Von unserem Gastautor Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

[datensicherheit.de, 16.07.2020] Anfang Juli legte der Erfurter Halbleiter-Hersteller X-Fab seine Produktion für zwei Wochen still, der Grund war unter anderem eine Infektion mit der Ransomware Maze und einem Erpressungsversuch einer cyberkriminellen Gruppierung. Betroffen war sowohl die Office-IT als auch die Wafer-Produktion selbst. Inzwischen läuft der Betrieb wieder an allen Standorten. Den Angriff auf das Erfurter Unternehmen nimmt das Landeskriminalamt (LKA) in Thüringen zum Anlass, um auf einen Anstieg von Cyberkriminellen Aktivitäten hinzuweisen.

Markus Auer, Regional Sales Manager Central Europe, Bild: ThreatQuotient

Ransomware bereits bekannt

Die Maze-Ransomware ist ein alter Bekannter. Sie war bereits zu Beginn des Jahres 2019 unter dem Namen ChaCha Ransomware erkannt worden, wie die Sicherheitsforscher von McAfee in ihrem Blog schreiben und wurde seither unter anderem bei dem Sicherheitsvorfall beim IT-Dienstleister Cognizant entdeckt. Die IOCs, die zur Erkennung verwendet werden sind laut dem Blogbeitrag die Hash-Werte:

SHA-256 dee863ffa251717b8e56a96e2f9f0b41b09897d3c7cb2e8159fcb0ac0783611b
SHA-1 31c3f7b523e1e406d330958e28882227765c3c5e

Hinter der Ransomware steckt eine Gruppe von Cyberkriminellen, die nicht nur alle auffindbaren Daten verschlüsseln, sondern auch beim Erpressungsversuch damit drohen die Daten allesamt im Internet zu veröffentlichen, sollte keine Zahlung erfolgen. Die Gruppe betreibt dafür eine eigene Webseite, auf der alle verschlüsselten und kopierten Daten publik gemacht werden.

Cyber-Angriffe werden immer komplexer

Wie das LKA bestätigt, werden Cyber-Angriffe immer komplexer. Man kann seit Jahren den Trend von „Script-Kiddies“ hin zu organisierten kriminellen Vereinigungen und staatlich unterstützen Angreifern verfolgen, welche über gewaltige Ressourcen, sowohl monetär als auch personell, verfügen.

Anbieter von Sicherheitslösungen sind ständig bestrebt, auf neue und immer ausgefeiltere Angriffsmethoden zu regieren und Detection und Response Lösungen mit neuen Signaturen oder Regeln zu versorgen. Threat Intelligence Feeds, also externe Informationen über Bedrohungen, können hierbei proaktiv unterstützen und interne Technologien zusätzlich und schnell mit Informationen über neue und akute Angriffe versorgen. Hierbei ist es wichtig, dass Datenquellen von verschiedenen Anbietern, sowohl kommerzielle als auch freie Quellen (OSINT), betrachtet werden. Um Security Teams nicht mit einer Informationsflut zu überlasten, sollten diese Daten von einer zentralen Plattform automatisch gesammelt, verwaltet, priorisiert und schnell in der eigenen Security-Infrastruktur und den eigenen Prozessen nutzbar gemacht werden können. In diesem Fall könnten die angegebenen Hash-Wert z.B. an SIEM oder Endpoint Protection Lösungen gesandt werden, um schnell das Vorhandensein der Maze-Ransomware im eigenen Netz festzustellen, bzw. zu blockieren.

Durch das proaktive Einspeisen von relevanten Bedrohungsinformationen können bestehende Security-Lösungen intelligenter gemacht und auf die Erkennung von neuen und akuten Angriffen angepasst werden, um Sicherheitsvorfälle schneller zu erkennen bzw. zu verhindern.

Weitere Informationen zum Thema:

datensicherheit.de, 15.07.2020
Automatisierte Threat Intelligence: Bedrohungserkennung, -bewertung und -behebung gehören auf den Prüfstand

datensicherheit.de, 18.01.2019
Cybersicherheit – Bestehende Möglichkeiten müssen genutzt werden

[datensicherheit.de, 02.04.2020] Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd., verfolgt weiter die Zunahme der Bedrohungen, die das Coronavirus als Basis für kriminelle Aktivitäten im Internet begreifen. Jüngst haben die Sicherheitsforscher entdeckt, dass neben der Konferenzsoftware Zoom auch der sehr beliebte Streaming-Anbieter Netflix missbraucht wird. Fake-Domains, also gefälschte Webseiten, sollen die Nutzer verlocken, ihre Kontakt- und Bankdaten preiszugeben.

Fast alle dieser Betrugsseiten haben es auf die Zahlungsinformationen der Opfer abgesehen

Genau genommen hat sich die Zahl der Phishing-Attacken, die Netflix als Aufhänger nutzen, verdoppelt. Die meisten der neuen Domänen wurden in den letzten Wochen registriert und nehmen beinahe alle irgendeinen Bezug auf die Pandemie – entweder unter dem Namen Corona oder COVID-19. Ein Beispiel ist netflixcovid19s.com. Fast alle dieser Betrugsseiten haben es auf die Zahlungsinformationen der Opfer abgesehen.

Insgesamt geschehen jeden Tag im Durchschnitt 2.600 Cyber-Angriffe, die mit der Pandemie zu tun haben, so die Sicherheitsforscher von Check Point. Am 28. März gab es einen Höhepunkt mit 5.000 Attacken. Außerdem wurden in den letzten zwei Wochen 30.103 neue Domänen mit Corona-Bezug angemeldet, wovon 131 betrügerisch sind und 2.777 dringend verdächtig. Über 51.000 Corona-Domänen gingen seit dem Ausbruch der Pandemie bereits ans Netz.

Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies

„Die deutliche Zunahme von Cyber-Angriffen im Zusammenhang mit der Corona-Pandemie spiegelt die verheerenden Nachrichten über die Situation in den USA und der EU wider. Wie die Zahl der physischen Opfer steigt auch die Zahl der Cyber-Angriffe, die perfide ihren Vorteil aus der Lage ziehen möchten. Wir erwarten, dass sich dieser Trend in naher Zukunft fortsetzen wird“, erklärt Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies: „Eindeutig verlagern Hacker ihre Aktivitäten weg von Unternehmen hin zu den Angestellten, da die meisten jetzt von zu Hause arbeiten. Einerseits öffnet das viele Fernzugänge, die geschützt werden müssen, um das Unternehmen nicht zu gefährden. Andererseits geraten nun die alltäglichen Handlungen der Mitarbeiter – und damit sie selbst – stärker ins Visier, wie die Nutzung von Zoom oder Netflix. Es wird für uns alle wichtig sein, eine gute digitale Hygiene zu betreiben und besonders vorsichtig zu sein, wenn wir Dokumente oder Links erhalten – besonders wenn wir den Absender nicht kennen.“

So sichern Sie sich ab

Speziell in der aktuellen Situation ist es unmöglich, auf virtuelle Konferenzsoftware zu verzichten. Umso wichtiger ist es, Mitarbeiter auf Gefahren und notwendige Sicherheitsmaßnahmen hinzuweisen. Nachfolgend finden Sie die Empfehlungen von Check Point, um sich und Ihr Unternehmen zu schützen:

1. Seien Sie vorsichtig mit E-Mails und Dateien, die Sie von unbekannten Absendern erhalten, insbesondere wenn diese spezielle Angebote oder Rabatte anbieten.
2. Öffnen Sie keine unbekannten Anhänge oder klicken auf Links innerhalb verdächtiger E-Mails.
3. Hüten Sie sich vor gefälschten Domains, Rechtschreibfehlern in E-Mails und Websites als Merkmal und vor fremden Absendern.
4. Trauen Sie keinen Sonderangeboten zu COVID-19. „Eine exklusive Kur für das Coronavirus für 150 Dollar“ ist normalerweise keine zuverlässige oder vertrauenswürdige Kaufgelegenheit. Zu diesem Zeitpunkt gibt es kein Heilmittel für das Coronavirus und selbst wenn es eines gäbe, würde es Ihnen definitiv nicht über E-Mail und exklusiv angeboten.
5. Verwenden Sie Passwärter nicht mehrfach für verschiedene Konten und Seiten.
6. Stellen Sie sicher, dass Sie Waren von einer authentischen Quelle bestellen. Eine Möglichkeit, dies zu tun, besteht darin, nicht auf Werbe-Links in E-Mails zu drücken, sondern Ihren Händler über eine Suchmaschine zu finden und auf den Link in der Ergebnisseite zu klicken.
7. Verhindern Sie Zero-Day-Angriffe mit einer ganzheitlichen, durchgängigen Cyber-Architektur und speziellen Sicherheitslösungen.

Bekannt ist: 90 Prozent aller Cyber-Angriffe beginnen mit einer Phishing-Kampagne. Die Frage für Unternehmen muss daher lauten: Tun wir genug, um die Angriffs-Vektoren unserer Organisation zu schützen? Lesen Sie dazu das Whitepaper Der Mensch ist Ihr schwächstes Glied über das tägliche Risiko von Phishing-E-Mails.

Weitere Informationen zum Thema:

Check Point Software
Coronavirus update: In the cyber world, the graph has yet to flatten

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 11.02.2020
Check Point: Facebook ist die Top-Adresse für Phishing-Versuche

[datensicherheit.de, 18.03.2020] Wie eine Umfrage des Kriminologischen Forschungsinstituts Niedersachsen ergeben hat, sahen sich 41 Prozent der befragten deutschen Unternehmen in den letzten zwölf Monaten Cyber-Angriffen ausgesetzt. Dabei werden große Organisationen häufiger Opfer derartiger Attacken als kleine.

Phishing und Social Engineering im Vordergrund

E-Mail bleibt das wichtigste interne und externe Kommunikationsmittel für Unternehmen und ist daher der Hauptangriffsvektor für Kriminelle. Hier wird hauptsächlich auf Phishing und Social Engineering gesetzt. Besonders beliebt ist der CEO-Fraud, bei dem sich der Angreifer als Vorgesetzter oder Geschäftsführer ausgibt, um den Empfänger der Mail zur Herausgabe von Daten oder gar Geldüberweisungen zu bringen. Da viele Firmen sowie ihre Mitarbeiter über eine Social-Media-Präsenz verfügen, ist es für Angreifer ein Leichtes, Informationen über Hierarchien, Events oder andere nützliche Interna zu erhalten, mit denen sie ihre Phishing-Nachrichten authentisch wirken lassen können.

Die Erkenntnisse der Umfrage decken sich weitestgehend mit denen des Threat Inteligencel Reports von Mimecast, der im letzten Quartal 2019 über 92 Milliarden Spam-Mails auf ihr Schadpotenzial hin untersucht hat. Besonders die Impersonation-Attacken sind hier auf dem Vormarsch, die entweder dem Einschleusen der Malware Emotet oder Ransomware dienten. In Deutschland sahen sich insbesondere Unternehmen aus dem Transport- und Speditionsgewerbe Spam-Mails ausgesetzt.

Foto: Mimecast

Carl Wearn, Head of E-Crime bei Mimecast

Carl Wearn, Head of E-Crime bei Mimecast, dazu: „Die Umfrageergebnisse des Forschungsinstituts decken sich mit unseren eigenen Forschungen. Unternehmen müssen sich gegen Angriffe per E-Mail wappnen. Wir werden in den kommenden Wochen und Monaten mit ziemlicher Sicherheit eine Zunahme solcher und ähnlicher Aktivitäten sehen. Kriminelle werden zweifellos die aktuelle Krise ausnutzen, um ihre Kampagnen voranzutreiben. Ich würde jedem, der gerade auf die Kommunikation per Mail angewiesen ist, zu besonderer Wachsamkeit raten und bei Links und Anhängen ein gesundes Misstrauen an den Tag zu legen.“

Darüber hinaus sollten sich Unternehmen über Lösungen zum E-Mail-Schutz und der Cyber-Resilience informieren. Ersterer sorgt dafür, dass schädliche Mails erst gar nicht zugestellt werden, während Resilience für Betriebe bedeutet, selbst im Falle eines erfolgreichen Angriffs kommunikations- und damit geschäftsfähig zu bleiben. Auch Mitarbeiterschulungen zum Thema Security Awareness sind essenziell, da sie die Sicherheitslücke Mensch schließen – oder zumindest beträchtlich verkleinern.

Weitere Informationen zum Thema:

datensicherheit.de, 12.01.2020
Mimecast warnt vor neuer Sicherheitslücke in Microsoft-Office-Produkten

datensicherheit.de, 12.08.2019
Mimecast-Analyse zu 67 Milliarden zurückgewiesenen E-Mails

[datensicherheit.de, 25.07.2019] Check Point® Software Technologies Ltd. hat seinen Cyber Attack Trends: 2019 Mid-Year Report veröffentlicht, der verdeutlicht, dass keine IT-Umgebung gegen Cyber-Angriffe immun ist. Die Bedrohungsakteure entwickeln weiterhin neue Programme und Techniken, die auf sensible Unternehmens-Ressourcen abzielen. Besonders betroffen sind jene Daten, die auf einer Cloud-Infrastruktur, auf mobilen Geräten von Einzelpersonen, Anwendungen von Drittanbietern oder beliebten Mail-Plattformen gespeichert sind:

• Mobile banking: Ein Anstieg der Angriffe um über 50 Prozent im Vergleich zu 2018 belegt, dass sich Malware gegen Banken zu einer sehr verbreiteten Bedrohung entwickelt hat. Mittlerweile ist Banken-Malware in der Lage, gezielt Zahlungsdaten, Anmeldeinformationen und Gelder von Kunden zu stehlen. Neue Versionen sind sogar bereit für eine massive Verbreitung durch jeden, der für sie bezahlt.
• Software supply chain attacks: Bedrohungsakteure erweitern ihre Angriffsvektoren, unter anderem um die Konzentration auf die Lieferkette. Bei Angriffen fügt der Kriminelle typischerweise einen bösartigen Code in eine legitime Software ein, indem er einen der Bausteine, auf die sich diese Software stützt, ändert.
• E-Mail: E-Mail-Betrüger haben begonnen, verschiedene Techniken einzusetzen, um Sicherheitslösungen und Anti-Spam-Filter zu umgehen. Sie wenden Kniffe an, wie verschlüsselte E-Mails, Bilder im E-Mail-Textkörper und komplexen, der Nachricht zugrunde liegenden Code, der Klartextbriefe mit HTML-Zeichen mischt. Weitere Methoden, die es Betrügern ermöglichen, unter dem Radar der Anti-Spam-Filter zu fliegen und den Posteingang ihrer Zielpersonen zu erreichen, sind Social Engineering-Techniken, sowie die Variierung und Personalisierung von E-Mail-Inhalten.
• Cloud: Die wachsende Popularität von Public Cloud-Umgebungen führt zu einer Zunahme von virtuellen Angriffen. Sie visieren die enormen Ressourcen und sensiblen Daten an, die sich gewöhnlich auf diesen Plattformen befinden. Der Mangel an durchdachter IT-Sicherheit, außerdem Fehlkonfigurationen und schlechte Verwaltung der Cloud-Ressourcen stellen die größte Bedrohung für das Cloud-Ökosystem im Jahr 2019 dar.

© Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point

„Ob Cloud, Mobile oder E-Mail – keine Umgebung ist immun gegen Cyber-Angriffe. Altbekannte Bedrohungen, wie gezielte Ransomware-Angriffe, DNS-Angriffe und Cryptominer werden auch im Jahr 2019 relevant sein. Alle Sicherheits-Experten müssen sich daher auf die neuesten Varianten und Winkelzüge dieser Gefahren einstellen, um ihren Unternehmen den besten Schutz zu versichern“, mahnt Maya Horowitz, Director Threat Intelligence & Research Products bei Check Point, die IT-Verantwortlichen zur Vorsicht.

Top Botnet Malware im ersten Halbjahr 2019

1. Emotet (29%) – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. Dorkbot (18%) – IRC-basierter Wurm, der entwickelt wurde, um die Ausführung von Remote-Code, sowie den Download zusätzlicher Malware auf das infizierte System zu ermöglichen. Ziel ist es, sensible Informationen zu stehlen und Denial-of-Service-Angriffe durchzuführen.
3. Trickbot (11%) – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Zu Beginn seines Erscheinens hat sich der Banking-Trojaner auf Kunden in Australien und Großbritannien konzentriert. Danach gerieten Indien, Singapur und Malaysia ins Visier – mittlerweile auch Deutschland.

Top Cryptominer im ersten Halbjahr 2019

1. Coinhive (23%) – Krypto-Miner, der Online-Mining der Krypto-Währung Monero durchführt, während ein Benutzer eine entsprechende Webseite besucht. Der Nutzer merkt nichts, kann nicht zustimmen oder ablehnen und wird nicht am Gewinn beteiligt. Das implementierte JavaScript nutzt große Anteile der Rechenkraft des infizierten Computers, um Münzen zu schürfen und kann sogar das System durch Überlastung zum Absturz bringen.
2. Cryptoloot (22%) – Ein JavaScript Cryptominer, der entwickelt wurde, um das Online-Mining von Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine entsprechende Webseite besucht. Er arbeitet ohne Zustimmung des Benutzers heimlich im Hintergrund und benötig viel Leistung.
3. XMRig (20%) – XMRig ist eine Open-Source-CPU-Mining-Software, die für den Mining-Prozess der Monero-Kryptowährung verwendet wird und im Mai 2017 erstmals an die Arbeit ging.

Top Mobile Malware im ersten Halbjahr 2019

1. Triada (30%) – Modulare Hintertür für Android, die Super-Nutzer-Rechte für heruntergeladene Malware gewährt und dieser hilft, sich in Systemprozesse einzubetten. Bei Triada haben Sicherheitsforscher auch gesehen, wie URLs, die im Browser geladen wurden, gefälscht waren.
2. Lotoor (11%) – Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.
3. Hidad (7%) – Hauptsächlich schaltet der Android-Schädling betrügerische Werbung, aber er ist auch in der Lage sich Zugriff auf wichtige Sicherheitsbereiche und -informationen zu verschaffen, die in das Betriebssystem integriert sind. Ein Angreifer kann auf diese Weise an sensible Benutzerdaten gelangen. Außerdem kann Hidad legitime Anwendungen neu verpacken und dann im App-Store eines Drittanbieters anbieten.

