähmen Cyberangriffe sowohl in ihrer Häufigkeit als auch in ihrer Raffinesse zu – nicht zuletzt durch die Möglichkeiten, welche Künstliche Intelligenz (KI) Cyberkriminellen biete.

„Tool-Wildwuchs“ erschwert Transparenz über alle Endpoints hinweg

„Unternehmen befinden sich in einer verzwickten Lage – sie müssen immer mehr Cybergefahren abwehren, verfügen aber nicht über mehr Ressourcen als früher“, kommentiert Schindler. Im Gegenteil: Der Mangel an qualifizierten IT-Fachkräften sei nach wie vor beträchtlich.

• „So kompliziert die Situation ist – sie ist nicht aussichtslos! Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. Besonders wichtig ist die Konsolidierung von ,Tools’.“

IT-Abteilungen arbeiteten häufig mit einer Vielzahl unterschiedlicher Lösungen – zwischen fünf und fünfzehn seien die Regel. Fast 30 Prozent der Unternehmen setzten sogar 16 oder mehr parallel ein. Der daraus resultierende „Tool-Wildwuchs“ führe zu unkoordinierten Abläufen und erschwere die Transparenz über alle Endgeräte hinweg, was das Entstehen von Sicherheitslücken begünstige.

Einsatz Künstlicher Intelligenz im Endpoint-Management erforderlich

Schindler führt aus: „Eine weitere Möglichkeit, die Belastung von IT-Abteilungen zu reduzieren, bietet neben Konsolidierung der Einsatz von Künstlicher Intelligenz im Endpoint-Management.“

• Automatisiertes Endpoint-Management bezeichne eine neue Generation des Endgeräte-Managements, welche auf KI, Maschinellem Lernen (ML) und Automatisierung basiere.

Im Gegensatz zu klassischen Endpoint-Management-Ansätzen, bei denen Administratoren manuell eingreifen müssten, automatisiere AEM eine Vielzahl zentraler Aufgaben – von der Risikobewertung über Patch- und Konfigurationsmanagement bis hin zur präventiven Wartung. Dadurch ließen sich Risiken schneller erkennen und beheben sowie Ressourcen effizienter einsetzen.

Priorisierung der Patches je nach Relevanz für betreffenden Endpoint

Dieser Ansatz spiegele sich auch im automatisierten Patch-Management von NinjaOne wider. Schindler erläutert: „Die Lösung nutzt Daten aus mehreren spezialisierten Drittanbieter-Datenbanken, um Bedrohungslagen, Verfügbarkeit und Zuverlässigkeit von Patches präzise zu bewerten.“ Die integrierte „Patch Intelligence AI“ erkenne zudem bekannte Probleme mit Updates und setze fehlerhafte Patches automatisch aus.

• Auf dieser Grundlage priorisiere das System eigenständig, „welche Patches für welche Endpunkte relevant sind“, und ermögliche eine automatisierte, intelligente und standortunabhängige Aktualisierung sämtlicher Geräte.

Über die zentrale, „cloud“-basierte Plattform ließen sich klare Regeln und Freigabelogiken definieren, wodurch der gesamte Prozess ohne zusätzliches Skripting und auch in hybriden Umgebungen reibungslos ablaufe.

Neugestaltung des Endpoint- und Patch-Managements mit innovativen Lösungen ein Muss

„Da keine VPNs oder lokalen Server erforderlich sind, können Updates unabhängig vom Standort der Endpunkte ausgerollt werden.“ Eine Echtzeitüberwachung sorge zudem dafür, dass IT-Teams jederzeit volle Transparenz über den Fortschritt und Erfolg der Patches hätten.

• „In einer Zeit, in der IT-Abteilungen ohne mehr Ressourcen immer mehr leisten müssen, ist eine Neugestaltung des Endpoint- und Patch-Managements mit solchen innovativen Lösungen ein Muss!“, betont Schindler abschließend.

Unternehmen, welche auf eine Kombination aus Automatisierung, KI und Plattformintegration setzten, würden einen entscheidenden Wettbewerbsvorteil haben.

Weitere Informationen zum Thema:

ninjaOne
Wer wir sind / NinjaOne wurde mit einer einfachen Idee gegründet – den Kunden an erste Stelle zu setzen

Linkedin
André Schindler

Omdia by informa techtarget, Enterprise Strategy Group Research, Gabe Knuth @ Emily Marsh, 26.06.2025
Research Report: The Growing Role of AI in Endpoint Management and Security Convergence

datensicherheit.de, 28.07.2019
5 Gründe für eine neue Endpoint-Security-Strategie / Sicherheitsstrategien müssen überdacht werden

datensicherheit.de, 06.11.2018
Endpoint-Security – eine Bilanz / Die Zahl der Endgeräte hat sich vervielfacht / Nutzung sowohl für private als auch berufliche Zwecke

datensicherheit.de, 20.06.2018
SANS-Studie: Automatisierte Endpoint Protection hat höchste Priorität für IT-Experten / Der SANS 2018 Endpoint Protection and Response Survey zeigt steigendes Interesse an Automatisierung in der Cybersicherheit, aber dennoch werden Sicherheitsfunktionen der nächsten Generation zu selten implementiert

Ein Kommentar von unserem Gastautor Andre Schindler, General Manager EMEA und SVP Global Sales bei NinjaOne

[datensicherheit.de, 08.05.2025] Laut des ifo-Instituts arbeiten 24,5 Prozent der Beschäftigten in Deutschland zumindest teilweise von zu Hause aus. Diese Zahl ist in den letzten Jahren stabil geblieben und trotz mancher Diskussion ist das Thema Homeoffice in vielen Unternehmen fest etabliert. Im Zuge dessen hat sich die Anzahl von Endpunkten entsprechend erhöht und auch die Möglichkeit für potenzielle Schwachstellen für die IT-Systeme.

Bedrohungen rechtzeitig erkennen

Reaktive Sicherheitsansätze und komplexe und ineffiziente Patch-Prozesse erhöhen diese Risiken und viele Unternehmen haben Schwierigkeiten, Schwachstellen – bevor sie eine ernsthafte Bedrohung darstellen – zu erkennen. Deshalb sind effiziente und effektive Prozesse für das Patch- und Schwachstellenmanagement wichtiger denn je.  Nur so können IT-Teams einen proaktiven, risikobasierten Ansatz verfolgen, mit dem sie Schwachstellen erkennen, bewerten, priorisieren und beheben können, bevor sie eskalieren.

Automatisierung und Priorisierung senken das Risiko von Cyberangriffen

Durch automatisiertes Patch-Management wird die Belastung der IT-Abteilungen deutlich reduziert und Fehler im Zusammenhang mit umständlichen, manuellen Prozessen minimiert. Das händische Einspielen von Patches ist zeitaufwendig und birgt Sicherheitsrisiken, wohingegen automatisierte Patch-Management-Lösungen Zeit für die Erkennung, das Testen und die Bereitstellung kritischer Updates einsparen und so eine schnellere Reaktion auf eventuelle Schwachpunkte ermöglichen.

Priorisierung von Schwachstellen wichtig

Die gute Nachricht ist hier, dass nicht alle Schwachstellen das gleiche Maß an Bedrohung darstellen. Deshalb können sie priorisiert werden, was wiederum noch mehr Zeit und Ressourcen schont. Automatisierte Risikobewertungen ermöglichen IT-Abteilungen, zuerst die kritischsten Schwachstellen anzugehen und dadurch Gefährdung durch schwerwiegende Sicherheitsbedrohungen zu verringern.   Der Einsatz künstlicher Intelligenz kann den Patch-Prozess noch weiter optimieren. KI-gesteuerte Tools liefern IT-Teams kontextbezogene Empfehlungen dazu, welche Patches wann installiert werden sollten, wodurch der Aufwand für die Fehlerbehebung und die Systemausfallzeiten weiter minimiert werden.

Fazit

Ohne effektives Patch-Management bleibt die Bewältigung von Cybersicherheitsrisiken eine ständige Herausforderung. Durch die Automatisierung des Patch-Managements können Unternehmen nicht nur das Risiko von Cyberangriffen verringern, sondern auch Ressourcen in den IT-Abteilungen für strategische Aufgaben freisetzen. Dadurch wird das Unternehmen effizienter, produktiver und letztlich sicherer.

Weitere Informationen zmum Thema:

NinjaOne
Automate the hardest parts of IT

datensicherheit.de, 31.07.2020
Das VPN nicht überlasten – wie moderne Patchvorgänge auch Homeoffices abdecken

[datensicherheit.de, 30.03.2023] Im Rahmen der Veranstaltung CPX 360 vom 14. bis 16. März des Herstellers und Firewall-Pioniers Check Point Software Technologies in München kamen Mitarbeiter, Kunden und Partner des Anbieters zusammen. Anlässlich des 30-jährigen Jubiläums konnte Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, mit dem Gründer und CEO Gil Shwed über Aspekte der Cybersicherheit sprechen. In seiner Eröffnungsrede hatte er zuvor das Jahr der KI ausgerufen.

Gil Shwed, CEO von Check Point, © Martin Hangen/Check Point

ds: Können Sie uns die wichtigsten Punkte Ihrer Keynote noch einmal für unsere Leser im Hinblick auf Ihre Aussage zu Künsctlicher Intelligenz (KI) zusammenfassen?

Gil Shwed: Alle paar Jahre erlebt die Branche einen großen Wandel und wir befinden uns gerade mitten in der KI-Revolution. Seit einem Jahrzehnt investieren wir bei Check Point konsequent in diese Technologie und bauen sie in unsere Systeme ein. Zusätzlich nutzt mehr als die Hälfte unserer Threat Engines eine KI, um sicherzustellen, dass komplexe IT-Infrastrukturen geschützt bleiben. Für mich ist das Jahr 2023 der Wendepunkt für KI, da wir im täglichen Leben immer abhängiger von ihr werden und sie sich als integraler Bestandteil der Verteidigung unserer sich ständig entwickelnden Netzwerke etabliert hat.

ds: Welche Herausforderung bringt der „Working from Anywhere“-Trend für die Cybersicherheit?

Gil Shwed: Das anhaltende Engagement von Unternehmen und Mitarbeitern für hybrides Arbeiten hat zu einem Anstieg der verwendeten digitalen Geräte pro Person um durchschnittlich mehr als 50 Prozent geführt. Wir bei Check Point haben im letzten Jahr weltweit einen Anstieg der Cyberattacken von 38 Prozent festgestellt, der mit der Zunahme dieser Geräte korreliert. Für viele Unternehmen besteht das Problem darin, dass ihre Produkte nicht zusammenarbeiten – die Koordinierung ist einfach zu komplex. Wir müssen sicherstellen, dass alle Systeme kommunizieren, um das Risiko eines Angriffs einzudämmen. Dies ist derzeit nicht gängige Praxis und im Jahr 2023 wird dieses Defizit Unternehmen verwundbar machen.

ds: Welchen technologischen Trend sehen Sie in diesem Jahr abseits von KI im Vordergrund stehen?

Gil Shwed: Zwei der wichtigsten Trends werden in diesem Jahr die API-Security und die Automatisierung von Cybersicherheitsprozessen sein. APIs sind ein wachsender Teil der Angriffsfläche vieler Unternehmen im Internet, und ihre Eigenschaften machen sie zu einem idealen Ziel für automatisierte Angriffe. Es ist von entscheidender Bedeutung, dass Unternehmen API-Sicherheitslösungen in ihre Application Security-Strategie integrieren, um Missbrauchsversuche ihrer Web-APIs zu erkennen und zu verhindern. Die Automatisierung von IT-Sicherheitsprozessen bietet zahlreiche Vorteile für Sicherheitsteam, um die wachsenden Workloads trotz Personalmangel und vielfältiger Aufgaben zu bewältigen.

Carsten J. Pinnow im Interview mit Gil Shwed, © Martin Hangen/Check Point

ds: Sie propagieren seit Jahren den Ansatz, dass Präventionsmaßnamen besser sind als die nachträgliche Erkennung. Warum?

Gil Shwed: Der präventive Ansatz zur IT-Sicherheit beruht auf drei Grundprinzipien des höchstmöglichen Schutzes: Umfassend, konsolidiert und kooperativ. Unternehmen benötigen eine Lösung, die alle Vektoren abdeckt (um einen Vorfall von vornherein zu verhindern), eine konsolidierte Cybersicherheitsarchitektur, um die Sicherheitskoordination und -effektivität zu verbessern, und die Integration in Systemen von Drittanbietern, um möglichst genaue Echtzeitdaten zu liefern.

ds: Sie gelten als Förderer der IT-Security Start-Up-Szene in Israel. Wie unterstützt Check Point hier junge Unternehmen?

Gil Shwed: Zunächst einmal empfinde ich es als große Freude, dass wir eine so aktive Start-Up Szene in Israel speziell im Bereich Cybersicherheit haben. Sie führen mit innovativen Ideen und Konzepten dazu, dass auch wir immer wieder herausgefordert werden, uns und unsere Lösungen zu erneuern. Aktuell fördern wir unter anderem über unser CyberUp Accelerator Programm zahlreiche Start-Ups. Bislang profitierten 43 junge Unternehmen von unseren Erfahrungen. Viele dieser Unternehmen werden außerdem von ehemaligen Check Point-Mitarbeitern gegründet, die dann auch ab und zu wieder zu uns stoßen, indem wir sie und ihre Technologien in unsere Lösungen integrieren. Dadurch entstehen steter Austausch und Erneuerungsprozesse, die letztlich allen zugutekommt.

ds: Wir danken für das Gespräch.

Ankündigung von Infinity Global Services

Während der Veranstaltung stellten weitere Mitarbeiter die fortschreitende Entwicklung des Produkt- und Lösungsportfolios vor, darunter Eyal Manor, Vice President of Product Management, der auf die Produktverbesserungen einging, die zum Schutz gegen aktuelle IT-Bedrohungen entwickelt wurden. Hierbei handelt es sich um die Einführung von Check Point Infinity Global Services, einem End-to-End-Sicherheitsservice, der Unternehmen dabei helfen wird, fortschrittliche Cyber-Bedrohungen abzuwehren, auf weit verbreitete Angriffe zu reagieren und jeden Aspekt ihrer Widerstandskraft zu verbessern. Manor hob hervor, dass diese Einführung auf die wachsende Komplexität der IT-Sicherheit und den Mangel an qualifizierten Mitarbeitern zurückzuführen ist, die diese Aufgabe bewältigen sollen, denn in der Branche gibt es derzeit eine Qualifikationslücke von 3,4 Millionen Fachkräften.

Maya Horowitz, Vice President of Research, gab den Zuhörern in einer virtuellen Präsentation eine kurze Zusammenfassung der Unternehmensgeschichte. Sie reflektierte die Fähigkeit von Check Point, Bedrohungsinformationen zu entschlüsseln, zu analysieren und zu interpretieren, um neue Malware, Hackermethoden und -techniken zu identifizieren und daraufhin Wege zu finden, diese schnell abzuwehren. Sie verwies auf die Komplexität von Hacker-Gruppen, wie Conti, veranschaulichte die zunehmenden geopolitischen Spannungen, die nun auch in die Cyber-Dimension vorgedrungen sind, und sprach die besorgniserregende Verlagerung von Angriffen auf Einzelpersonen sowie auf Kritische Infrastrukturen (KRITIS) an.

Kunden, Mitarbeiter und Partner hörten zudem Redebeiträge von mehreren anderen Check Point-Führungskräften, darunter Ofir Israel, Vice President of Threat Prevention, der die Diskussion über die Auswirkungen von KI fortsetzte, indem er auf die Cyber-Kriegsführung einging und darlegte, wie diese Technologie die Welt der IT-Sicherheit verändert hat.

Die Veranstaltung bot den Teilnehmern einen Zugang zu den bewährten Methoden und Erkenntnissen zur Verwaltung der Cybersicherheitslandschaft. Mitarbeiter, Partner und Kunden hatten außerdem die Möglichkeit, an ausführlichen Podiumsdiskussionen teilzunehmen, die einen Vorgeschmack auf die neuen Produktankündigungen von Check Point und die Expertenprognosen für die IT-Sicherheitsplanung im Jahr 2023.

Weitere Informationen zum Thema.

datensicherheit.de, 03.02.2023
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

datensicherheit.de, 29.06.2020
Cybersicherheit: Vision einer mutigen neuen Welt während und nach der Pandemie

[datensicherheit.de, 29.11.2021] Kriminelle Akteure betrachten Feiertage und Wochenenden offensichtlich als attraktive Zeiträume für Ransomware-Angriffe. Außerhalb der Bürozeiten sei erwartungsgemäß weniger IT-Personal in Unternehmen vorhanden, das Angriffe erkennen und entsprechende Gegenmaßnahmen einleiten könnte. Die Hacker bereiteten sich auf diese Zeiträume gezielt vor, da sie sicher davon ausgehen könnten, dass sie bei Angriffen ein leichtes Spiel hätten und ihnen der Erfolg gesichert sei. Qualys geht in einer aktuellen Stellungnahme auf diese Problematik ein.

Automatisierte Lösung laut Qualys zuverlässiger bei Erkennung und Behebung von Schwachstellen in Echtzeit

Die Anzahl an „Assets“ in Unternehmen steige stetig – gleichzeitig werde das Fachpersonal im Bereich der IT-Security den damit einhergehenden Sicherheitsanforderungen nicht mehr gerecht. Um den Mangel an geschultem Personal auszugleichen, sollten Unternehmen daher verstärkt auf Automatisierung setzen. „So bewahren sie rund um die Uhr den Überblick über sämtliche ihrer ,Assets‘ und können diese durchgehend überwachen und auf mögliche Schwachstellen überprüfen, um mit der Ergreifung geeigneter Maßnahmen auf diese zu reagieren.“
Nicht zuletzt sei eine automatisierte Lösung zuverlässiger bei der Erkennung und Behebung von Schwachstellen in Echtzeit, denn beim Patch-Management sei die Zeit von der Erkennung bis zur Behebung einer Schwachstelle entscheidend für eine lückenlose Gerätesicherheit. So könne selbst bei einer zeitweisen Unterbesetzung in IT-Teams die IT-Sicherheit aufrechterhalten werden.

Anbieter wie Qualys erweitern klassische Incident Response um Prävention, Erkennung und Reaktion bei Sicherheitsbedrohungen auf Endpunkten

Automatisierte Plattformen zur kontinuierlichen Überwachung von Endpunkten, also generelle Services aus der Kategorie „Detection and Response“, ermöglichten es IT-Verantwortlichen, ihre „Assets“ auf mögliche Bedrohungen hin zu untersuchen. So könne ein Diebstahl sensibler Daten von diesen Geräten verhindert werden, „sobald es erste Anzeichen für einen solchen gibt“. Für ein schnelles Reagieren auf Vorfälle sei es essenziell, dass nicht allein dann agiert werde, „wenn es bereits zu einem Sicherheitsvorfall kommt“.
Es seien vielmehr präventive Maßnahmen erforderlich, denn diese entlasteten unterbesetzte Teams bei ihrer Reaktion auf solche Vorfälle, welche sich als falscher Alarm herausstellen. Es gebe Anbieter wie z.B. Qualys, die hierfür die klassische „Incident Response“ erweiterten, und Prävention, Erkennung und Reaktion bei Sicherheitsbedrohungen auf Endpunkten böten. Auf diese Weise könne mit einem proaktiven Ansatz die gesamte Angriffskette überwacht werden, statt lediglich reaktiv bereits bestehende Bedrohungen anzugehen. Mit den richtigen Tools könne also eine Kompromittierung der Unternehmenssysteme zu jeder Zeit im Jahr verhindert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 11.11.2021
Aus aktuellem Anlass: 7 Tipps zu Ransomware-Angriffen für Unternehmen / Michael Scheffler gibt Betrieben Tipps, wie ein Ransomware-Angriff abgewehrt bzw. dessen Auswirkungen reduziert werden können

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

[datensicherheit.de, 27.10.2020] IT-Sicherheits- und Betriebsteams sehen sich heute immer mehr Bedrohungen und Schwachstellen gegenüber. Gleichzeitig fehlen ihnen oft die Zeit und die Ressourcen, um sich rechtzeitig um alle zu kümmern. Die automatisierte Bereitstellung von Patches und die Korrektur falsch konfigurierter IaaS- und PaaS-Ressourcen in Hybrid-Clouds ist mittlerweile zu einer Notwendigkeit geworden, wie Roger Hellman, Director Solutions Marketing BMC, darlegt.

Für moderne Unternehmen von heute sind die Security-Anforderungen klar: Wenn Unternehmen von Security-Verletzungen und fehlgeschlagenen Compliance-Audits betroffen sind, sind die Schäden weitreichend. Außerdem verändert sich praktisch alles, mit dem Sicherheits- und Operations-Teams zu tun haben, stetig und entwickelt sich weiter. Aktuell sind diese Teams mit diversen beunruhigenden Entwicklungen konfrontiert, die ihre Arbeit erschweren: raffiniertere und hartnäckigere Angriffe, sich ausbreitende Schwachstellen, sich ausdehnende Angriffsflächen und falsch konfigurierte Ressourcen in der Public Cloud.

Der Stressfaktor steigt

Doch es bleibt nicht bei der sich verschärfenden Bedrohungslagen, in der Praxis stehen viele Sicherheitsteams noch etlichen weiteren Problemen gegenüber. Die meisten Unternehmen verfügen über zu wenig sicherheitsbewusstes Personal. Security-Experten sind schwer zu finden, schwer einzustellen und noch schwerer zu halten. Trotz der äußerst kostbaren Zeit arbeiten die Teams aber weiterhin mit manuellen, arbeitsintensiven Methoden und Werkzeugen für das Vulnerability Management. Von der Durchführung von Vulnerability Scans über die Zuordnung von Schwachstellen zu Assets und Patches, der Priorisierung von Maßnahmen sowie der Bereitstellung der erforderlichen Fixes und der Implementierung der erforderlichen Änderungen – alle diese Aufgaben werden häufig manuell durchgeführt.

Die Teams arbeiten daher weitgehend reaktiv, das heißt sie müssen sich ständig mit der Ineffizienz und dem Stress auseinandersetzen, die mit solchen Ad-Hoc-Maßnahmen verbunden sind. Angesichts dieser Herausforderungen haben die Sicherheits- und Operations-Teams Mühe und scheitern allzu oft daran, Schritt zu halten. Es gibt zu viele Schwachstellen und nicht genug Zeit, um sie alle zu beseitigen. Täglicher manueller Aufwand kann auch zu Fehlern führen und Unternehmen Ineffizienz, Rollbacks und Ausfallzeiten aussetzen. Darüber hinaus führen manuelle Prozesse in der Cloud dazu, dass die Gefahr für ein Datenleck in der Cloud steigt. Um den Geschäftsbetrieb weiterhin zu unterstützen, müssen IT-Abteilungen ihre Prozesse durch Automatisierung neu definieren.

Automatisieren, aber richtig

Unternehmen haben viel zu gewinnen, wenn sie ihr Vulnerability Management automatisieren. Bis heute haben es jedoch viele versäumt, diese Vorteile zu nutzen. Um das Beste daraus zu gewinnen, sollten die IT-Teams Lösungen einsetzen, die folgende Schlüsselanforderungen erfüllen:

Wahl des Deployment-Modells:

Traditionelle Methoden zum Patchen und Beheben von Sicherheitsschwachstellen basieren weitgehend auf On-Premise-Systemen und Softwarelösungen. Zu den Vorteilen dieses Ansatzes gehören die Kontrolle, da die Konfiguration, Upgrades und Systemänderungen vor Ort durchgeführt werden, sowie der Zugang, da die Software nicht über eine Internetverbindung erreicht werden muss.

Umfassende Automatisierungsmöglichkeiten:

Teams benötigen auch Lösungen, die Automatisierung nutzen, um Sicherheitslücken in hybriden Cloud-Umgebungen zu finden und zu beheben. Sie müssen fehlende Patches und falsch konfigurierte Ressourcen entdecken und dann automatisierte, korrigierende Maßnahmen ergreifen. Dazu sollten die Identifizierung der exponierten Ressourcen und Unternehmensdienste, die Schwere und Dauer der Schwachstelle, die Bereitstellung von Patches auf der Grundlage von Richtlinien und vieles mehr gehören.

Wichtig ist auch der Einsatz von Lösungen, mit denen falsch konfigurierte Cloud-Dienste, einschließlich IaaS- und PaaS-Ressourcen, automatisch identifiziert und korrigiert werden können. Darüber hinaus sollten Lösungen die Einhaltung von Sicherheitsrichtlinien und gesetzlichen Vorschriften wie der Datenschutz-Grundverordnung DSGVO und des Center for Internet Security (CIS) automatisieren.

Flexible Integration:

Lösungen sollten eine flexible Integration mit anderen Tools bieten. Beispielsweise sollten sie die Integration mit Incident und Change Management unterstützen, um die Geschwindigkeit und Effizienz zu erhöhen sowie die Verfügbarkeit und den reibungslosen Betrieb zu gewährleisten. Die Lösungen sollten auch eine Integration mit robusten Discovery-Angeboten bieten. Durch integrierte Erkennung und automatisierte Behebung können Lösungen blinde Flecken, die dazu führen können, dass Schwachstellen unentdeckt bleiben, wirksam beseitigen.

Einheitliche Unterstützung für hybride Umgebungen:

IT-Teams benötigen einen einheitlichen Ansatz zur Verwaltung der Automatisierung von Security und Compliance über die gesamte Hybrid-Cloud-Struktur ihres Unternehmens hinweg, einschließlich der Server vor Ort, Netzwerke und Public-Cloud-Umgebungen. Die Lösungen sollten Unterstützung für eine Reihe von Umgebungen und Technologien bieten, darunter AWS, Azure, Google Cloud Platform, Docker und Kubernetes. Um eine effektive Anpassung an die heutigen hybriden Realitäten zu gewährleisten, benötigen Teams darüber hinaus Lösungen, die Cloud-basierte Implementierung bieten und gleichzeitig die automatisierte Verwaltung von eigenen Rechenzentren und Multi-Clouds ermöglichen. Lösungen sollten containerbasierte Bereitstellung bieten, die eine einfache Installation, Konfiguration und Upgrades ermöglicht.

Auswertungen und Analytik:

Analytik und Auswertungen sind erforderlich, um Schwachstellen den jeweils bedrohten Ressourcen und den erforderlichen Korrekturmaßnahmen (Patch oder Konfigurationsänderung) zuzuordnen, bei der Festlegung von Prioritäten zu helfen und Schwachstellen im Kontext von SLAs zu verfolgen. Bei der Analyse von Schwachstellen sollten die Teams auch in der Lage sein, sich sofort einen Überblick darüber zu verschaffen, welche Anwendungen und Dienste gefährdet sind. Die Analytik muss auch Erkennungsdaten nutzen, um Schwachstellen, die von Sicherheitsscannern übersehen wurden, zu identifizieren und deren Behebung zu unterstützen.

Fazit

Durch die Erfüllung dieser Anforderungen können die Teams das automatisierte Vulnerability Management über das Einsatzmodell ihrer Wahl – entweder SaaS oder on Premise – maximieren. Mit diesen Funktionen können Teams ihre Infrastrukturen konsistent und effizient stärken und gleichzeitig die Security und Compliance steigern. Gestresste und unterbesetzte Sicherheits- und Operations-Teams profitieren ebenfalls von den Vorteilen. Durch die Auslagerung manueller, sich wiederholender Aufgaben können Teams mehr Zeit für Innovationen aufwenden und gleichzeitig Produktivität, Effizienz, Moral und Mitarbeiterbindung verbessern – alles, damit ihre Organisationen zu autonomen digitalen Unternehmen werden. Kurz gesagt, eine automatisierte Schwachstellenbehebung ist ein Muss.

Weitere Informationen zum Thema:

datensicherheit.de, 26.06.2020
Mit Automatisierung gegen Datenlecks

datensicherheit.de, 22.09.2017
IT-Security: Die Zukunft liegt in der Automatisierung

Ein Kommentar von Elmar Albinger, Regional Sales Director bei AlgoSec

[datensicherheit.de, 26.06.2020] In Zeiten zunehmender Verunsicherung – sowohl im Alltag als auch in der IT – ist es überaus wichtig, sich auf bestimmte Stützpfeiler verlassen zu können. In Europa stellt die Datenschutz-Grundverordnung (DSGVO) eine solche Säule dar. Die Vorgaben der EU sind am 25. Mai 2018 in Kraft getreten und feiern ihr zweijähriges Bestehen. Viele Menschen fragen sich aber, ob sie in der DSGVO nun Fluch oder Segen sehen sollen.

Manuelle Richtlinienverwaltung ist kompliziert und fehleranfällig

Tatsache ist, dass Compliance-Richtlinien, wie die DSGVO oder der IT-Grundschutz des BSI, unzählige Herausforderungen darstellen und für alle betroffenen Vor- und Nachteil zugleich sind. In Zeiten des digitalen und personenbezogenen Marketings ist es ein ‚Segen‘, dass Anwender im Rahmen dieser Datenschutzregeln mehr Kontrolle über ihre personenbezogenen Daten erhalten – und Transparenz in Bezug auf den Umgang mit diesen Informationen einfordern können. Ziel der DSGVO ist es, die Grundrechte und Grundfreiheiten natürlicher Personen – und insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten – zu sichern. Den ‚Fluch‘ spüren mitunter die IT-Verantwortlichen, die eine Vielzahl technischer und organisatorischer Maßnahmen umsetzen müssen. Hinzu kommt, dass dies ein dauernder Prozess ist, denn etablierte Maßnahmen müssen kontinuierlich geprüft und angepasst werden, um das Schutz-Niveau aufrecht zu erhalten – trotz sich ändernder Rahmenbedingungen.

Bessere Absicherung und Effizienz durch Security-Automatisierung

Abhilfe schaffen Sicherheitslösungen, die dem IT-Personal selbstständig unter die Arme greifen. Software-gesteuertes Auslesen und Verwalten von Firewalls, UTM-Appliances sowie anderer Netzwerk-Sicherheitsprodukte erleichtern die Einhaltung von Compliance-Vorgaben erheblich. Fortschrittliche Analyse- und Automatisierungsfunktionen ermöglichen es außerdem, ohne großen Zeitaufwand sämtliche Einstellungen zu überprüfen und Kommunikations- und Datenflüsse sichtbar zu machen. Das senkt die Fehleranfälligkeit und erhöht die Sicherheit der gesamten IT-Infrastruktur enorm.

Sicherheit als Wettbewerbsvorteil

Unternehmen, die Compliance-Richtlinien und IT-Sicherheits-Anforderungen nicht als notwendiges Übel, sondern vielmehr als Chance verstehen, werden mittel- und langfristig einen nachhaltigen Wettbewerbsvorteil erzielen können. Während jedoch die Anforderungen aufgrund der steigenden Dynamik ständig zunehmen, sehen sich nahezu alle Unternehmen einem Mangel an qualifiziertem IT-Sicherheitspersonal ausgesetzt, gepaart mit personellem Kostendruck. Wie schon zu Beginn der industriellen Revolution ist erneut die Automatisierung ein wesentlicher Teil des Ganzen.

Elmar Albinger, Bild: AlgoSec

Die DSGVO führt in „Kapitel IV – Verantwortlicher und Auftragsverarbeiter“ eine Liste von Maßnahmen an, die einen angemessenen Schutzgrad gewährleisten sollen. Dabei geht es nicht nur unmittelbar um die personenbezogenen Daten selbst, sondern unter anderem um den kontrollierten Zugang zu Diensten und Systemen. Schon der kleinste Fehler in der Richtlinienkonfiguration einer Firewall kann eine Sicherheitslücke reißen und zu einem Datenleck führen. Stehlen Angreifer über die Schwachstelle entsprechende Datensätze, dann ist der Skandal programmiert – und der Verstoß gegen die DSGVO geschehen. Je nachdem in welchen Bereichen ein Unternehmen aktiv ist, betreffen es außerdem weitere Datenschutzgesetze, wie das seit 2017 geltende chinesische Cyber Security Law oder auch eine der vielen regionalen Vorgaben innerhalb der USA.

Abschließend lässt sich feststellen, dass Unternehmen jeder Größe von einem automatisierten, geschäftsorientierten Sicherheits-Management profitieren. Dessen Nutzung stellt sicher, dass die Einhaltung von Datenschutzrichtlinien stets gewährleistet ist – und Regelungen, wie die DSGVO kein Nachteil sind, sondern zum Vorteil werden.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

Von unserem Gastautor Rob Mellor, VP und GM EMEA bei WhereScape

[datensicherheit.de, 09.05.2020] Die Im Zeitalter von Big Data könnte man davon ausgehen, dass man gar nicht genug Daten haben könnte. Denn aus Daten lassen sich in der Theorie wichtige Erkenntnisse ziehen, die Unternehmen zu ihrem Vorteil nutzen können. Und so sammeln Unternehmen seit Jahren fleißig Daten aus immer mehr Quellen ein – und stehen damit auch vor der immer komplexeren Aufgabe diese Daten sinnvoll verarbeiten zu müssen. In der Praxis macht sich schon lange vielerorts Ernüchterung breit: Denn oft führen mehr Daten nicht zwangsläufig zu besseren Ergebnissen. Das grundlegende Problem ist, dass es vielen Unternehmen einfach an einer grundlegenden Datenstrategie fehlt. Ohne diese ist es schwer zeitnah Wert aus Daten ziehen zu können. Eine passende Datenstrategie für sein Unternehmen zu haben oder diese zu erstellen, wenn es noch keine gibt, ist also ein wichtiges Element jedes Unternehmens das große Datenmengen verarbeitet.

Bild: WhereScape

Rob Mellor, VP und GM EMEA bei WhereScape

Kern jeder Datenstrategie: Das Data-Warehouse

Eine passende Datenstrategie muss an eine Organisation und ihre Zielsetzung angepasst sein. Wenn man schnell Ergebnisse benötigt, braucht man auch eine entsprechend schnelle und agile Strategie. Wenn es aber nur darum geht, so viele Daten wie möglich zu verarbeiten, benötigt man eine Strategie, die möglichst viel Verarbeitungsleistung bietet. Doch ganz egal, wofür man seine Daten benötigt und wie man seine Datenstrategie letzten Endes erstellt, jede moderne Organisation mit vielen Daten benötigt ein modernes Data-Warehousing. Das Data-Warehouse ist der universelle Ort, an dem Daten aus vielen unterschiedlichen Quellen gesammelt werden – und der Ort, aus dem man im besten Fall die gewünschten Erkenntnisse erhält. Plant man also eine passende Datenstrategie, so ist das Data-Warehouse eines der wichtigsten Kernelemente. Ein weiterer wichtiger Bestandteil jeder modernen Datenstrategie sind Metadaten.

Verarbeitung von Metadaten wird immer wichtiger

Metadaten sind Daten, die Informationen über „andere Daten“ liefern. Metadaten haben verschiedene Zwecke. Sie helfen den Benutzern, relevante Informationen und Ressourcen zu finden und helfen der IT bei der Identifizierung und Archivierung ihrer Daten. Metadaten ermöglichen es, Daten anhand relevanter Kriterien zu finden. Mit ihnen lassen sich beispielsweise verschiedene Daten zusammenführen, ungleiche Daten unterscheiden oder Ortsangaben machen. Saubere Daten inklusive der passenden Metadaten machen es Organisationen einfacher einen Wert aus den Daten zu ziehen. Selbstredend muss ein modernes Data-Warehouse also nicht nur Daten aus vielen verschiedenen Kanälen und Quellen verarbeiten können, sondern auch die zugehörigen Metadaten. Dies betrifft auch verwandte Prozesse wie das Änderungsmanagement und die Systemdokumentation.

Hat ein Unternehmen die Verwaltung der wichtigen Metadaten erfolgreich bewältigt, profitiert davon nicht nur das Unternehmensmanagement, sondern auch die immer wichtiger werdenden Entwickler. Diese arbeiten fortan deutlich produktiver mit aktuellen und sauberen Datensätzen, auf die sie sich verlassen können.

Bild: WhereScape:

Die Data-Warehouse-Automatisierung hilft IT-Teams, Data Warehouse -Automation-Software kombiniert die Verwendung von Metadaten, Data Warehouse Methoden, Mustererkennung und mehr, um Entwicklern zu helfen, Data Warehouse Designs und Codierung durch den Einsatz von Data Warehouse-Design-Tools und zeitsparenden Entwicklungsassistenten und -vorlagen automatisch zu generieren. Insofern bietet Automatisierung viel mehr als bisher, indem sie viel schneller, mit weniger Projektrisiko und niedrigeren Kosten liefert und verwaltet. Zudem entfallen wiederholte Design-, Entwicklungs-, Bereitstellungs- und Betriebsaufgaben innerhalb des Data Warehouse Lebenszyklus.

Automatisierung des Data Warehouse ist notwendig

Bei immer mehr Daten und Datenquellen, ist die effektive Verwaltung des Data-Warehouse für viele IT-Abteilungen eine immer größer werdende Herausforderung. Doch wie auch in vielen anderen Bereichen des Rechenzentrums kann Automatisierung bei der Bewältigung dieser Herausforderung ein wichtiger Teil der Lösung sein. Denn das grundlegende Problem bei immer mehr Daten und komplexeren Prozessen ist, dass es einfach nicht mehr möglich ist die Dateninfrastruktur bei jeder neu hinzugefügten IT-Lösung oder Migration neu manuell zu verändern. Ein automatisiertes Data-Warehouse lässt sich hingegen relativ schnell und einfach verwalten – der Großteil der Prozesse ist ja automatisiert. Damit nimmt die Automatisierung eine große Last von den Schultern der IT und hat damit das Potenzial eine Big-Data-Strategie einfacher, billiger und konformer mit Vorschriften wie der DSGVO zu machen.

Modernisierung des Data Warehouse bedeutet zuerst: Automatisierung

Im Zeitalter von Big Data hat sich vielerorts Ernüchterung breitgemacht: Es gibt immer mehr Daten, Datenquellen und höhere Anforderungen an die Qualität der Rohdaten und deren Erkenntnisse. In der Realität ist die IT mehr damit beschäftigt Probleme beim Datenmanagement zu lösen, als Lösungen zu präsentieren. Gesucht wird vielerorts eine passende Datenstrategie, die die Verwaltung vereinfacht und dabei hilft einen Wert aus all den vorhandenen Daten ziehen zu können. Teil einer erfolgreichen Datenstrategie muss also Fundament ein modernes Data Warehouse sein. Unternehmen, die an einer Datenstrategie arbeiten, kommen nicht um die Modernisierung ihres Data Warehouse herum. Und eine der wichtigsten Aufgaben bei dieser Modernisierung ist die Automatisierung des Data Warehouse.

Weitere Informationen zum Thema:

datensicherheit.de, 15.06.2019
Mit Automatisierung Mehrwerte aus dem Internet der Dinge holen

datensicherheit.de, 14.03.2019
Studie der TH Köln: Big Data – Chancen und Risiken

[datensicherheit.de, 14.04.2020] Das Unternehmen Vectra AI, tätig im Bereich Network Detection and Response (NDR), warnt davor, dass Remote-Arbeitsplätze für mobile Arbeitskräfte, die Verlagerung der Belegschaft ins Home-Office und die Nutzung von RDP, VPN und VDI die Angriffsfläche ganz massiv vergrößern. Angemessene Sicherheitsmaßnahmen erfordern detaillierten Einblick in die Fernverbindung von Benutzern zu internen geschäftskritischen Systemen. Dies ist jedoch rein manuell nicht zu bewältigen. Deshalb ist die Automatisierung der IT-Sicherheit mithilfe von maschinellem Lernen und künstlicher Intelligenz dringender denn je.

In seinem Internet Exposure Dashboard für Deutschland zeigt Shodan auf, dass es derzeit über 5.400 dem Internet ausgesetzte Maschinen gibt, die die Remote-Code-Execution-Schwachstelle „BlueKeep“ in RDP (Remote Desktop Protocol) aufweisen. „Eine Vectra-Studie von 2019 belegte, dass RDP eine große und anfällige Angriffsfläche in vielen Netzwerken schafft. Laut dem Vectra 2019 Spotlight Report on RDP hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen im ersten Halbjahr 2019 erkannt. 90 Prozent dieser Implementierungen wiesen Verhaltenserkennungen von RDP-Angreifern auf“, berichtet Andreas Müller, Director DACH bei Vectra.

Foto: Vectra

Andreas Müller, Director DACH bei Vectra

Neben steigenden VPN- und VDI-Zugriffen auch unerwartete Zugriffsaktivitäten im Blick behalten

Die erhebliche Ausweitung der Telearbeit lässt sich an der seit Anfang 2020 beobachteten 41%igen Zunahme der Nutzung von Remote-Desktops und 33%igen Zunahme der VPN-Nutzung in Unternehmen ablesen.1 Dies wirft neue Fragen über die Sicherheit der Werkzeuge auf, die Menschen auf der ganzen Welt nutzen, um sich mit wichtigen Arbeitsplatzsystemen und geschäftskritischen Daten zu verbinden. Eine weiterhin deutliche Zunahme des VPN- und VDI-Zugriffs ist hierbei zu erwarten. Unternehmen sehen sich somit innerhalb kurzer Zeit mit einer Ausweitung der Cyberangriffsfläche konfrontiert. Umso wichtiger ist es daher, nach unerwarteten Zugriffsaktivitäten zu suchen. Dies könnte alles sein, vom Trend, dass Benutzer persönliche Cloud-Speicher nutzen, bis hin zu einem Server-Administrator, der Fernzugriffs-Tools einsetzt, um eine direkte Verbindung zu den Systemen herzustellen.

Überwachung der virtuellen Desktop-Infrastruktur (VDI)

Um die steigende Anzahl der Mitarbeiter an entfernten Standorten zu bewältigen, greifen Unternehmen zunehmend auf Cloud-basierte „Desktop as a Service“-VDI-Dienste zurück. Diese verfügen über eine verschlüsselte private Verbindung zurück in das Unternehmensnetzwerk. Mehrere gleichzeitige VDI-Sitzungen können durch zugehörige Kerberos- und NT-LAN-Manager (NTLM)-Authentifizierungssitzungen identifiziert werden und eine Überprüfung auf Anzeichen von kompromittierten Kontoanmeldeinformationen rechtfertigen. Jeglicher VDI-bezogener Verkehr außerhalb der gesicherten privaten Verbindung mit dem Cloud-VDI-Anbieter des Dienstes sollte identifiziert und kontrolliert werden.

Überwachung des Remote-Desktop-Protokolls (RDP)

Microsoft RDP wird von Remote-Clients zur Verbindung mit VDI-Diensten verwendet und ist ein verlockendes Ziel für Angreifer, da es ihnen die volle Kontrolle über die mit dem Netzwerk verbundenen Geräte geben kann. Im Laufe der Jahre sind immer wieder neuen RDP-Schwachstellen hinzugekommen, die eine Remote-Codeausführung und eine Eskalation von Privilegien ermöglichen. Normalerweise sollte RDP nicht dem Internet ausgesetzt sein, und wo VDI-Dienste lokal gehostet werden, sollte dies nur über VPN-Zugriff für entfernte Mitarbeiter geschehen. Einige Unternehmen geben der Bereitstellungsgeschwindigkeit jedoch gegenüber der Sicherheit den Vorrang. Sie stellen ihre RDP-Dienste hinter eine Web Application Firewall (WAF) und machen den Dienst öffentlich zugänglich. Die Exposition von RDP-Diensten gegenüber dem Internet ist normalerweise ein großes Risiko. In diesem Szenario ist es wichtig, dass eingehende RDP-Anforderungen ausschließlich auf die Verbindung mit dem legitimen RDP-Gateway beschränkt sind.

Identifizieren der unbefugten Nutzung von Cloud-Speicher

Die Verwendung von nicht genehmigten Cloud-Speicherdiensten kann zu Problemen bei der Einhaltung von Vorschriften und Richtlinien führen und es erschweren, Datenexfiltration zu erkennen. So ist davon auszugehen, dass für die gemeinsame Nutzung von Informationen verstärkt Cloud-basierte Speicher (OneDrive, Google Drive usw.) anstelle von firmeninternen Dateiservern verwendet werden. Dies bedeutet, dass mehr wertvolle Informationen in einem Cloud-Speicher abgelegt werden könnten, als dies unter gewöhnlichen Umständen der Fall wäre. Die Art und Weise, wie der Remote-Host verbunden ist, wirkt sich auf den Grad der Sichtbarkeit des Cloud-Speichers aus. Bei einer VPN-Verbindung mit geteiltem Tunnel werden nur die DNS-Anforderungen gesehen, die die IP-Adressen des Cloud-Speicherdienstes auflösen. Im Falle eines VPN mit vollem Tunnel wird iSession auch die nachfolgenden Verbindungen zum Cloud-Speicherdienst anzeigen.

Beobachtung von Server Message Block (SMB) mit externem Zugriff

SMB ist ein Protokoll auf Anwendungsebene, das den gemeinsamen Zugriff auf Dateifreigaben, Drucker und serielle Schnittstellen von Geräten in einem Netzwerk ermöglicht. SMB ist ein komplexes Protokoll mit vielen bekannten Schwachstellen, einschließlich EternalBlue, dem Exploit, der die Verbreitung von WannaCry, NotPetya und anderen verheerenden Ransomware-Angriffen ermöglicht. Normalerweise sollten SMB-Dienste nicht dem Internet ausgesetzt sein und nur über einen VPN-Zugang für Remote-Mitarbeiter erfolgen. Jede Exposition von SMB-Diensten geht mit einem erheblichen Datenverlustrisiko einher.

Überprüfung der Sicherheitslage an entfernten Endpunkten

Da die Arbeit an entfernte Standorte verlagert wird, ist es ratsam, sicherzustellen, dass über VPN verbundene Arbeitsplätze richtig konfiguriert sind, um auf die vom Unternehmen verwalteten Dienste wie DNS und NTP zuzugreifen. Wie verhalten sich die Endpunkte, die sich jetzt physisch außerhalb der Kontrolle befinden? Welche Hosts im Netzwerk initiieren zum Beispiel rekursive DNS-Anforderungen an externe DNS-Server? Bei VPN-Verbindungen mit vollem Tunnel wären die DNS-Auflösungen zu nicht firmeneigenen verwalteten DNS-Diensten sichtbar. Bei VPN-Verbindungen mit geteiltem Tunnel würde das DNS lokal aufgelöst und nicht sichtbar sein.

NDR-Plattform reduziert Arbeitsaufwand für Erkennung und Analyse

Versteckt im hohen Traffic-Volumen von Remote-Mitarbeitern, Unternehmensnetzwerken und Cloud-Instanzen gibt es kleine, aber wertvolle Hinweise, die für die Sicherheit relevant sind. „Durch den Einsatz einer automatisierten NDR-Plattform können Sicherheitsteams den mit solchen Erkennungen und Analysen verbundenen Arbeitsaufwand reduzieren und so ihre Effizienz und Effektivität erhöhen, worauf es gerade jetzt umso mehr ankommt“, rät Andreas Müller abschließend.

[1] Trends in Internet Exposure, Trends im Internet Exposure

Weitere Informationen zum Thema:

datensicherheit.de, 13.04.2020
VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

datensicherheit.de, 02.04.2020
Sicherheitspanne in Marriott-Hotels: Daten von 5.2 Millionen Kunden offengelegt

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern