[datensicherheit.de, 07.09.2020] Die gegenwärtige „Pandemie“-Situation hat die Digitalisierung – oder zumindest erste Schritte dorthin – auch in die Schulen getragen. Neue Technologien und Programme mussten eingeführt werden, um den Fernunterricht zu gewährleisten, und Lehrer damit beginnen, eine Reihe von Videokommunikationsmitteln wie „Zoom“ und „Microsoft Teams“ einzusetzen. Zwar sei Deutschland 2019 in einem Ranking des Center for European Policy Studies im Bereich „E-Learning“ als „unterdurchschnittlich“ eingestuft worden, aber hierbei bewege sich nun etwas, meint Matthias Canisius, „Regional Director CE & EE“ bei SentinelOne.

Foto: SentinelOne 2020

Matthias Canisius: Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden!

Zahlreiche Bedrohungen: DDoS-Attacken, Phishing, Ransomware, Trolle…

Mit der zunehmenden Abhängigkeit der Schulen von solchen Online-Anwendungen und Tablets habe auch die Zahl der Cyber-Bedrohungen zugenommen. Infolgedessen bestehe ein höheres Risiko, „dass sich Cyber-Kriminelle als Schüler oder Lehrer ausgeben“. Betrüger nutzten dies aus, „indem sie Phishing-E-Mails mit Spendenaufforderungen und Hilfsangeboten verschicken, die aus legitimen Quellen zu stammen scheinen“.
Darüber hinaus sei es in einigen Ländern bei Video-Telekonferenz-Plattformen bereits zu Vorfällen mit „Online-Trollen“ gekommen, welche den Online-Unterricht mit anstößigen Inhalten über die Bildschirmfreigabefunktionen der Plattformen gestört hätten. Cyber-Kriminelle setzten ebenso DDoS-Angriffe ein. „Ein Beispiel dafür ist die bayerische Lernplattform ,MEBIS‘, die gleich zu Beginn der Krise mit einem DDoS-Angriff außer Gefecht gesetzt wurde.“

Bildungseinrichtungen mit großer Angriffsfläche – Bedrohungen überfordern IT-Laien

Schulen speicherten persönliche Daten von Schülern sowie Lehrern und stünden in Verbindung mit vielen externen Stellen und Anbietern sowie natürlich mit den Eltern, die hauptsächlich per E-Mail mit der Schule kommunizierten. Canisius: „Dies bedeutet, dass Schulen eine sehr große Angriffsfläche haben. Zumal die IT oft Aufgabe einzelner Lehrer und nicht wirklicher IT-Experten und schon gar nicht IT-Sicherheitsexperten ist.“
Schüler und deren Eltern würden leicht zu Opfern von Phishing-Betrügereien. Die mangelnde Erfahrung in Verbindung mit der Tendenz, einfache Passwörter über mehrere Plattformen hinweg zu verwenden, mache sie anfällig für „Credential Harvesting“ – das Entwenden und Sammeln von Anmeldeinformationen. Darüber hinaus sei das Bewusstsein von Eltern, Lehrern und Dozenten in Bezug auf Cyber-Risiken im Bildungswesen oft viel geringer als in anderen Bereichen.

Wege zur Begegnung der Cyber-Bedrohungen in Schulen

„Ein Programm zur Aus- und Fortbildung des Personals in den Schulen ist wichtig, um eine Sicherheitskultur des Misstrauens und der Wachsamkeit zu schaffen“, betont Canisius: Es müssten Beispiele aus der realen Welt mit den Nutzergruppen geteilt und diese regelmäßig getestet werden. Das Risiko könne durch Sicherheitstrainings verringert, aber nicht beseitigt werden. Im Zusammenspiel mit Technologien zur Erhöhung der E-Mail-Sicherheit sehe das aber schon anders aus.
Folgendes sollte beachtet werden, um die Sicherheit der Netzwerke zu gewährleisten und sich gegen Cyberbedrohungen zu schützen:

• URL-Scannen eingehender oder archivierter E-Mails, so dass ein Klick auf Zielseiten erst dann zugelassen wird, wenn die Seite auf Malware überprüft werden kann.
• Erkennung von gefährlichen Anhängen in der Mailbox und Umleitung in eine Sandbox vor der Zustellung.
• Schutz vor Identitätswechsel und „Social Engineering“.

Privilegien der IT-Nutzung an Bedrohungen anpassen

Ransomware habe nur dann die Möglichkeit, Dateien zu ändern und zu verschlüsseln, „wenn der infizierte Benutzer dies tut“. Die Kontrolle des Benutzerzugriffs auf kritische Netzwerkressourcen sei notwendig, „um die Gefährdung zu begrenzen und sicherzustellen, dass eine seitliche (laterale) Bewegung erschwert wird“.
Daher sei es entscheidend, sicherzustellen, „dass die Privilegien aktuell und auf dem neuesten Stand sind und dass Benutzer nur auf geeignete Dateien und Netzwerkstandorte zugreifen können, die sie für ihre Aufgaben benötigen“.

Traditionelle Endpunktsicherheit unzureichend zur Abwehr von Bedrohungen

Fast alle Organisationen verfügten über Endpunktsicherheit, um das Eindringen von Ransomware zu verhindern – indes reichten statische Erkennung und Virenschutz nicht mehr aus. Es werde immer wichtiger, über fortschrittliche Funktionen für den Endpunktschutz und die Möglichkeit zu verfügen, die Endpunktverwaltung und -hygiene von einem zentralen Verwaltungssystem aus durchzuführen.
„Eine gute Endpunktsicherheit sollte mehrere statische und verhaltensbasierte Module umfassen, die Maschinelles Lernen und KI zur Beschleunigung der Erkennung und Analyse einsetzen.“ Wichtig seien auch der Schutz vor „Exploits“, die Geräte- und Zugriffskontrolle sowie die Schwachstellen- und Anwendungskontrolle. Das Hinzufügen von Endpunkterkennung und -reaktion (EDR – Endpoint Detection and Response) zur forensischen Analyse und Feststellung der Grundursache sowie sofortiger Reaktionsmaßnahmen wie Isolierung, Übertragung in die „Sandbox“ und „Rollback“-Funktionen zur Automatisierung von Abhilfemaßnahmen, seien wichtige Überlegungen. Mit diesen Funktionen auf einer Plattform und einem Agenten, „der in der Lage ist, alle Geräte und Server zu schützen“, werde eine zentralisierte Sichtbarkeit und Kontrolle für das Cyber-Sicherheitsteam über den gesamten Endgerätebestand hinweg gewährleistet.

Entscheidungsträger sollten sich dringend mit den aus Mängeln resultierenden Bedrohungen befassen

Schulen und Hochschulen würden von Cyber-Kriminellen bedroht und das werde auch in absehbarer Zukunft so bleiben. „Die Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden. Schulen, Hochschulen und Universitäten bieten nicht nur lebenswichtige Dienste für unsere Gesellschaft und Wirtschaft, sie verfügen auch über zahlreiche sensible Daten.“
Von persönlichen Informationen wie Geburtsurkunden, Schüler- und Lehrerakten, Sozialversicherungsnummern und Finanzdaten bis hin zu Geistigem Eigentum und Spitzenforschung gehörten die Daten dieser Organisationen zu den nützlichsten für Cyber-Kriminelle, erläutert Canisius. Daher sei es unbedingt erforderlich, dass sich die Verantwortlichen und politischen Entscheidungsträger „dringend mit diesen Mängeln befassen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen / Kommentar zum „Europäischen Datenschutztag“ von Matthias Canisius

datensicherheit.de, 21.10.2019
IT-Sicherheit in Deutschland: Ernste, aber beherrschbare Lage / Matthias Canisius kommentiert aktuellen BSI-Lagebericht 2019

[datensicherheit.de, 15.10.2019] Mobile Geräte haben sich in den letzten Jahren zu zentralen Zielen  für Cyberkriminalität und Cybersicherheitsbedrohungen, die sich gegen Unternehmen richten, entwickelt. Die Unternehmen arbeiten jedoch immer noch daran, diese Erweiterung des Unternehmensnetzwerks effektiv zu schützen. Die Geräte beherbergen dabei oft eine Mischung aus geschäftlichen und persönlichen Daten. Einige der größten mobilen Sicherheitsbedrohungen, mit denen Unternehmen sich derzeit konfrontiert sehen, sind nach Erfahrung von Palo Alto Networks:

1. Phishing-Bedrohungen: In der Vergangenheit wurden Phishing-Angriffe weitgehend per E-Mail durchgeführt. Heute geschieht dies hauptsächlich über mobile Kanäle wie SMS, Facebook Messenger, WhatsApp und gefälschte Websites, die legitim aussehen, einschließlich solcher, die sogar mit der sicheren HTTPS-Erweiterung beginnen. Spear-Phishing ist auch eine zunehmende Bedrohung, da Hacker bestimmte Mitarbeiter über mobile Geräte gezielt ansprechen, um Zugang zu sensiblen Daten zu erhalten.
2. Mobile Malware: Jede Website, die besucht oder verlinkt wird, hat das Potenzial, mobile Geräte mit Malware wie Spyware, Ransomware, Trojaner-Viren, Adware etc. zu infizieren.
3. Gefährliche offene WLAN-Netzwerke: Viele mobile Mitarbeiter nutzen heute öffentliche WLAN-Netzwerke in Cafés, Flughäfen, Restaurants und anderen Orten, wenn sie außerhalb des Büros unterwegs sind. Da sich die meisten Cyberkriminellen dessen bewusst sind, versuchen sie, mobile Nutzer dazu zu bringen, sich mit gefälschten WLAN-Netzwerken zu verbinden und so Daten zu kompromittieren. Schlimmer noch, selbst wenn ein Unternehmen über eine Richtlinie gegen die Nutzung öffentlicher WLAN-Netzwerke verfügt, geben 81 Prozent der Mitarbeiter zu, dass sie diese trotzdem noch nutzen, wie iPass in einer Studie herausfand.
4. Schädliche Anwendungen: Die Welt ist voll von Softwareanwendungen, die entweder über das Internet genutzt oder von Websites, dem Apple App Store oder Google Play heruntergeladen werden können. Viele dieser Apps sind legitim und sicher zu verwenden, aber es gibt auch Tausende, die es nicht sind. Das Herunterladen einer App oder die Erteilung einer App-Berechtigung für den Zugriff auf Funktionen auf einem mobilen Gerät kann daher das Unternehmen des Benutzers einer Vielzahl von Sicherheits- und Datenschutzrisiken aussetzen. Einige Apps sammeln sogar Daten, ohne den Benutzer um Erlaubnis zu bitten.
5. Datenlecks: Datenlecks treten bei jeder unbefugten oder unbeabsichtigten Übertragung von Daten aus einem Unternehmen an eine externe Partei oder ein externes Ziel auf. Derartige Datenlecks können zurückgehen auf eine Person innerhalb des Unternehmens, die versehentlich vertrauliche oder sensible Daten in eine Public Cloud überträgt, anstatt in die Private Cloud. Es könnte aber auch ein externer Angreifer oder ein verärgerter Mitarbeiter dahinterstecken, der die Daten des Unternehmens absichtlich stiehlt. Mobile Endgeräte, die oft eine Mischung aus geschäftlichen und persönlichen Daten enthalten, machen es noch einfacher, die Grenzen zwischen Geschäftlichen und Privatem versehentlich oder gezielt zu verwischen.

Auch wenn diese Bedrohungen real sind und täglich weiter zunehmen, verfügen die meisten Unternehmen nach Angaben von Palo Alto Networks immer noch nicht über eine robuste Sicherheitslösung zum Schutz und zur Verteidigung ihres Netzwerks und ihrer mobilen Benutzer.

Um die Herausforderungen der mobilen Sicherheitsbedrohungen zu bewältigen, müssen Unternehmen:

1. Proaktive Maßnahmen zum Schutz mobiler Geräte und Benutzer ergreifen
   • Stellen Sie sicher, dass Ihr Unternehmen IT-Mitarbeiter beschäftigt, die sowohl über die erforderlichen Kenntnisse zur Mobiltechnologie als auch Sicherheitskenntnisse verfügen.
   • Unterstützen Sie die Mitarbeiter bei der Aktualisierung mobiler Betriebssysteme und Sicherheitspatches.
   • Fügen Sie mobilen Geräten Antivirensoftware und Data Loss Prevention (DLP)-Tools hinzu.
   • Bieten Sie Ihren Mitarbeitern bessere und einfachere Arbeitsmöglichkeiten, damit sie sich nicht mit unsicheren öffentlichen WLANs verbinden, z.B. durch Alternativen zu Virtual Private Networks (VPN).
   • Bitten Sie die Mitarbeiter, die App-Berechtigungen sorgfältig zu überprüfen, bevor sie ihnen Zugriff gewähren, und löschen Sie Anwendungen oder deaktivieren Sie Berechtigungen, die als hohes Risiko angesehen werden können oder missbraucht werden könnten.
   • Ermutigen oder fordern Sie Ihre Mitarbeiter auf, MFA-Tools (Multi-Factor Authentication) zu verwenden, wenn sie sich über ihre mobilen und persönlichen Geräte mit dem Unternehmensnetzwerk verbinden.
   • Bleiben Sie auf dem Laufenden über die sich ständig ändernde Landschaft der mobilen Sicherheitsbedrohungen.
   • Erwägen Sie, ein Sensibilisierungsprogramm zu etablieren, um die Sicherheit in den Vordergrund des Handelns der Mitarbeiter zu rücken. Die Mitarbeiter sollten sich der Sicherheitsbedrohungen bei der Nutzung ihrer mobilen Geräte bewusstwerden. Arbeitgeber wiederum sollten bewährte Verfahren für den Schutz sensibler Daten bereitstellen.
2. Setzen Sie eine modernere Architektur und eine umfassende Sicherheitslösung ein
   • Bieten Sie mobilen Benutzern einen sicheren Zugriff auf das Netzwerk und die Anwendungen ihres Unternehmens, ohne sich ständig verbinden und trennen zu müssen.
   • Steuern und beschränken Sie den Zugriff auf das Netzwerk und die Anwendungen des Unternehmens basierend auf Geräteeigenschaften wie Betriebssystem, Patch-Level, Vorhandensein der erforderlichen Endgerätesoftware etc. beim Zugriff auf sensible Anwendungen.
   • Ermöglichen Sie es, den Datenverkehr kontinuierlich zu überwachen und zu kontrollieren, um unbefugte oder böswillige Aktivitäten zu identifizieren und zu stoppen.
   • Schaffen Sie die Voraussetzungen, um Sicherheitsrichtlinien unternehmensweit in mehreren Umgebungen anzuwenden.
   • Helfen Sie mit, die Bedrohungsabwehr durchzusetzen und Malware zu blockieren.

Während mobile Geräte im Arbeitsalltag heute genauso selbstverständlich sind wie Desktop-Computer, hinken die Sicherheitsteams von Unternehmen in diesem Bereich hinterher. Die von Palo Alto Networks genannten Maßnahmen sollen dazu beitragen, die mobile Sicherheit auf Kurs zu bringen, um Geschäftsprozesse nicht zu gefährden, wenn Mitarbeiter außerhalb des lokalen Netzwerks arbeiten.

Weitere Informationen zum Thema:

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

[datensicherheit.de, 28.04.2019] Eine neue Studie, in Auftrag gegeben von Symantec, zeigt, wie Regulierungen, wachsende Bedrohungen und technologische Komplexität zunehmend die Cyber-Security-Entscheider in Deutschland, Frankreich und Großbritannien überfordert. Vier von fünf (82 Prozent) Security-Experten aus Frankreich, Deutschland und Großbritannien geben an, sich ausgebrannt zu fühlen. 63 Prozent denken bereits darüber nach, die Branche zu wechseln oder ihrem aktuellen Arbeitgeber zu kündigen (64 Prozent).

Symantec hat die Studie bei dem Wissenschaftler Dr. Chris Brauer, Director of Innovation bei Goldsmiths, University of London, in Auftrage gegeben. Die Studie basiert auf den Befragungen von 3.045 Cyber-Security-Entscheidern aus Frankreich, Deutschland und Großbritannien und belegt den wachsenden Druck, der aktuell in der Security-Branche herrscht.

Gesetzliche Regulierungen als Stressfaktor für Security-Experten

Gesetzliche Regulierungen stellen den größten Stressfaktor für Security-Experten dar. Vier von fünf Betroffenen berichten, dass die zunehmenden Regulierungen, zum Beispiel die EU-DSGVO und die NIS-Richtlinie, ihren Stress erhöhen. Zwei von fünf Befragten (40 Prozent insgesamt, 42 Prozent in Deutschland) äußerten ihre Bedenken, dass sie persönlich für einen Datenschutzverstoß haftbar gemacht werden könnten. Etwas mehr als die Hälfte befürchtet eine Entlassung, sollte es unter ihrer Aufsicht einen Verstoß geben. Weitere Stressfaktoren sind: zu wenig qualifiziertes Personal (80 Prozent insgesamt, 86 Prozent in Deutschland), die Größe und Komplexität des Bereichs, den sie verantworten (82 Prozent insgesamt, 91 Prozent in Deutschland) und die wachsende Zahl an Bedrohungen insgesamt (82 Prozent insgesamt, 90 Prozent in Deutschland).

„Stress hat einen großen negativen Einfluss auf unsere Fähigkeit gute Entscheidungen zu treffen“, erklärt Dr. Chris Brauer. „Er beeinträchtigt unser Gedächtnis, unser rationales Denken und unsere kognitiven Funktionen. Aber genau diese genannten Fähigkeiten sind es, die in der Cyber-Security-Branche – beispielsweise bei einem Sicherheitsvorfall – entscheidend sind. Es wird gerade bei stärkstem Druck, die Fähigkeit fokussiert und gleichzeitig kreativ zu denken als auch ein Höchstmaß an der Liebe zum Detail und rationales Handeln gefordert. Gestresste Mitarbeiter sind schnell überfordert und viele fühlen sich angesichts dieser Überforderung unfähig zu handeln. Die Gefahr ist groß, dass sich stark gestresste Mitarbeiter mental zunehmend vom stressigen Alltag abkoppeln oder letztendlich sogar kündigen, um diesem Stress zu entfliehen. In einer Branche, die bereits sehr stark unter Fachkräftemangel leidet, kann dieser Stress zu einem weiteren Risikofaktor werden.“

Hohe Alarmbereitschaft

Es ist eine Ironie des Schicksals, die zum Schutz des Unternehmens entwickelten Tools und Systeme erhöhen den Stress:

• 79 Prozent (89 Prozent in Deutschland) berichten, dass das Management von „zu vielen Cyber-Abwehr-Lösungen oder -Anbietern“ das Stresslevel erhöht.
• Zwei Drittel (68 Prozent insgesamt, 74 Prozent in Deutschland) fühlen sich durch die überwältigende Zahl an möglichen Bedrohungen zeitweise wie gelähmt.
• Ein Drittel (33 Prozent insgesamt, 35 Prozent in Deutschland) berichten, dass die hohe Anzahl an Benachrichtigungen über mögliche Bedrohungen die Situation zunehmend verschlimmert.
• Angesichts dieser enormen Arbeitsbelastung gaben die meisten Befragten an (67 Prozent insgesamt, 72 Prozent in Deutschland), dass ihr Cyber-Security-Team am Ende des Arbeitstages die Bedrohungswarnungen nicht komplett überprüft hat.

Das wirkt sich auf die Sicherheit des Unternehmens aus:

• Bereits 41 Prozent (37 Prozent in Deutschland) stimmen zu, dass ein Sicherheitsvorfall unvermeidlich scheint.
• Ein Drittel (32 Prozent insgesamt, 30 Prozent in Deutschland) sagt, dass ihre Organisation derzeit anfällig für vermeidbare Cybersicherheitsvorfälle ist.
• Ein Viertel (26 Prozent insgesamt und in Deutschland) gab zu, dass es bereits einen vermeidbaren Cybersicherheitsvorfall gab.

„Viele CISOs kennen keinen Feierabend“, erklärt Darren Thomson, EMEA CTO, Symantec. „Der aktuelle Patchwork-Ansatz für Sicherheitswerkzeuge und -strategien schafft mehr Probleme als sie zu lösen. Es gibt täglich eine Vielzahl von Warnungen und es ist nur noch schwer möglich auszumachen, welche ein gezielter Angriff und welche ein falscher Alarm ist. Der Flickenteppich aus verschiedenen Abwehrsystemen bietet durch seine Überschneidungen und Lücken, Hackern neue Angriffsmöglichkeiten.“

Die kommenden Herausforderungen

Zwei Drittel der Security-Experten (65 Prozent insgesamt, 67 Prozent in Deutschland) meinen, sie seien zum Scheitern verurteilt. Dennoch scheinen die hohe Arbeitsbelastung und der Druck nicht abzuschrecken. Die überwiegende Mehrheit der Security-Experten meinen selbst Adrenalin-Junkies zu sein, die vollständig in ihrer Arbeit aufgehen, selbst wenn es stressig werden würde (92 Prozent in Deutschland und insgesamt). Neun von zehn fühlen sich durch stressige Situationen zusätzlich motiviert und 92 Prozent (insgesamt und in Deutschland) berichten, dass sie ihr Arbeitsumfeld spannend finden.

Darren Thomson, EMEA CTO, Symantec sieht darin auch etwas Positives: „Cyber-Security-Experten werden auch zukünftig mit einer steigenden Anzahl an Herausforderungen konfrontiert sein. Enthusiasmus für stressige Situationen ist dabei vorteilhaft.“

Der schnelle Wandel und das rasante Datenwachstum stellen bereits für viele Experten eine Herausforderung dar. Vier von fünf (82 Prozent insgesamt, 91 Prozent in Deutschland) berichten, die Absicherung von zu vielen Daten an zu vielen Orten erhöht das Stresslevel im Arbeitsalltag. Fast die Hälfte der Befragten (45 Prozent insgesamt, 48 Prozent in Deutschland) gibt an, dass der technologische Wandel zu schnell kommt und ihren Teams nicht genügend Zeit lässt, sich auf die geänderten Bedingungen einzustellen.

„Cyberabwehr erfolgte seit der Internetanbindung von Computern und Systemen schon immer fast nur reaktiv“, sagt Thomson. „Mit neuen Technologien kommen aber neue Bedrohungen hinzu und mit jeder neuen Bedrohung wurde ein neuer Abwehrmechanismus entwickelt. Das führt zu einem ewigen Tauziehen zwischen Unternehmen sowie der Security-Branche auf der einen und Hackern auf der anderen Seite. Es wird Zeit, dass Unternehmen einen Schritt in Richtung eines effektiven und umfassenden Cyberabwehr-Konzepts zu gehen.“

Weitere Informationen zum Thema:

Symantec
Cybersecurity 2019 – Kapitel 1 Die Verkettung unglücklicher Umstände

datensicherheit.de, 24.04.2019
Insider Threats Report 2018 von Securonix veröffentlicht

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Cybersicherheit: Vom Kostenfaktor zum Erfolgsfaktor

datensicherheit.de, 16.01.2017
Erster CISO-Ratgeber zur Analyse des Benutzerverhaltens vorgestellt

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

[datensicherheit.de, 07.04.2019] Im Zuge der Weiterentwicklung von Bedrohungen wächst auch der Bedarf von Unternehmen, sich gegen die geschäftsschädigenden Auswirkungen von Cyber-Angriffen zu schützen. Angesichts dieses Trends fordert F-Secure, dass sowohl die ständige Bereitschaft zum Erkennen möglicher Sicherheitsverletzungen als auch die schnelle und effektive Eindämmung, „die das richtige Gleichgewicht von Mensch, Prozess und Technologie abdeckt“, stärker in den Vordergrund gestellt wird.

Cyber-Angriffe für viele Unternehmen inzwischen Selbstverständlichkeit

„Cyber-Angriffe sind für viele Unternehmen inzwischen eine Selbstverständlichkeit. Es geht nicht mehr darum, ob ein Unternehmen angegriffen wird, sondern um die Frage, wann es passiert.“ Dies erfordere eine Veränderung in der Art und Weise, wie Unternehmen mit vielen Sicherheitsaspekten umgehen, so Tim Orchard, „Managing Director“ von F-Secure Countercept.
Eine kürzlich durchgeführte Umfrage von MWR Infosecurity (2018 von F-Secure) hebe den Mangel an Investitionen in effektive Reaktionsstrategien auf derartige Vorfälle als aktuellen Schwachpunkt hervor. 44 Prozent der Teilnehmer hätten angegeben, dass sie weniger in die Reaktionsfähigkeit investierten, als beispielsweise in die Vorhersage, Prävention oder Erkennung von Bedrohungen. Nur zwölf Prozent gäben an, dass sie diese „Response“ gegenüber ihren anderen Sicherheitsaspekten priorisierten.

Geschulte Personen zur richtigen Zeit am richtigen Ort haben

Die sogenannte Continuous Response sei ein neu entstehendes Konzept der Cyber-Sicherheit, welches für die Steigerung der Reaktionsfähigkeit von zentraler Bedeutung sei: Dabei gehe es darum, geschulte Personen zur richtigen Zeit am richtigen Ort zu haben, welche die Kontrolle über die Situation übernehmen. Ziel sei es, Zusammenarbeit, Kontext und Kontrolle in einen flüssigen Prozess zusammenzuführen. In der Praxis könnte dies bedeuten, dass ein einziges Team von Cyber-Kriminologen, Ersthelfern, Administratoren und anderen Mitarbeitern zusammenarbeitet, um potenzielle Bedrohungen aktiv zu identifizieren und zu beseitigen, noch bevor sie eskalieren.
„Wenn Unternehmen über Werkzeuge und Techniken verfügen, um Angriffe schnell zu erkennen, einzudämmen und zu vereiteln, gewinnen sie Zeit und die Möglichkeit, eine genaue Vorstellung davon zu bekommen, wie Angreifer Schwachstellen ausnutzen und wie sie sich durch das Unternehmensnetzwerk bewegen. Diese Werkzeuge und Techniken müssen ausgereift genug sein, damit Angreifer nicht merken, dass man sie bereits aufgespürt hat, um sie dann mit einem einzigen konzertierten Stoß zu exmittieren“, erläutert Orchard. Es sei wichtig, diese Werkzeuge und Techniken in die Hände der richtigen Teams zu geben, damit sie auch funktionieren.

Rund um die Uhr Dienste zur Bedrohungsüberwachung, Erkennung und Reaktion

Laut dem Bericht „Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises“ von Gartner geht es bei MDR (Managed Detection and Response) darum, „geschultes Personal zu mieten“, um unentdeckte Vorfälle zu erkennen. Insbesondere dann, wenn Unternehmen das entsprechende Know-how nicht in eigenes Personal investieren könnten. Es gehe außerdem darum, genau die zehn Prozent der Vorfälle aufzuspüren, welche die traditionelle Firewall und den Endpoint-Schutz umgehen.
MDR-Lösungen böten in der Regel rund um die Uhr Dienste zur Bedrohungsüberwachung, Erkennung und Reaktion, die Analysen und Bedrohungsinformationen wirksam einsetzten, um Unternehmen zu schützen. Im Allgemeinen setzten MDR-Anbieter Sensoren (z.B. einen Endpoint-Agenten oder eine Netzwerksonde) ein, um Metadaten von den Systemen eines Kunden zu sammeln. Diese Metadaten würden dann auf Angriffsanzeichen hin analysiert und der Kunde werde benachrichtigt, sobald ein potenzieller Vorfall erkannt wird.

Den Gegner stoppen, eindämmen und ausschließen können

Nachdem ein Vorfall erkannt wurde, sollen Kunden entweder selbst reagieren oder externe Experten und Ansätze für „Incident Response“ einbringen. Das könne die Forensik an Ort und Stelle, Fernuntersuchungen sowie eine Beratung über eine mögliche, orchestrierte, technische Reaktion beinhalten.
Die „Reaktion“ als kontinuierliche Aktivität bedeutet demnach, dass Team-Mitglieder in ständiger Kommunikation und Zusammenarbeit miteinander stehen und in der Lage sind, verdächtige Ereignisse zu diskutieren, die überall in ihrer Infrastruktur geschehen. Effektive MDR-Lösungen könnten diesen Prozess erleichtern und den Verteidigern den Vorteil geben, dass sie einen Gegner stoppen, eindämmen und bestenfalls ausschließen könnten. „Unabhängig davon, ob es sich um eine Inhouse-Lösung oder ein Outsourcing handelt, ist eine ausgewogene MDR-Lösung entscheidend. Ich denke, dass unser Ansatz die Essenz einer kontinuierlichen Reaktion ist. Wir bereiten unsere Kunden darauf vor, dass Vorfälle bereits stattgefunden haben, und helfen ihnen dann, diese Bedrohungen zu finden“, erläutert Orchard. Gerade dies ermögliche es Verteidigern, Angreifer beim ersten Versuch schnell zu isolieren und „dementsprechend zu verhindern, dass diese Gegner ihren Angriff wiederholen“.

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
Studie: Einstellungen von Führungskräften zu den größten Cyberbedrohungen

datensicherheit.de, 19.10.2016
Berechtigungen: Interne Bedrohungen im Fokus

[datensicherheit.de, 08.10.2018] Menschliches Versagen in der IT-Sicherheit kann für Unternehmen dramatische Folgen haben. Im Gegensatz zu Angriffen von außen braucht es hier andere Technologien, die anhand von Machine Learning und intelligenten Algorithmen umfassende Nutzerprofile anlegen und anhand von abweichenden Verhaltensmustern fremde oder illoyale Mitarbeiter ausfindig machen.

Mitarbeiter sind ein unberechenbarer Faktor. Sie treffen falsche Entscheidungen, lassen sich zu unbedachten Handlungen verleiten oder machen schlicht und ergreifend Fehler – ganz unabhängig davon, wie gut sie ausgebildet sind und auf welches Sicherheitswissen sie zurückgreifen können. Zudem können auch Aktionen ohne einen böswilligen Hintergrund mitunter Nebeneffekte haben, die weder der Nutzer selbst noch das Unternehmen zuvor berücksichtigt haben. Der Versand von Briefen, Faxen oder E-Mails an den falschen Empfänger, Fehler beim Bearbeiten oder Löschen von Daten sowie das Nicht-Setzen von BCC sind die häufigsten Ursachen dafür, dass Daten in falsche Hände geraten.

Der „2018 Data Breach Investigations Report“ von Verizon geht davon aus, dass bei mehr als einem Viertel (28%) der Angriffe auf Unternehmen im vergangenen Jahr interne Akteure beteiligt waren. „Menschliches Versagen war der Kern von fast jedem fünften (17%) Verstoß“, so der Verizon-Bericht. „Dabei vergaßen Mitarbeiter etwa, vertrauliche Informationen zu vernichten, schickten versehentlich eine E-Mail an die falsche Person oder konfigurierten Webserver falsch. Obwohl keiner dieser Fehler in böser Absicht passierte, erwiesen sich alle als sehr kostspielig.“

Erkenntnisse aus dem Nutzerverhalten gewinnen und intelligent nutzen

Um sich zu schützen, gilt es für Unternehmen angesichts zunehmender Cyber-Attacken und der unpatchbaren Schwachstelle Mensch zunächst herauszufinden, welche Verhaltensweisen für sie „normal“ sind: Dabei helfen leistungsstarke Analysetools, die maschinelles Lernen mit intelligenten Algorithmen verbinden. Citrix Analytics aggregiert und korreliert beispielsweise Informationen über Netzwerk-Traffic, Nutzer, Dateien und Endgeräte in digitalen Arbeitsumgebungen. Auf diese Weise entstehen individuelle Nutzerprofile und allgemeine Nutzungstrends, aus denen ungewöhnliche Vorgänge frühzeitig hervorstechen. Während einzelne Aktionen für sich gesehen oft harmlos erscheinen, können sie einen Alarm auslösen, sobald sie gemeinsam betrachtet und analysiert werden. Ein Beispiel: Ein Benutzer loggt sich zu einem für ihn ungewöhnlichen Zeitpunkt über ein unbekanntes Gerät ins Firmenintranet ein und lädt eine große Datenmenge auf einen USB-Stick. Die Vorgänge sind für sich betrachtet unauffällig. Zusammengefasst als Ereigniskette ergibt sich jedoch ein Bild, das auf eine Daten-Exfiltration (auch Datenextrusion) hinweist.

Ist anzunehmen, dass Cyberkriminelle oder illoyale interne Mitarbeiter am Werk sind, sollte eine User Behavior Analytics (UBA)-Lösung in der Lage sein, automatisch Sicherheitsmaßnehmen einzuleiten – beispielsweise in Form von regelbasierten Zugriffskontrollen. Dabei geben Sicherheitsregeln (Policies) vor, in welchen Fällen vom Nutzer etwa eine Zwei-Faktor-Authentifizierung gefordert oder der Zugriff auf bestimmte IT-Ressourcen gesperrt wird. Mit einer solch umfassenden Lösung lassen sich auch komplexe digitale Arbeitsumgebungen sicher vor Missbrauch von innen und außen schützen.

Interne Risiken minimieren

Die Gefahr vor Datenschutzverletzungen durch die eigenen Mitarbeiter ist größer als viele wahrhaben wollen. Im vergangenen Jahr überstiegen in der Gesundheitsbranche die internen Bedrohungen mit 56 Prozent die von außen (43%). Menschliches Versagen spielt in diesen Statistiken eine wichtige Rolle, wobei die Grenze zwischen Nachlässigkeit und böser Absicht mitunter fließend ist. Mitarbeiter missbrauchten etwa aus reiner Neugier ihren Zugang zu Systemen und Daten, nachdem ein Prominenter als Patient in ihrer Institution war. Je mehr sensible Daten ein Unternehmen beherbergt, desto größer ist die Gefahr vor mutwilligen oder unbeabsichtigten Exfiltrationen. Unternehmen müssen hier aktiv werden, um die Gefahr von innen eindämmen zu können und somit gegen externe wie interne Gefahrenherde geschützt zu sein.

Weitere Informationen zum Thema:

Citrix
Der Mensch im Mittelpunkt für mehr Produktivität

datensicherheit.de, 11.09.2018
Verizon 2018 Data Breach Digest: Einblicke in die Realität von Datenverletzungen

datensicherheit.de, 11.07.2018
Datenschutzverletzung: Insbesondere versteckte Kosten bereiten Schwierigkeiten

datensicherheit.de, 30.04.2016
verizon: Vor allem menschliche Schwächen locken Cyber-Kriminelle an

datensicherheit.de, 29.06.2018
Schwachstelle bei Ticketmaster muss ernstgenommen werden

datensicherheit.de, 19.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit

[datensicherheit.de, 30.08.2018] Mimecast veröffentlicht heute seinen aktuellen ESRA-Report (Email Security Risk Assessment). ESRA ist ein vierteljährlich erscheinender Gesamtbericht über Tests, die die Wirksamkeit gängiger E-Mail-Sicherheitssysteme messen.

Mithilfe des Reports können die teilnehmenden Unternehmen besser beurteilen, wie viele und welche E-Mail-basierten Bedrohungen ihre vorhandenen Abwehrsysteme überwinden. Im Rahmen der kumulativen Bewertungen hat Mimecast mehr als 142 Millionen E-Mails geprüft, die die bestehenden E-Mail-Sicherheitslösungen in Unternehmen durchliefen. Wie die neuesten Ergebnisse zeigen, sind von diesen Sicherheitssystemen 203.000 bösartige Links in 10.072.682 E-Mails als sicher eingestuft. Das heißt: auf 50 geprüfte E-Mails kommt ein bösartiger Link, der nicht gestoppt wird.

Angriffe mit gefälschten Identitäten haben stark zugenommen

Zugleich ergibt der Bericht, dass die Angriffe mit gefälschten Identitäten (Impersonation Attacks) im Vergleich zu den letzten Quartalen um 80 Prozent zugelegt haben. 41.605 solche Angriffe wurden abgefangen. Darüber hinaus wurden 19.086.877 Spam-Mails, 13.176 E-Mails mit gefährlichen Dateitypen sowie 15.656 Malware-Anhänge von den vorhandenen Sicherheitslösungen übersehen und den Benutzern zugestellt.

Bild: Mimecast

Matthew Gardiner, Cybersecurity-Stratege bei Mimecast

„Nach wie vor gelangen gezielte Malware-Angriffe und stark auf Social Engineering basierende Impersonation Attacks sowie Phishing-Bedrohungen in die Posteingänge der Mitarbeiter. Dadurch drohen den Unternehmen Datenmissbrauch und finanzielle Verluste“, erklärt Matthew Gardiner, Cybersecurity-Stratege bei Mimecast. „Wie unsere jüngste vierteljährliche Analyse ergibt, fokussieren die Angreifer im Quartalsvergleich vermehrt auf Attacken mit gefälschten Identitäten. Solche Angriffe sind ohne spezielle Sicherheitsmechanismen nur schwer zu erkennen, und diese Tests zeigen, dass gängige Systeme hier schlecht abschneiden.“

Der Bericht zeigt, dass Unternehmen ihre Cyber-Resilienz-Strategien für E-Mails mit einem mehrschichtigen Ansatz verbessern müssen, in den auch ein Drittanbieter einbezogen werden sollte. Dieser jüngste ESRA-Report folgt auf einen von SE Labs durchgeführten Gruppentest zum Schutz durch E-Mail-Sicherheitsdienste, bei dem Mimecast nach eigenen Angaben die Bestnote und ein „AAA“-Rating erhielt. Die weiteren E-Mail-Sicherheitsdienste, die SE Labs bewertete, werden von Microsoft, Forcepoint, Symantec und Proofpoint angeboten.

„Der SE Labs-Test macht deutlich, dass mehrere Schutzschichten nötig sind, um die Sicherheit zu verstärken und komplexere E-Mail-Attacken in den Griff zu bekommen“, so Gardiner weiter.

Mimecast setzt mehrere Schichten und Arten von Erkennungsmechanismen ein und kombiniert sie mit Analysen sowie Bedrohungsinformationen aus einer Vielzahl von Quellen, die das Mimecast SOC überwacht. So sollen Daten und Mitarbeiter vor Malware, Spam, Phishing und gezielten Angriffen geschützt werden.

Weitere Informationen zum Thema:

Mimecast
Cloud-Dienste für E-Mail-Sicherheit und -Archivierung

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

[datensicherheit.de, 28.03.2014]  Trauriges Jubiläum: Rund zehn Jahre nach dem ersten mobilen Schädling für das mobile Betriebssystem Symbian liegt die Zahl der mobilen Schadprogramme und Hochrisiko-Apps mittlerweile bei zwei Millionen. Der massenhafte Erfolg von Android fungiert hierbei unbeabsichtigt als „Brandbeschleuniger“: Denn es ist nicht einmal sechs Monate her, dass die Millionenmarke gerissen wurde – Tendenz weiterhin exponentiell steigend.

Es ist jedoch nicht nur die reine Zahl an mobilen Gefahren, welche die Alarmglocken schrillen lässt. Vielmehr werden die Methoden der Cyberkriminellen immer raffinierter und unterscheiden sich kaum noch in Art und Vielfalt von den Bedrohungen, die aus der PC-Welt mittlerweile hinlänglich bekannt sind.

„Die Entwicklung der mobilen Gefahren ist nicht nur eine Frage der Quantität, sondern auch der Qualität“, betont Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitshersteller Trend Micro. „Von relativ harmlosen Popup-Nachrichten haben sich die mobilen Schädlinge in Richtung Abzocke durch Bezahldienste, Informationsdiebstahl, Hintertürschädlinge und sogar Rootkits bewegt. Und ein Ende ist nicht abzusehen: Zurzeit beobachten wir unter anderem, dass die Cybergangster zunehmend das Anonymisierungswerkzeug und -netz ‚TOR‘ für ihre Zwecke missbrauchen, mit ‚DENDROID‘ einen gefährlichen Trojaner mit umfangreichen Spionagefähigkeiten in Umlauf gebracht haben und die immer stärkere Rechenleistung mobiler Endgeräte zum Schürfen digitalen Geldes in verschiedenen Währungen nutzen.“

Weitere Informationen zum Thema:

blog.trendmicro.de
Mobile Schadsoftware und hochriskante Apps summieren sich auf zwei Millionen

datensicherheit.de, 25.03.2014
10.000 Android-Apps für Berechtigungsmißbrauch anfällig

Weitere Informationen zur aktuellen Lage bei mobilen Bedrohungen sind im deutschsprachigen Trend Micro-Blog abrufbar.

[datensicherheit.de, 28.02.2014] In einer weltweiten Umfrage hat Dell 1.440 IT-Entscheidungsträger nach ihrer Einschätzung der IT-Sicherheit und künftiger Bedrohungen, etwa durch mobile Systeme oder die Cloud, befragt. Lediglich 55 % der befragten Unternehmen in Deutschland verfügen über umfassende langfristige Sicherheits-Strategien.

Eine neue Generation von Bedrohungen kommt durch Trends und Technologien wie BYOD, Mobilität und Cloud-Nutzung auf die Unternehmen zu. Diese Bedrohungen können von außerhalb des Unternehmens in Form von Schadcode, Zero-Day-Exploits oder Phishing kommen. Sie können aber auch in den Unternehmen selbst entstehen, sei es durch Nutzer oder auch durch Administratoren, die absichtlich oder fahrlässig Informationen oder Zugriffsrechte missbräuchlich verwenden. Neue Bedrohungen entstehen dabei beispielsweise durch schlecht konfigurierte Sicherheitseinstellungen von privaten Geräten oder durch unzureichend gemanagte mobile Systeme.

Viele IT-Verantwortliche sind sich dieser wachsenden Risiken noch nicht bewusst. Oft sind die Sicherheitsvorschriften unvollständig, Berechtigungen werden nicht aktualisiert, Data Governance bleibt lückenhaft, die Zugriffsverwaltung unvollständig und vorhandene Richtlinien für die Verwendung von Systemen werden nicht umgesetzt. So können sich Angriffe dann epidemisch ausbreiten und Prozesse, Datenbestände oder individuelle Accounts beeinträchtigen. Schäden können dabei ein immenses Ausmaß annehmen.

Dell hat in einer weltweiten Umfrage insgesamt 1.440 Entscheidungsträger in der IT aus Unternehmen mit mehr als 500 Mitarbeitern nach ihrer Einschätzung dieser neuen Bedrohungen und zu ihren Gegenmaßnahmen befragt. Unter den Befragten waren 200 aus Deutschland.

Bild: DELL Software

Die wichtigsten Ergebnisse im Überblick:

• 74 % der befragten Unternehmen hatten innerhalb der letzten 12 Monate Sicherheitsverletzungen zu verzeichnen; 66 % in Deutschland und sogar 87 % in den USA. Jedoch betrachten nur 37 % aller Befragten (45 % in Deutschland) die genannten versteckten Bedrohungen als Top-Thema der nächsten Jahre.
• Sorgen machen den Unternehmen vor allem folgende Bedrohungen: Externe Angriffe durch Hacking oder Malware befürchten 66 % (Deutschland 54 %), zufällig intern entstandene Schäden, etwa durch Fehlbedienung oder verlorene Passwörter, 62 % (Deutschland 52 %), absichtliche interne Schädigung 60 % (Deutschland 51 %), neue Technologien, die unzureichend konfiguriert sind und so zu Datenverlusten führen können, 52 % (Deutschland 39 %).
• Diese neuen Bedrohungen werden von den befragten Unternehmen meist nur selektiv erkannt; lediglich 36 % sehen alle diese Bedrohungen, in Deutschland nur 24 %.
• Schäden durch unkontrollierte mobile Systeme erwarten nur 20 % der Befragten (Deutschland 15 %); Datenverluste durch mobile Systeme 25 % (Deutschland 22 %). Dass Mitarbeiter Unternehmensdaten irrtümlich aus den Netzen nach außen tragen, befürchten 32 %, in Deutschland aber nur 22 % der Befragten. Sicherheitsbedenken aufgrund der Verlagerung von Daten in die Cloud haben lediglich 22 % (Deutschland 21 %). Das ist insofern erstaunlich, als 73 % der befragten Unternehmen (Deutschland 71 %) angaben, die Cloud bereits in irgendeiner Weise zu nutzen, 27 % (Deutschland 34 %) sogar für kritische Anwendungen oder Daten.

Als größte Bedrohungen der Sicherheit innerhalb der nächsten fünf Jahre werden erachtet:

• Wachsende Bedeutung von Internet und Browser-basierten Apps: 63 % (Deutschland 62 %)
• Zunehmende Nutzung von mobilen Systemen: 57 % (Deutschland 57 %)
• Zunehmende Nutzung der Cloud: 49 % (Deutschland 49 %)
• Professionelle Hacker: 48 % (Deutschland 50 %)
• Noch nicht bekannte Bedrohungen: 37 % (Deutschland 45 %)

Hinreichende Strategien gegen künftige Bedrohungen sind jedoch nicht bei allen Unternehmen vorhanden. 60 % der Befragten (Deutschland 55 %) sehen sich mit langfristigen Strategien für alle künftigen Bedrohungen gewappnet, weitere 36 % (Deutschland 39 %) meinen, sie seien zumindest auf einige der kommenden Herausforderungen vorbereitet; einen reaktiven Ansatz verfolgen nur 4 % der befragten Unternehmen, in Deutschland immerhin 7 %.

„Neue Technologien und neue Nutzungsweisen der IT bedeuten für die Sicherheit der Unternehmens-IT auch neue Bedrohungen„ erklärt Sven Janssen, Regional Sales Manager bei Dell (SonicWall Products). „Unsere Umfrage zeigt, dass sich Unternehmen – und die Unternehmen hierzulande bilden dabei keine Ausnahme – dessen nur unzureichend bewusst sind. Hier ist noch einiges an Aufklärungsarbeit zu leisten, wenn wir in naher Zukunft nicht eine neue Welle von Angriffen und Missbrauchsfällen erleben wollen.“

Über die Umfrage

Dell Software hat Vanson Bourne mit einer Umfrage unter 1.440 IT-Entscheidern in Unternehmen mit mehr als 500 Mitarbeitern beauftragt. Die Umfrage fand im Oktober und November 2013 in folgenden Ländern statt: USA (300 Befragte), Kanada (60), Großbritannien (200), Frankreich (200), Deutschland (200), Italien (60), Spanien (60), Indien (200), Australien (60) und China (100, ausschließlich in Peking).

Weitere Informationen zum Thema:

DELL Software
Studie Protecting the organization against the unknown / A new generation of threats