Top Banking Malware im ersten Halbjahr 2019

1. Ramnit (28%) – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um neue Wechseldatenträger und Festplatten zu infizieren. Außerdem stiehlt Ramnit Bankdaten, FTP-Passwörter, Session-Cookies und persönliche Daten. Der Wurm fungiert auch als Hintertür für weitere Malware.
2. Trickbot (21%) – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Zu Beginn seines Erscheinens hat sich der Banking-Trojaner auf Kunden in Australien und Großbritannien konzentriert. Danach gerieten Indien, Singapur und Malaysia ins Visier – mittlerweile auch Deutschland.
3. Ursnif (10%) – Ursnif ist ein Trojaner, der auf Windows-Systeme zielt, und wird normalerweise durch Exploit-Kits verbreitet. Er hat die Fähigkeit, vertrauliche Informationen über die Zahlungs-Software Verifone Point-of-Sale (POS) zu stehlen. Danach kontaktiert Ursnif einen Remote-Server, um die gesammelten Informationen hochzuladen und weitere Anweisungen zu erhalten. Außerdem lädt der Schädling fremde Dateien auf das infizierte System herunter und führt sie aus.

Der Cyber Attack Trends: 2019 Mid-Year Report auf das erste Halbjahr gewährt einen genauen Überblick der IT-Bedrohungs-Landschaft. Die Ergebnisse basieren auf Daten, die zwischen Januar und Juni 2019 der ThreatCloud von Check Point entnommen wurden. Sie zeigen die wichtigsten Taktiken, mit denen Cyber-Kriminelle derzeit Unternehmen angreifen.

Weitere Informationen zum Thema:

Check Point Researcch
Cyber Attack Trends: 2019 Mid-Year Report

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

datensicherheit.de, 24.07.2019
Winnti: Zahlreiche Cyberangriffe auf DAX-Unternehmen

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

[datensicherheit.de, 19.06.2019] Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswege sind dabei die Makro-Funktion in Word-Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher Empfehlungen für eine sichere Konfiguration von Word, Excel, Outlook und Co. entwickelt und nun veröffentlicht. Damit können Organisationen die Angriffsfläche signifikant reduzieren: Die Deaktivierung von HTML in E-Mails sowie der sichere Umgang mit Makros in Dokumenten und anderen Dateien sind dabei nur zwei von zahlreichen Empfehlungen.

„Wir bieten Unternehmen und Organisationen mit diesen Umsetzungsempfehlungen eine konkrete Hilfestellung, um das IT-Sicherheitsniveau ihrer Netzwerke schnell und effizient zu erhöhen. Diese IT-Sicherheitsmaßnahmen sollten idealerweise Teil einer strukturierten Vorgehensweise zur Absicherung der Unternehmensnetzwerke sein, wie sie etwa der IT-Grundschutz des BSI empfiehlt. Die Allianz für Cyber-Sicherheit ist die richtige Anlaufstelle für Unternehmen und Organisationen jeder Größe, um sich über IT-Sicherheit zu informieren, sich mit Gleichgesinnten über Best-Practice-Beispiele auszutauschen und um von der Expertise des BSI zu profitiere“, so BSI-Präsident Arne Schönbohm.

Sieben Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office

Das BSI hat für den Einsatz auf dem Betriebssystem Microsoft Windows sieben Cyber-Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office 2013/2016/2019 erstellt. Diese behandeln zum einen übergreifende Richtlinien für Microsoft Office, zum anderen Richtlinien für sechs häufig genutzte Microsoft Office-Anwendungen:

• Microsoft Access 2013/2016/2019
• Microsoft Excel 2013/2016/2019
• Microsoft Outlook 2013/2016/2019
• Microsoft PowerPoint 2013/2016/2019
• Microsoft Visio 2013/2016/2019
• Microsoft Word 2013/2016/2019

Die Empfehlungen richten sich an mittelgroße bis große Organisationen, in denen die Endsysteme mit Gruppenrichtlinien in einer Active Directory-Umgebung verwaltet werden. Die dahinterliegenden Sicherheitsprinzipien gelten gleichermaßen für kleine Organisationen und Privatanwender. Die dargestellten Empfehlungen können ohne die Beschaffung zusätzlicher Produkte durchgeführt werden und sind mit vergleichsweise wenig Aufwand durchführbar.

Weitere Informationen zum Thema:

datensicherheit.de, 08.06.2019]
Smartphones: BSI warnt erneut vor vorinstallierter Schadsoftware

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

[datensicherheit.de, 02.06.2019] Im Zuge einer Warnung vor Cyber-Angriffswellen mit der Schadsoftware Emotet hat das BSI zuletzt darauf hingewiesen, dass Cyber-Angriffe immer professioneller werden und auch die Organisierte Kriminalität mittlerweile sogenannte APT-Methoden (Advanced Persistent Threats) einsetzt. Unternehmen und Institutionen sehen sich daher immer häufiger starken Gegnern gegenüber, die neben der unabdingbaren Prävention auch die Abwehr von laufenden oder erfolgten Cyber-Angriffen erforderlich machen. Unternehmen, die dies nicht eigenständig bewältigen können oder wollen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Unterstützung durch einen qualifizierten, externen Dienstleister. Eine Übersicht qualifizierter APT-Response-Dienstleister hat das BSI nun veröffentlicht (s.u.)

„Wir sehen seit einiger Zeit eine dauerhaft angespannte Bedrohungslage im Bereich der IT-Sicherheit und zwar über alle Branchen hinweg. Wir sehen Produktionsausfälle in Folge von Cyber-Angriffen, wir sehen Fälle von gezielter Wirtschaftsspionage und wir sehen grundsätzlich eine zunehmende Professionalisierung der Angriffsmethoden. Als die nationale Cyber-Sicherheitsbehörde stellen wir nun im Rahmen unseres gesetzlichen Auftrags eine Übersicht qualifizierter Dienstleister zur Verfügung, deren Unterstützung insbesondere bei APT-Angriffen angefordert werden kann. Damit leisten wir einen wichtigen Beitrag zum Schutz der deutschen Wirtschaft und insbesondere der Kritischen Infrastrukturen. Unternehmen und Institutionen sollten sich bei IT-Sicherheitsvorfällen nicht scheuen, externe Hilfe anzunehmen“, so BSI-Präsident Arne Schönbohm.

Wettbewerbsneutrales Verfahren zur Identifikation geeigneter APT-Response-Dienstleister

Basierend auf den ebenfalls veröffentlichten Auswahlkriterien für qualifizierte Dienstleister hat das BSI ein wettbewerbsneutrales Verfahren durchgeführt, durch das erste geeignete APT-Response-Dienstleister identifiziert werden konnten. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen in die Lage versetzt, geeignete Hilfe durch externe Experten anzufordern. Weiteren Interessenten steht das Verfahren jederzeit offen.

Ergänzung der Übersicht qualifizierten DDoS-Mitigation-Dienstleister

Zugleich wurde auch die Übersicht der qualifizierten DDoS-Mitigation-Dienstleister um weitere Unternehmen ergänzt.

Daneben stehen Unternehmen jeder Größe auch der UP KRITIS und die Allianz für Cyber-Sicherheit offen. In beiden Kooperationsplattformen finden Sie konkrete Hilfestellung durch das BSI, erfahrene Experten und Gleichgesinnte zum kurzfristigen und direkten Austausch.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 29.05.2019
Liste der qualifizierten APT-Response-Dienstleister

Bundesamt für Sicherheit in der Informationstechnik, 09.02.2017
Auswahlkriterien für qualifizierte APT-Response-Dienstleister

Bundesamt für Sicherheit in der Informationstechnik
Qualifizierte Dienstleister DDoS

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

Von unserem Gastautor Detlev Weise, Managing Director DACH bei KnowBe4

[datensicherheit.de, 30.05.2019] Cyber-Versicherungen sind inzwischen etabliert und ein gerne gesehenes Instrument zur Absicherung von Cyber-Risiken. Inzwischen gibt es nach Angaben des Verbraucherportals des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) 38 Anbieter in Deutschland. Doch der Abschluss einer Police ist nicht unbedingt einfach. Das Problem beginnt bereits bei der Definition eines Cyber-Angriffs sowie der Bewertung der Folgekosten von Reputationsschäden.

Problem: Bewertung von Cyber-Risiken

Das Problem setzt sich bei den Versicherern fort, die bei jeder neuen Police prüfen müssen, wie sie Cyber-Risiken bewerten sollen. Um einige dieser Probleme zumindest für Unternehmen zu beheben, hat KnowBe4 eine Liste mit fünf Tipps für den Abschluss einer Cyberversicherung zusammengestellt:

1. Cyber-Risiken bewerten
   Am Anfang sollte eine umfassende Bewertung der Cyber-Risiken erfolgen. Es ist wichtig, genau herauszufinden, wo die tatsächlichen Risiken beim Versicherten liegen, denn das wird bestimmen, welche Art von Cyberversicherung abgeschlossen werden muss. Werden beispielsweise personenbezogene Daten, Kreditkarteninformationen oder andere sensible Daten in der Cloud ausgelagert? Oder sind es nur Verkaufszahlen oder andere eher weniger sensible Daten? Werden regelmäßig Transaktionen durchgeführt? All dies sind wichtige Fragen, die beantwortet werden müssen, um das Cyberrisiko richtig einzuschätzen. Das grundsätzliche Problem ist, dass bei vielen Unternehmen, aber auch Versicherungen keine Schadenshistorien vorliegen, es gibt also kaum Vergleichswerte oder Vergleichsfälle, die zur Bewertung hinzugezogen werden können.
2. Alle Bedingungen der Police sorgfältig durchlesen
   Unterschiedliche Definitionen von Begriffen sind nur ein Grund, warum man die Police sorgfältig durchlesen sollte. Ein weiterer Grund ist, sicherzustellen, dass sie gut zum Unternehmen und seinem Risikoniveau passt.
3. Absicherung durch Schäden von IT-bedingten Betriebsunterbrechungen
   Eines der wichtigsten Elemente, die Cyber-Versicherungen abdecken müssen, sind IT-bedingte Betriebsunterbrechungen. Es gibt normalerweise eine Wartezeit, bevor die Schadensregulierung beginnt. Sobald die Schadensregulierung gestartet wird, werden finanzielle Verluste abgedeckt, die während der Ausfallzeit entstehen. Die IT-bedingte Betriebsunterbrechung bietet Schutz vor finanziellen Verlusten, wenn ein bestimmter Geschäftspartner einen vorab definierten Cyber-Ereignisfall bzw. Sicherheitsvorfall hat und nicht in der Lage ist, eine Dienstleistung für das betroffene Unternehmen zu erbringen oder aber Waren oder Materialien fristgerecht auszuliefern.
4. Fachleute können unterstützen und werden von der Versicherung gestellt
   Oft deckt das aktuelle Versicherungsportfolio bereits bestimmte Cybersicherheitsvorfälle ab. Darüber hinaus ist in Cyberversicherungen zumeist ein Support in Form von spezialisierten Anwälten und forensischen Beratern inkludiert, die im Falle eines Sicherheitsvorfalls helfen können. Diese Fachleute bestehen aus vorab geprüften Teams, die in diesem Bereich Erfahrungen gesammelt und in der Regel bereits früher bei ähnlichen Fällen zusammengearbeitet haben. Das Team wird in der Regel von einem Anwalt unterstützt, der sich mit den Gesetzen und Vorschriften in den Bereichen Cybersicherheit und Datenschutz bestens auskennt. Gerade für kleine und mittlere Unternehmen, die sich oft fragen müssen, was sie tun sollen und welche Ressourcen sie bei einem Sicherheitsvorfall zusammenstellen müssen, kann der Zugang zu diesem Team sehr hilfreich sein.
5. Verantwortlichkeiten im Vorfeld abklären
   Schließlich muss man verstehen, wofür man im Rahmen der Police verantwortlich ist. Wer muss beispielsweise benachrichtigt werden, wenn ein Sicherheitsverstoß auftritt? Oder was passiert, wenn ein Hacker seit Jahren in die Systeme eindringt, aber dies jetzt erst erkannt wurde? In diesem Fall wäre eine rückwirkende Cyber-Versicherung sinnvoll. Das genaue Verständnis dessen, was im Falle eines Sicherheitsvorfalls getan werden muss, kann den Unterschied ausmachen, ob die Versicherung den Schaden reguliert oder nicht.

Bild: KnowBe4

Detlev Weise, Managing Director DACH bei KnowBe4

Fazit

Das Wichtigste jedoch ist, dass keine Cyber-Versicherung in der Hoffnung abgeschlossen werden sollte, dass sie eh niemals zum Einsatz kommt. Die Anforderungen der Police sollten berücksichtigen, wie die Meldung eines Schadensfalls vorgenommen wird und wann die Zustimmung des Versicherers eingeholt werden muss, bevor man auf einen Sicherheitsvorfall reagiert. All das muss in den allgemeinen Krisenreaktionsplan des Unternehmens einfließen. Wenn alle diese Punkte berücksichtigt werden, sollte ein Kauf der richtigen Cyberversicherung für das Unternehmen etwas einfacher werden. Unabhängig vom Abschluss einer solchen Versicherung sollten Unternehmen dennoch in Security Awareness-Trainings ihrer Mitarbeiter und Führungskräfte investieren, um sich mit „menschlichen Firewalls“ gegen Cyberangriffe zu wappnen.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

datensicherheit.de, 26.06.2018
Cyber-Risiken: BIGS über die Grenzen der Versicherbarkeit

datensicherheit.de, 19.11.2017
Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung

datensicherheit.de, 22.10.2016
Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken

datensicherheit.de, 09.09.2015
Unternehmen müssen sich für eine neue Dimension von Cyberrisiken wappnen

datensicherheit.de, 15.05.2014
AppRiver-Umfrage: Versicherung von Cyber-Risiken

[datensicherheit.de, 20.05.2019] Hacker sind in „Sachen IT-Sicherheit“ offenbar immer einen Schritt voraus – so sei es bereits in der Vergangenheit gewesen. Im Zuge der Nutzung KI-basierter Tools verschärft sich laut CyberArk das Problem – mit rein reaktiven Maßnahmen bleibe ein Unternehmen dem Angreifer unterlegen, nur präventive Vorkehrungen böten ein Mindestmaß an Sicherheit.

KI-basierte Tools zur automatisierten schnellen Durchführung von Attacken

Die Künstliche Intelligenz (KI) sei in der Cyber-Kriminalität angekommen. KI-basierte Tools unterstützten die automatisierte und damit schnellere Durchführung von Attacken.
Ziel von Angreifern sei zudem oft, in Systeme einzudringen, um dort dann für einen längeren Zeitraum unerkannt im Unternehmensnetz zu verbleiben und zu agieren. Auch dafür sei KI optimal geeignet: Algorithmen-basiert könne sich ein Angreifer ohne manuelle Eingriffe im Unternehmensnetz zum Beispiel „seitwärts“ bewegen.

1. Schritt zur Abwehr: Grundlegende Sicherheitsmaßnahmen erforderlich!

Um Cyber-Angriffe derartiger Couleur erfolgreich abwehren beziehungsweise entschärfen zu können, seien zunächst grundlegende Sicherheitsmaßnahmen erforderlich. Dazu zählen laut CyberArk etwa Firewalls, Intrusion-Detection-Systeme, Webfilter-Technologien, Antiviren-Programme oder Incident-Response-Verfahren.
Auch Lösungen zur Verwaltung, Sicherung und Überwachung der privilegierten Accounts, die sich als extrem kritischer Layer der IT-Sicherheit herauskristallisiert hätten, müssten implementiert sein. Solche Sicherheitsvorkehrungen sollten inzwischen Standard sein. Zielgerichtete KI-basierte Attacken seien mit diesen klassischen Sicherheitstools allerdings nur schwer zu erkennen und abzuwehren.

Umfassendes Sicherheitskonzept: CyberArk empfiehlt sechs Maßnahmen

Im Hinblick auf die Konzeption und Umsetzung eines umfassenden Sicherheitskonzepts und gerade hinsichtlich KI-basierter Angriffe müssten deshalb zusätzlich proaktive Vorkehrungen getroffen werden. CyberArk empfiehlt nach eigenen Angaben dabei vor allem folgende sechs Maßnahmen:

1. Schwachstellenanalyse
   Erster Schritt einer proaktiven Minderung von Risiken muss die Ermittlung und Beseitigung der Schwachstellen sein, und zwar unternehmensweit von den IT-Systemen über die Infrastruktur bis hin zu den Anwendungen. Auch regelmäßige Penetrationstests sollten durchgeführt werden.
2. Identifizierung und Schutz kritischer Systeme
   In einem weiteren Schritt sind die unternehmenskritischen Systeme zu ermitteln und zu schützen. Dabei kommen Maßnahmen wie Netzwerksegmentierung, Mikrosegmentierung oder restriktives Rollen- und Rechtemanagement ins Spiel.
3. Nutzung KI-basierter Sicherheitslösungen
   Es liegt auf der Hand, dass zur Abwehr KI-basierter Angriffe auch KI-basierte Sicherheitstools eingesetzt werden können. Solche Lösungen sind inzwischen auf dem Markt verfügbar, etwa für die Analyse des Netzwerkverkehrs.
4. Nutzung verhaltensbasierter Lösungen
   Da klassische, auf Detektion von Schadcode beruhende Lösungen bei neuen Bedrohungen an ihre Grenzen stoßen, sollte auch die Nutzung verhaltensbasierter Sicherheitslösungen in Betracht gezogen werden. Sie bieten Echtzeit-Analytik und -Alarmierung bereits bei verdächtigen Aktivitäten, etwa im Zusammenhang mit privilegierten Konten; Beispiele sind abweichende Zugriffszeiten oder die ungewöhnliche Häufung von Zugriffen.
5. Erhöhung des Automatisierungsgrades
   Generell sollte in der IT ein hoher Automatisierungsgrad angestrebt werden. Durch Reduzierung manueller Tätigkeiten und Automatisierung von Prozessen können Fehlerquellen und damit auch potenzielle Angriffspunkte für Hacker beseitigt werden.
6. Absicherung der Endgeräte
   Endgeräte sind ein Haupteinfallstor für Cyber-Attacken. Ihr Schutz muss deshalb höchste Priorität einnehmen. Erforderliche Sicherheitsmaßnahmen sind etwa der Entzug lokaler Administratorrechte oder eine Anwendungssteuerung, die die Ausführung schädlicher Programme verhindert.

„Ein 100-prozentiger Schutz dürfte in der IT eine Illusion bleiben. Resignation ist trotzdem nicht angesagt. Es müssen nur proaktive Maßnahmen ergriffen werden, und zwar besser heute als morgen. Dann besteht hinsichtlich KI-basierter Angriffe wenigstens ein Mindestmaß an Sicherheit“, sagt Christian Goetz, „Director of Presales DACH“ bei CyberArk.

Weitere Informationen zum Thema:

datensicherheit.de, 17.04.2019
Anfälligkeit für Phishing-Angriffe präventiv begegnen

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 30.04.2019] Daten gehören zu den wertvollsten Rohstoffen des 21. Jahrhunderts. Doch immer größere Mengen an sensiblen Informationen gegen Cyber-Angriffe zu schützen, ist für Unternehmen eine Herausforderung. Viele Sicherheitsstrategien konzentrieren sich auf den Schutz strukturierter Daten in Datenbanken. Jedoch fehlen häufig Maßnahmen für die ebenso sensiblen, aber oft schwieriger zu schützenden unstrukturierten Daten, beispielsweise in E-Mails oder Dokumenten. 80 Prozent der Daten in einem Unternehmen zählen laut IBM mittlerweile zu den unstrukturierten Daten. In diesen Datenmassen verbergen sich häufig geschäftskritische oder personenbezogene Informationen. Sie stellen damit ein Risiko für Unternehmen dar, wenn sie nicht ausreichend gegen unberechtigten Zugriff abgesichert werden. Im Folgenden ein kurzer Überblick zu den beiden Datenformen sowie Best Practices zu deren Schutz.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Maschine versus Mensch: Strukturierte und unstrukturierte Daten

Strukturierte Daten sind so organisiert, dass sie für Maschinen einfach zu verarbeiten sind. Sie werden im Allgemeinen in relationalen Datenbanken gespeichert und in definierten Spalten und Zeilen angezeigt. Dadurch können Data-Mining-Tools und -Algorithmen darauf zugreifen und sie leicht analysieren. Traditionell verlassen sich Unternehmen bei ihren Geschäftsentscheidungen auf strukturierte Daten, beispielsweise im Lagerverwaltungs- oder Customer Relationship Management.

Unstrukturierte Daten werden hingegen in für Menschen leicht zugänglichen Formaten gespeichert. Diese Zugänglichkeit erschwert allerdings wiederum Maschinen und Algorithmen den Zugriff. Unstrukturierte Daten finden sich etwa in E-Mails, Textverarbeitungsdokumenten, PDF-Dateien, Bild-, Audio- und Videodateien, Social Media-Beiträgen oder mobilen Textnachrichten. Diese Formate erleichtern die menschliche Kommunikation, machen unstrukturierte Daten aber auch anfälliger für unberechtigten Zugriff und Datenlecks.

Best Practices zur Sicherung strukturierter und unstrukturierter Daten

Strukturierte Daten in Datenbanken lassen sich vergleichsweise einfach sichern. Der Zugang kann nach strengen Richtlinien eingeschränkt werden. Diese sollten folgende Punkte beinhaltet:

• Schaffung eines sicheren, zentralen Speichers
• Verfolgung der Dateneingabe und -nutzung
• Verwaltung von Authentifizierung und verschlüsselter Kommunikation mit SSL-Protokoll
• Schutz von Geräten durch sichere Passwörter
• Möglichkeit des Fernzugriffs zur Datenlöschung auf verlorenen Geräten
• Schulung der Mitarbeiter über Richtlinien und bewährte Sicherheitsverfahren

Der Schutz unstrukturierter Daten stellt eine größere Herausforderung dar. Denn diese existieren überall im System, wo Benutzer auf Inhalte zugreifen oder diese erstellen.  Dadurch kann es schwierig sein, überhaupt zu wissen, dass diese Daten existieren, wer Zugang zu ihnen hat oder sie verwendet. Auch die Verfolgung des Datenflusses durch einen Audit-Trail gestaltet sich schwieriger: Content Pattern Matching-Technologien können Server und Workstations scannen, um unstrukturierte Daten zu klassifizieren, aber diese Lösungen führen oft zu False Positives und Negatives, was sich negativ auf den Workflow auswirken kann. Folgende Best Practices helfen, unstrukturierte Daten zu schützen:

1. Klassifizierung unstrukturierter Daten
   Unternehmen sollten ihre Mitarbeiter darin schulen, welche unstrukturierten Daten sensibel sind. Hierzu zählen:
   • Daten, die aus rechtlichen oder regulatorischen Gründen aufbewahrt werden müssen
   • Proprietäre Daten wie geistiges Eigentum, Bankdaten oder Kundenlisten
   • Personenbezogene Daten von Kunden und Mitarbeitern
2. Identifizieren von unstrukturierten Daten zum Zeitpunkt der Erstellung
   Oftmals stammen unstrukturierte Daten aus einer strukturierten Datenquelle: Beispielsweise exportieren Mitarbeiter Informationen aus einer Datenbank in ein Dokument und speichern dieses in der Cloud oder auf einem USB-Stick. Dadurch entfällt jedoch der Schutz durch die Datenüberwachung und Zugriffskontrollen der strukturierten Datenquelle. Wichtig sind daher adäquat abgesicherte Speicherumgebungen, um das Risiko eines Datenlecks zu minimieren.
3. Identifizierung des Zugriffs auf strukturierte und unstrukturierte Daten
   Unternehmen sollten identifizieren, welche Mitarbeiter Zugriff auf strukturierte und unstrukturierte Daten haben und den Zugriff auf sensible Datenquellen einschränken. Zudem sollte verwaltet werden, wie Mitarbeiter von Remote-Geräten darauf zugreifen dürfen. Die Überwachung der Benutzeraktivitäten bietet zusätzlichen Schutz, um beispielsweise Anomalien zu erkennen, die auf eine Cyberattacke hinweisen.

Strukturierte und unstrukturierte Daten sind für Unternehmen gleichermaßen von Bedeutung. Vor dem Hintergrund der DSGVO muss deshalb sichergestellt sein, dass beide Arten geschützt sind, da bei einem Datenleck hohe Geldbußen und Reputationsschäden drohen. Datenzentrierte Sicherheitstechnologien können Unternehmen zudem unterstützen, durch kontextbasierte Klassifikation und Verschlüsselung sensible Daten gegen Diebstahl und Cyberangriffe zu schützen, selbst im Fall eines Sicherheitsverstoßes.

Weitere Informationen zum Thema:

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

Von unserem Gastautor Robert Blank, Regional Sales Manager DACH bei Algosec

[datensicherheit.de, 27.03.2019] Es ist allgemein bekannt, dass Cyber-Angriffe aller Art vielen Unternehmen Schaden zufügen. Oftmals aber ist es erst ein Datenleck, welches das wahre Ausmaß der möglichen Kosten verdeutlicht.

Eine Studie des IBM Security und des Ponemon Institutes über die Kosten eines Datenlecks von 2018, beziffert die durchschnittlichen Kosten eines Vorfalls auf 3,86 Millionen US-Dollar – über 6 Prozent höher als im Jahr 2017. Diese Zahl beinhaltet Faktoren wie forensische Untersuchungen, Gegenmaßnahmen, Benachrichtigungen der Aktionäre, rechtliche und regulatorische Aktivitäten, sowie die Kosten für Betriebsausfälle und verlorene Reputation.

Flut an Informationen überwältigt IT-Sicherheitsleute

Die Kosten, die auf Unternehmen zukommen können, sind teilweise erheblich. Daher ist es für Firmen wichtig, ihre Angriffsfläche zu minimieren, indem sie ihre Netzwerke auf Schwachstellen überprüfen, bevor ein Angreifer sie ausnutzt. Eine separate Studie des Ponemon Institutes aus dem Jahr 2018 ergab jedoch, dass fast 60 Prozent der Gefährdungen auf bestehende, bekannte Schwachstellen zurückzuführen sind. Das bedeutet, dass die IT-Sicherheitsleute der Unternehmen kontinuierlich nach diesen alten Sicherheitslücken suchen und auch schließen müssen.

Bild: AlgoSec

Robert Blank, Regional Sales Manager DACH bei AlgoSec

Einer der Gründe, warum bekannte Schwachstellen nicht schnell behoben werden, ist der, dass die Unternehmen sich des wahren Risikos für das Geschäft oft nicht bewusst sind. Die meisten IT-Abteilungen bearbeiten Schwachstellen derart, dass sie sich alleine auf die Berichte ihrer Schwachstellen-Scanner verlassen, wie beispielsweise Tenable Nessus, Rapid7 Nexpose oder Qualys Cloud Platform. Diese Radare liefern zwar detaillierte technische Informationen über jede gefundene Schwachstelle, in der Regel geordnet nach der IP-Adresse oder dem DNS-Namen eines Servers. Einige Scan-Tools liefern sogar Informationen darüber, wie Administratoren die Fehler durch ein Software-Upgrade oder einen Patch beheben können.

Doch die schiere Menge an Warnungen und potentiellen Risiken, die durch Schwachstellen-Scans gekennzeichnet werden, kann überwältigend sein. Wie können Sicherheits-Teams also Überflüssiges herausfiltern und den Risiken, die eine echte Bedrohung für das Unternehmen darstellen, die notwendige Priorität einräumen? Indem der geschäftliche Rahmen beachtet wird, den die Risiken bedrohen.

Risiken in den Geschäftskontext stellen

Herkömmliche Werkzeuge für das Schwachstellen-Management zeigen nur, dass ein Server gefährdet ist. Sie identifizieren aber nicht die Anwendungen, die wiederum vom Server abhängig sind. Während also ein Schwachstellen-Scan zwei verschiedene Server mit demselben Software-Problem identifizieren und jedem das gleiche Risiko zuweisen kann, könnten diese beiden Server sehr unterschiedlich wichtige Anwendungen bedienen. Eine Anwendung kann besonders geschäftskritisch sein (z.B. eine E-Commerce-Plattform) oder sensible Daten enthalten. Daher muss die Behebung der Schwachstellen in den Servern, die kritische Anwendungen bedienen, priorisiert werden.

Um sich ein genaues Bild der Bedrohungen für das Unternehmen zu machen, müssen Unternehmen die Schwachstellen, die in Servern oder Geräten gefunden wurden, mit den spezifischen Geschäftsanwendungen verknüpfen, die von ihnen abhängen. Nur dann können die Anwendungseigner zusammen mit den Verantwortlichen des Unternehmens die Gegenmaßnahmen priorisieren und gezielt verwalten.

Schwachstellen bewerten und nach schädigenden Auswirkungen priorisieren

IT-Administratoren können dank der Verknüpfung von Servern und geschäftskritischen Anwendungen genau abwägen, wie das potentielle Risiko eines Sicherheitsvorfalls im Verhältnis steht zu den Auswirkungen auf das Unternehmen, die mögliche Ausfallzeiten wegen der Behebung des Fehlers nach sich zögen. Die Verknüpfung wird ermöglicht durch ein Schwachstellen-Scanning, das in eine passende, automatisierte Security-Management-Lösung integriert wird. Schwachstellen können so direkt den Geschäftsanwendungen zugeordnet werden, mit denen sie verknüpft sind, wobei für jede Anwendung eine Sicherheitsbewertung bereitgestellt wird. Diese Einstufungen werden bei jeder Netzwerkänderung automatisch berechnet, um sicherzustellen, dass Firmen einen aktuellen, geschäftsorientierten Überblick ihrer Risiken haben.

Diese Verknüpfung von Schwachstellen mit kritischen Geschäftsprozessen und die Einbeziehung aller relevanten Geschäfts-, Sicherheits- und Netzwerkbeteiligten stellt sicher, dass die IT-Sicherheit auf die Geschäftsstrategie des Unternehmens abgestimmt ist. Das ist elementar für moderne Unternehmen, denn es muss in den Sicherheitsabteilungen heutzutage darum gehen, alle Schwachstellen im Firmennetzwerk zu identifizieren und beheben, bevor ein Hacker diese Arbeit auf äußerst unangenehme Weise übernimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 15.01.2019
Wie man einen Mehrwert im Network Security Policy Management schafft

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen