[datensicherheit.de, 14.04.2020] Die Schulung der eigenen Mitarbeiter und die Schaffung eines entsprechenden Bewusstseins für die Gefahren durch Cyber-Kriminelle stehen deshalb bei vielen Unternehmen ganz oben auf der Liste der Abwehrmaßnahmen. Dieser Ansatz ist allerdings zu kurz gegriffen, erklärt der Sicherheitsspezialist Bromium.

Eigene Mitarbeiter häufig die Schwachstelle im Unternehmen

Nicht immer sind es komplexe Algorithmen und Programme, mit denen Cyber-Kriminelle versuchen, in das Netzwerk eines Unternehmens einzudringen. Vielmehr gelten zu häufig die eigenen Mitarbeiter als Sicherheitslücke. Neben klassischer Malware sind besonders Phishing-E-Mails beliebt, über die mit Hilfe gefälschter Webseiten oder augenscheinlich harmloser Dateianhänge in E-Mails Ransomware in das Firmennetz eingeschleust werden soll.

Die Minimierung dieser potenziellen Schwachstelle durch Sicherheitstrainings und die Schaffung eines Bewusstseins für die Gefahren aus dem Internet ist ein grundlegender Baustein im Kampf gegen Cyber-Kriminelle. Unternehmen sollten aber die folgenden fünf Punkte nicht unterschätzen:

• Unberechenbarer Faktor: Menschen treffen falsche Entscheidungen, lassen sich zu unbedachten Handlungen verleiten oder machen schlicht und ergreifend Fehler – unabhängig davon, wie gut sie geschult sind. Das reicht vom E-Mail-Versand an den falschen Empfänger über Fehler beim Konfigurieren von IT-Systemen bis zu einem unkoordinierten Patch-Management. In der Konsequenz können Daten in die falschen Hände geraten.
• Menschliche „Schwächen“: Hacker nutzen gerne die Hilfsbereitschaft von Menschen aus. Bei Penetrationstests zeigt sich beispielsweise immer wieder, dass einem weiblichen Einbrecher, der sich einen künstlichen Babybauch umgeschnallt hat, fast schon reflexartig die Türen geöffnet werden – Kontrollen fallen komplett unter den Tisch. Die Kriminellen haben dann leichtes Spiel, um in das lokale Netz einzudringen.
• Mehr Raffinesse: Die Zeiten, in denen Pishing-Mails voller Rechtschreibfehler steckten, sind schon lange vorbei. Heute sind sie absolut authentisch aufgemacht und von echten Mails fast nicht mehr zu unterscheiden. Eine Dynamit-Phishing-Mail der neuesten Generation hängt bereits gestohlene Mails an, um so eine schon existierende Kommunikation aufzugreifen. Zudem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein.
• Immer mehr Intelligenz: Bisher galten ein Video oder der Gesprächspartner bei einem Telefonat als real, da sich weder Videos noch Unterhaltungen am Telefon leicht fälschen ließen. Durch Künstliche Intelligenz ist es heute jedoch möglich, mit geringem Aufwand sowohl Videos als auch ein beliebiges, gesprochenes Audiomaterial zu fälschen. Diese Deepfakes sind vor allem deshalb extrem gefährlich, weil bis auf Weiteres keine adäquaten technischen Abwehrmaßnahmen zur Verfügung stehen werden.
  Unterschiedlichste Angriffsvektoren: Die gängigste Hacker-Methode sind Phishing-Mails, vor allem in Form von Spear-Phishing, also gezielte Angriffe auf wenige Personen per Mail. Aber auch das Vishing per Telefonanruf oder das Klonen eines WLAN-Access-Points gehören zum Repertoire von Cyber-Kriminellen. Gefährlich wird es auch, wenn Mitarbeiter eigenständig ein Programm-Update herunterladen, ohne darauf zu achten, von welcher Webseite die Datei kommt. Oder wenn sie ohne zu überlegen einen USB-Stick, den sie auf einer Messe geschenkt bekommen oder irgendwo gefunden haben, an den Unternehmensrechner anschließen.

Foto: Bromium

Jochen Koehler, Regional VP Sales Europe bei Bromium

„Awareness-Programme sind wichtig. Gegen die immer raffinierter werdenden Angriffsmethoden von Hackern stehen Unternehmen aber vor einer eigentlich nicht lösbaren Herausforderung“, betont Jochen Koehler, Regional VP Sales Europe bei Bromium in Heilbronn. „Sinnvoller ist deshalb eine IT-Security-Lösung, die die Attacken von Cyber-Kriminellen ins Leere laufen lässt. Mit Hilfe von Micro-Virtualisierung wird die jeweilige Anwendung isoliert ausgeführt, so dass ein sicheres Öffnen und Bearbeiten von Daten, unabhängig davon, ob die Quelle seriös ist oder nicht, möglich ist. Schädigungen bleiben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität automatisch gelöscht wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.02.2019
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

[datensicherheit.de, 11.12.2018] Cyber-Attacken auf deutsche Industrieunternehmen haben in den letzten beiden Jahren einen Schaden von mehr als 43 Milliarden Euro verursacht, so eine aktuelle Studie des Bitkom. Tendenz steigend. Um der gestiegenen Bedrohungslage zu begegnen, sind IT-Verantwortliche in Unternehmen im nächsten Jahr noch mehr gefordert. Welches die wichtigsten IT-Security-Themen 2019 sind, haben Experten des IT-Services Providers Konica Minolta zusammengestellt.

1. Strategisches Risikomanagement ist gefragter denn je
   Seit der DSGVO ist eine „angemessene IT-Sicherheit“ gesetzlich verankert. IT-Dienstleister beraten mit einem strategischen Risikomanagement, um Unternehmen dabei zu unterstützen, angemessene Lösungen zu implementieren. So sollte bei der IT-Security-Infrastruktur eine Priorisierung verbunden mit einem ausgeglichenen und angepassten Budget erfolgen. Dabei sind auch Aspekte wie Personalressource und Technologie zu berücksichtigen. Deshalb wird der strategische Beratungsansatz 2019 immer wichtiger.
2. Awareness / Sensibilisierung innerhalb von Unternehmen
   Längst ist klar, dass es keinen 100-prozentigen Schutz für Unternehmen vor Cyber-Angriffen gibt. Es stellt sich nicht die Frage, ob eine Firma Opfer einer Cyber-Attacke wird, sondern nur, wann dies der Fall sein wird. Deshalb ist Prävention und Sensibilisierung ein wichtiges Thema. Unternehmen müssen Awareness schaffen und ihre Mitarbeiter für diese Gefahren sensibilisieren. Dadurch können Infektionen mit Malware oder die Installation von Trojanern und Ransomware verhindert werden.
3. Bedrohungslage durch Ransomware weiterhin hoch
   Ransomware ist und bleibt eine große Bedrohung und lässt sich mittlerweile relativ einfach aus dem Darknet beziehen, neuerdings sogar als Ransomware-as-a-Service-Variante. Unabhängig davon, ob die Malware bereits durch das Besuchen einer manipulierten Website als Drive-by-Infektion oder das Öffnen infizierten Email-Anhänge auf dem Rechner installiert wird, kann sie einen sehr großen Schaden verursachen. Die Effizienz von Ransomware ist nach wie vor sehr hoch, weil Unternehmen meist machtlos sind, wenn ihre Daten verschlüsselt wurden. So müssen Security-Lösungen genutzt werden, die mehr können als nur Malware-Erkennung.
4. Identitäten als Service implementieren
   Ein weiteres Top-Security-Thema 2019 ist Privileged Account Management (PAM). Das bestätigt auch das Marktforschungsinstitut Gartner in seiner Trendanalyse. Damit können Unternehmen den Missbrauch privilegierter Konten erschweren und Sicherheitsteams auf Anomalien durch ungewöhnliche Zugriffe hinweisen. Mögliche Schäden bei Angriffen können so auf ein Minimum reduziert werden.
5. Hohe Verwundbarkeit von Industrieunternehmen 
   Deutsche Industrieunternehmen sind immer häufiger Ziel von Cyber-Attacken. So verzeichnete laut Bitkom jedes fünfte Unternehmen aus der Industrie die Sabotage seiner Informations- und Produktionssysteme oder Betriebsabläufe. Kein Wunder, denn aufgrund der Digitalisierung stellt die Produktion mit der wachsenden Zahl an IoT-Komponenten ein großes Einfallstor für Kriminelle dar. Denn das Sicherheitsniveau der vernetzten Systeme ist nach wie vor sehr niedrig. Je nachdem, welches Angriffsziel die Betrüger im Visier haben, lässt sich somit großer Schaden durch Produktionsausfälle oder Manipulationen verursachen.
6. Healthcare-Branche: Wenn Cyber-Angriffe lebensbedrohlich werden
   Auch das Gesundheitswesen steht weiterhin im Fadenkreuz. Mittlerweile wurden bereits Sicherheitslücken in Herzschrittmachern oder Insulinspritzen entdeckt. Während es früher nur darum ging, einen möglichst großen Schaden zu verursachen oder sich zu bereichern, stehen heute gegebenenfalls Menschenleben auf dem Spiel.
7. Fachkräftemangel bleibt wichtiges Thema
   Der Fachkräftemangel ist ein Dauerbrenner. Der Branchenverband Bitkom geht von 55.000 offenen Stellen für IT-Spezialisten aus. Damit hat sich die Zahl in den letzten vier Jahren verdoppelt. Insbesondere der Bedarf an Sicherheitsexperten ist gemäß einer Studie von Capgemini gestiegen. So klafft im Bereich Cyber-Security eine große Lücke zwischen Angebot (43 Prozent) und Nachfrage (68 Prozent). Um den Bedarf zu decken, werden Unternehmen auch 2019 zunehmend auf externe Dienstleister setzen.
8. DSGVO – Ruhe vor dem Sturm
   Die Deadline zur Umsetzung der DSGVO ist mittlerweile längst verstrichen. Zwar sollten Unternehmen mittlerweile DSGVO-konform sein und entsprechende Maßnahmen ergriffen haben, teilweise ist das jedoch noch nicht erfolgt. Da bislang noch von keinen hohen Strafen öffentlich berichtet wurde, wähnen sich Unternehmen in Sicherheit. Es ist jedoch damit zu rechnen, dass in 2019 erste härtere Strafen verhängt werden. Diese werden dazu führen, dass Unternehmen verstärkt in Aktion treten, um die Anforderungen der DSGVO zu erfüllen.

„Wir wissen heute noch nicht, wie die Werkzeuge der Hacker von morgen aussehen werden. Dennoch müssen Unternehmen für einen bestmöglichen Schutz sorgen. Mit Kanonen auf Spatzen zu schießen und die Security-Infrastruktur zu überdimensionieren, ist aber auch keine Lösung“, erklärt Florian Goldenstein, Head of IT-Security bei Konica Minolta IT Solutions. „Verantwortliche müssen erkennen, was geschützt werden soll und kurzfristig auf Angriffe reagieren. Wir unterstützen Unternehmen mit unserem strategischen Ansatz dabei, ihre IT angemessen zu sichern.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.11.2018
Trendthemen – Ein Blick auf das IT-Jahr 2019

datensicherheit.de, 20.11.2018
IT-Sicherheit: Prognose für 2019

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

Von unserem Gastautor Dirk Schrader, CMO von Greenbone Networks

[datensicherheit.de, 28.09.2018] Hacker gehen heute immer professioneller und aggressiver vor – und für Unternehmen ist es nur mehr eine Frage der Zeit, bis ein Angriff auf ihre IT-Systeme erfolgreich ist. Rein technologische Maßnahmen, die reaktiv auf die neuesten Hacker-Strategien ausgerichtet sind, reichen zur Abwehr jedoch nicht mehr aus. Vielmehr muss Cyber Security primär auch organisatorische Maßnahmen beinhalten. Das Konzept Sustainable Cyber Resilience zeigt, wie eine solche umfassende Sicherheitsstrategie aussehen kann.

Cyber-Attacken nehmen zu

Die Zahl an Cyber-Attacken auf Unternehmen nimmt stetig zu. Laut einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren 2016 und 2017 insgesamt bereits 70 Prozent der Unternehmen in Deutschland von Cyber-Angriffen betroffen. Doch die dabei eigentlich fatale Zahl: Bei knapp der Hälfte der Attacken konnten sich Hacker Zugriff auf die IT-Systeme der Unternehmen verschaffen und diese beeinflussen oder sogar manipulieren. Jeder zweite erfolgreiche Angriff zog zudem Produktions- oder Betriebsausfälle nach sich. Letzteres ist insbesondere bei Betreibern von Kritischen Infrastrukturen (KRITIS) höchst bedenklich – man male sich die Folgen eines Blackouts der Stromversorgung aus: Lebensmittel würden nicht mehr gekühlt, Notrufe ließen sich nicht tätigen und sogar die Frischwasserversorgung wäre gefährdet.

Unternehmen sind zum Schutz ihrer IT-Landschaft verpflichtet

Regulatorische Instanzen haben bereits auf die zunehmende Zahl von Cyber-Angriffen reagiert. Im Juli 2016 trat etwa die EU-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union, die NIS-Richtlinie, in Kraft. In Deutschland wurde dafür am 29. Juni 2017 das Umsetzungsgesetz zur NIS-Richtlinie verkündet. Es erweitert das bereits seit Juli 2015 existierende deutsche IT-Sicherheitsgesetz (IT-SIG), in dem schon viele der Regularien für kritische Infrastrukturen festgeschrieben sind, die das neue EU-Gesetz jetzt fordert. Das IT-SIG schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem „Stand der Technik“ umzusetzen und erhebliche IT-Störungen an das BSI zu melden. Auch die am 25. Mai 2018 verbindlich in Kraft getretene EU-DSGVO fordert, dass Unternehmen die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüfen. Zudem sind Sicherheitsvorfälle innerhalb von 72 Stunden zu melden.

Für Unternehmen ist es also höchste Zeit, die Sicherheitsvorkehrungen für die eigene IT-Landschaft unter die Lupe zu nehmen, um diesen Anforderungen gerecht zu werden und sich effektiv zu schützen. Denn Fakt ist: Fast alle Geschäftsprozesse in Unternehmen laufen heute digital ab oder haben elektronische Komponenten. Zudem sind sie meist komplex miteinander vernetzt. Das bedeutet: Hat sich ein Hacker einmal Zugriff auf das IT-System verschafft, kann er theoretisch auch auf andere am Netzwerk angeschlossene Geräte, Systeme und Applikationen oder auch Produktionsmaschinen zugreifen. So lautet die Frage heute nicht mehr, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann.

Auch bei erfolgreichen Hacker-Angriffen handlungsfähig bleiben

Das Vorhaben die komplette Unternehmens-IT angriffssicher zu machen, ist dabei jedoch aussichtslos. Denn mit jeder Änderung der Systemlandschaft – sei es eine neue Software, ein Update einer bestehenden Applikation oder auch ein nicht eingespieltes Patch – entstehen potenziell neue Schwachstellen. Daher empfiehlt es sich vielmehr, Risiken so gut wie möglich zu managen und so zu minimieren.

Das Konzept Sustainable Cyber Resilience bietet dafür die nötigen Handlungsansätze. Im Gegensatz zu herkömmlichen IT-Sicherheitsmaßnahmen, die vor allem auf Security-Technologie fokussieren, bezieht das Konzept auch die organisatorische Ebene mit ein. So gilt es, auch Mitarbeiter für Risiken zu sensibilisieren – sodass sie etwa betrügerische E-Mails erkennen können und infizierte Anhänge oder Links nicht öffnen. Auch die physische Sicherheit von Geräten (Safety) sollte ein zentraler Punkt in der Cyber-Resilience-Strategie eines Unternehmens sein, damit sich Mitarbeiter etwa im Falle eines Angriffs auf eine Produktionsmaschine nicht verletzen können. Zudem müssen auch Verantwortlichkeiten festgelegt werden, die genau regeln, wer bei welchem Sicherheitsvorfall für was zuständig ist. Ziel des Konzepts ist es, auch im Falle eines Angriffs handlungsfähig zu bleiben und den Betrieb aufrechtzuerhalten.

Schwachstellenmanagement ist elementar

Grundlage ist dabei ein effektives Schwachstellenmanagement (englisch: Vulnerability Management). Denn in erster Linie gilt es, die Angriffsfläche eines Unternehmens auf ein Minimum zu reduzieren. Ein gutes Tool scannt täglich alle an ein Netzwerk angeschlossenen Geräte auf Schwachstellen und gibt Hinweise, wie sie sich schließen lassen. Doch auch hier gilt: Alle Vulnerabilities flächendeckend zu bearbeiten, ist weder möglich noch wirtschaftlich. Vielmehr müssen sie gemäß ihrem Risiko priorisiert werden – sprich: Welchen Schaden könnte ein Angriff auf die jeweilige Schwachstelle verursachen? Notwendig ist zudem, einen Risikoschwellenwert zu definieren. Dieser beschreibt, welches Risiko ein Unternehmen bereit ist, einzugehen. In Bezugnahme auf beide Kennzahlen – dem potenziellen Schaden und dem Risikoschwellenwert – erstellt das Schwachstellen-Tool dann eine priorisierte Liste. Schwachstellen mit dem höchsten Risiko sollten Verantwortliche als Erstes schließen.

Fazit: Risiken lassen sich auf ein Minimum reduzieren

Die Gefahr durch Cyber-Angriffe steigt. Um auch im Falle einer erfolgreichen Hacker-Attacke – wie sie früher oder später der Fall sein wird – handlungsfähig zu bleiben, müssen Unternehmen widerstandsfähig gegen Angriffe werden. Das schreiben auch regulatorische Instanzen wie die EU vor. Kernbausteine einer guten Cyber-Resilience-Strategie sind sowohl organisatorische Maßnahmen als auch ein professionelles Vulnerability Management. Letzteres spürt bekannte Schwachstellen auf, bewertet ihr Risiko und gibt Handlungsempfehlungen, um sie zu schließen. Auf diese Weise lassen sich Risiken zwar nicht komplett ausschalten, aber auf ein Minimum reduzieren. So bleiben Unternehmen auch im Ernstfall handlungsfähig.

Bild: Greenbone Networks

Dirk Schrader, CMO Greenbone Networks

Über den Autor

Dirk Schrader (CISSP, CISM) ist Chief Marketing Officer (CMO) bei Greenbone, Lösungsanbieter zur Schwachstellen-Analyse von IT-Netzwerken. Er verfügt über mehr als 15 Jahre Erfahrung im Bereich IT Security. Bei Greenbone ist er im Management-Team für die Marketingaktivitäten sowie den internationalen Vertrieb mit einem erweiterten Partnernetzwerk verantwortlich.

Weitere Informationen zum Thema:

Greenbone Networks
Sustainable Cyber Resilience im Energiesektor

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

datensicherheit.de, 29.08.2018
Staatlicher Umgang mit Schwachstellen in Software

datensicherheit.de, 19.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit

Von unserem Gastautor Sergej Schlotthauer, VP Security bei Matrix42

[datensicherheit.de, 20.08.2018] 70 % aller Malware-Ausbrüche haben ihren Ursprung in den Geräten, die Mitarbeiter für die Arbeit einsetzen. PCs, Laptops, Mobiltelefone und Tablets dienen Angreifern als Einfallstore in die Unternehmen. Wenn Unternehmensdaten und die Produktivität der Mitarbeiter effektiv geschützt werden sollen, ist ein Fokus auf diese Endpoints unumgänglich. Der effektive Schutz der Endpoints wird zum Fokus jeder IT-Security-Strategie!
Die Anzahl der Cyber Security Incidents steigt kontinuierlich; die Nachfrage nach effektiven Sicherheitslösungen genauso. Nach Patentlösungen wird fieberhaft gesucht. Denn klar ist, die Anfälligkeit für Angriffe wird durch die fortschreitende Digitalisierung und Vernetzung noch größer.

Herausforderung: Angriffe in Echtzeit erkennen

Einer der wichtigsten Faktoren, um einen effektiven Schutz aufzubauen, ist das rechtzeitige Erkennen von Angriffen. 70 % der Malware-Infektionen werden von AntiVirus-Lösungen erst gar nicht erkannt. [1] Die Malware verschafft sich über ein oder mehrere Endgeräte Zugang zum Unternehmensnetzwerk und nistet sich dort unbehelligt ein. Im Durchschnitt sind Unternehmenssysteme bereits seit 200 Tagen infiltriert, bevor dieser Umstand überhaupt erkannt wird. Je später ein Angriff bemerkt wird, desto mehr Schaden kann entstehen, sei es der Diebstahl oder die Manipulation von Daten, oder die durch Datenverschlüsselung beeinträchtigte Produktivität der Mitarbeiter.

Nicht Angriffe, sondern Schaden verhindern

Wie aber kann Schutz funktionieren, wenn die Angriffe immer häufiger und immer ausgefeilter werden und die Angriffsflächen der Unternehmen immer größer? Effektiver Schutz beginnt mit der Erkenntnis, dass Attacken kaum noch verhindert werden können. Firewalls und Antiviren-Tools bieten keinen ausreichenden Schutz vor Viren, Trojanern und Ransomware. Sehr wohl unterbunden werden kann allerdings die Entstehung des Schadens durch Malware-Ausbrüche. Zielführender, als sich auf die Prävention von Infiltrierungen zu konzentrieren, ist es, die Ausbreitung von Schadsoftware zu verhindern, wenn sie bereits ins Unternehmensnetzwerk eingedrungen ist. Da die Einfallstore in den meisten Fällen die Endpoints sind, gilt es das Augenmerk auf deren Sicherheit zu legen.

EDR, SIEM und SOM reichen nicht aus

Eine bunte Palette an unterschiedlichen Sicherheitslösungen steht den Unternehmen zur Verfügung. Endpoint Detection and Response Lösungen (EDR), Security Incident und Event Management Lösungen (SIEM) sowie Security Operation Management Tools (SOM) bieten zweifellos viele Vorteile. Dennoch ist der Schutz stets unvollständig. Sei es, dass das Tool die Priorität der jeweiligen Attacke zu niedrig einschätzt oder die Anzahl der von der Lösung aufgezeigten Attacken für die verantwortlichen IT-Mitarbeiter schlichtweg nicht bewältigbar ist, weil jede Eindämmung zu viele manuelle Eingriffe erfordert.

Automated Endpoint Security

Der Schutz von Daten und Produktivität muss automatisiert erfolgen, unabhängig davon, ob ein Angriff von außen erfolgt oder die Gefahr von innen ausgeht, weil etwa ein Mitarbeiter Daten auf einen nicht autorisierten USB-Stick kopieren will. Automated Endpoint Security Lösungen bieten effektiven Schutz, weil sie:

• sich darauf konzentrieren, Angreifer am Erreichen ihres Ziels zu hindern: dem Stehlen, Manipulieren oder Verschlüsseln von Endpunkt- und Serverdaten
• die Funktionen einer Endpoint Prevention Plattform mit denen einer Endpoint Detection and Response kombinieren
• Datendiebstahl in Echtzeit verhindern, indem sie auf der Ebene des Betriebssystems agieren
• Echtzeitschutz gegen Ransomware gewährleisten
• erst dann eine Warnmeldung absetzen, wenn es zu einer schädlichen Outbound-Kommunikation, Datenmanipulation kommt oder wenn sie eine unautorisierte Verschlüsselung unterbunden haben

Dennoch: Awareness ist wichtig

Automated Endpoint Security Lösungen bieten umfassenden Schutz. Dennoch darf eines nicht außer Acht gelassen werden. Gegen die Unvorsichtigkeit von Mitarbeitern hilft keine noch so gute Lösung. Das Bewusstsein für den sicheren Umgang mit Daten muss geschärft werden. Wenn Mensch und Software optimal agieren, haben Angreifer es schwer, erfolgreich zu sein.

[1] Quelle: SC Magazin

Bild: EgoSecure

Sergej Schlotthauer, Geschäftsführer EgoSecure und Vice President Security bei Matrix42 AG

Er ist seit 2007 Geschäftsführer der EgoSecure und heute als Vice President Security bei Matrix42 für den weiteren Ausbau des Bereichs Security verantwortlich. Zusammen mit einem Team aus 70 Mitarbeitern bildet er das Center of Excellence for Security.

Weitere Informationen zum Thema:

datensicherheit.de, 16.03.2018
Unternehmen hinken bei EU-DSGVO-Anpassung hinterher

datensicherheit.de, 20.09.2017
Innentäter bedrohen Unternehmenssicherheit

datensicherheit.de, 13.04.2017
Sicherheitslösungen müssen unkompliziert in der Anwendung sein

[datensicherheit.de, 10.06.2015] Mehr als 300 Experten aus Politik, Sicherheitsbehörden, Wirtschaft und Wissenschaft treffen sich am Donnerstag, 11.06.2015 zur dritten Potsdamer Konferenz für nationale Cyber-Sicherheit. Am Hasso-Plattner-Institut (HPI) diskutieren sie zwei Tage lang Fragen des Schutzes vor Internetkriminalität unter der Abwehr von Cyber-Attacken. Sprechen werden unter anderem Nato-Vizegeneralsekretär Jamie Shea, Europol-Direktor Rob Wainwright, Staatssekretärin Cornelia Rogall-Grothe aus dem Bundesinnenministerium, Verfassungsschutzpräsident Hans-Georg Maaßen sowie der Chef des Bundeskriminalamts, Holger Münch, und des Bundesamtes für die Sicherheit in der Informationstechnologie, Michael Hange.

Das gastgebende Hasso-Plattner-Institut kündigte an, seine soeben entwickelte Analyse-Plattform vorzustellen, die Cyberattacken dank Höchstgeschwindigkeits-Datenbanken und besonders leistungsfähiger Mehrkernrechner mit riesigem Arbeitsspeicher blitzschnell erkennen kann. Ferner wollen die Informatikwissenschaftler zusammen mit der Bundesdruckerei das Projekt „Online-Datentresor“ vorstellen. Künftig sollen Internetnutzer ihre Daten in der Cloud damit einfach, zuverlässig und sicher verwalten können. Das soll dadurch gewährleistet werden, dass die Anwender ihre Dokumente automatisch verschlüsseln, fragmentieren und redundant auf mehreren in Deutschland stationierten Servern abspeichern.

Die Konferenz (mit Ausnahme der Pressekonferenz ab 12:30 Uhr) wird im Internet live über die Plattform www.tele-task.de des Hasso-Plattner-Instituts übertragen. Auf Twitter gibt es zur Konferenz den Hashtag #CyberSich.

Veranstaltungsort: Prof.-Dr.-Helmert-Str. 2-3, 14482 Potsdam (Nähe S-Bahnhof Griebnitzsee), Hörsaalgebäude.

Weitere Informationen zum Thema:

Hasso-Plattner-Institut (HPI)
Potsdamer Konferenz für Nationale Cyber-Sicherheit

[datensicherheit.de, 18.11.2013] Die Umgehung des Perimeter-Schutzes stellt für Angreifer keine große Herausforderung mehr dar, daher  rückt die Überwachung von privilegierten Benutzerkonten immer mehr in den Fokus, um Cyber-Attacken erfolgreich abzuwehren. Die Lösung Privileged Threat Analytics des Sicherheits-Anbieters CyberArk ist nach Angaben des Herstellers das erste System, das ungewöhnliche und auffällige Verhaltensweisen im Zusammenspiel mit solchen Accounts erkennt. Sicherheitsverantwortliche erhalten zielgerichtete Bedrohungsanalysen, um auf bereits laufende Angriffe reagieren zu können. Damit lassen sich diese Attacken stoppen, bevor sie Schaden im Unternehmen anrichten.

Die Lösung nutzt eine patentierte Analyse-Technologie und berücksichtigt sowohl Verhaltensdaten aus CyberArks Komplettsystem zum Schutz privilegierter Benutzerkonten als auch kontextbezogene Informationen aus anderen System-Ressourcen. Die Funktionen von CyberArk Privileged Threat Analytics im Einzelnen:

• Die Lösung erkennt bereits laufende externe Angriffe genauso wie auffälliges Verhalten berechtigter Anwender;
• Erkannt werden Anomalien in den Verhaltensmustern privilegierter User in Echtzeit. Greift beispielsweise ein Nutzer zu ungewöhnlicher Tageszeit auf seine Berechtigungen zu, ist dies ein starker Hinweis auf einen möglichen Verstoß gegen die Sicherheits-Policy eines Unternehmens;
• Die Software erhöht die Effektivität von SIEM-Systemen (Security Information and Event Management), indem sie durch intelligent aufbereitete Informationen Fehlalarme reduziert;
• CyberArk Privileged Threat Analytics stoppt Angriffe in frühen Stadien ihrer so genannten „Kill Chain“ und ermöglicht damit einen rechtzeitigen Eingriff;
• Die Lösung analysiert laufend das Nutzerverhalten und passt ihre Risikobewertung kontinuierlich an die Verhaltensmuster autorisierter privilegierter Nutzer an.

„Jedes Unternehmen muss davon ausgehen, dass Angreifer ihren Perimeter-Schutz durchdringen können. Sind sie einmal im Netzwerk, werden sie versuchen, Kontrolle über die privilegierten Benutzerkonten zu erlangen“, sagt Jochen Koehler, Regional Director DACH & Middle East bei CyberArk in Heilbronn. „Gefragt sind deshalb Lösungen für den gezielten Schutz dieser Konten, die in der Lage sind, verdächtige Aktivitäten zu erkennen.“

Privileged Threat Analytics ist die jüngste Teil innerhalb der umfassenden Gesamtlösung von CyberArk für den Schutz privilegierter Benutzerkonten und ist ab Dezember 2013 allgemein verfügbar.

[datensicherheit.de, 23.09.2013] Privilegierte Benutzerkonten sind eine potenzielle Sicherheitsgefahr für jedes Unternehmen, da sie häufig Angriffsziel von Cyber-Attacken sind. Bevor sie allerdings entsprechend gesichert werden, müssen sie zunächst identifiziert und analysiert werden. Hierfür hat CyberArk sein neues Audit-Tool CyberArk DNA entwickelt. Vorgestellt wird es in mehreren Workshops im Rahmen der it-sa 2013 in Nürnberg vom 8. bis 10. Oktober.

Ein Großteil der Cyber-Attacken erfolgt heute über die missbräuchliche Nutzung von privilegierten Accounts. Adäquate Sicherungsmaßnahmen sind hier deshalb nötiger denn je. Voraussetzung hierfür ist, dass ein Unternehmen Anzahl, Ort und Status dieser Accounts kennt. Doch hier liegt noch etliches im Argen. Das zeigen auch zwei Untersuchungen von CyberArk im Frühjahr dieses Jahres sehr deutlich (1). Zum einen kennen 37 Prozent der befragten Unternehmen nicht einmal alle Systeme und Applikationen, in denen sich privilegierte Accounts befinden. Und zum anderen wissen auch 39 Prozent nicht, wie sie ihre privilegierten Accounts überhaupt identifizieren können.

„Die Ermittlung von privilegierten Accounts ist in der Tat ein komplexes Thema“, sagt Jochen Koehler, Regional Director DACH & Middle East bei CyberArk in Heilbronn. „Zunächst muss man sich darüber im Klaren sein, dass privilegierte Accounts und Passwörter nicht nur auf Servern, Desktop-PCs oder Notebooks vorhanden sind, sondern auch in Datenbanken und Applikationen, Konfigurationsdateien oder auf Netzwerkgeräten. Anschließend geht es um die exakte Identifizierung aller Accounts, am besten mit einem Tool, das hier einen hohen Automatisierungsgrad aufweist, denn in einer komplexen und heterogenen Infrastruktur ist das manuell kaum zu bewerkstelligen.“

Speziell für die automatische Erkennung von privilegierten und administrativen Accounts hat CyberArk auch das neue Audit-Tool CyberArk DNA (Discovery & Audit) entwickelt. Die Software-Lösung ist einfach einzurichten und zu nutzen, da keine Agenten oder Programme auf den Zielsystemen installiert werden müssen. Diese werden außerdem nur in einem Read-Only-Modus gescannt, so dass durch den Einsatz des Tools die Netzwerkperformance nicht negativ beeinflusst wird. Nach der automatischen Analyse der privilegierten Accounts wird ein Report erstellt, auf dessen Basis das Risikomanagement im Unternehmen optimiert werden kann.

Jochen Koehler: „Mit CyberArk DNA haben Unternehmen ein Tool an der Hand, mit dem sie privilegierte Benutzerkonten einfach und schnell ermitteln und damit Risiken bewerten können. Auf dieser Basis ist es dann möglich, geeignete Sicherheitsmaßnahmen zu ergreifen, um sich umfassend auch vor fortschrittlichen Cyber-Attacken zu schützen.“

Um einen Überblick über Anzahl, Ort und Status der privilegierten Accounts zu erhalten, können Unternehmen mit dem CyberArk-Tool für begrenzte Zeit kostenfrei ein Self Assessment durchführen. Anmeldung unter: http://www.cyberark.com/discover-where-your-privileged-accounts.

CyberArk wird seine neue Lösung im Rahmen der it-sa in drei Workshops detailliert vorstellen. Die Termine im Überblick:

• Dienstag, 8. Oktober 2013, um 13:00 Uhr
• Mittwoch, 9. Oktober 2013, um 13:00 Uhr
• Donnerstag, 10. Oktober 2013, um 10:00 Uhr

Die Workshops finden statt im NCC Mitte, Raum Verona. Geleitet werden sie von Thomas Laager, Regional Sales Engineer Süddeutschland und Österreich bei CyberArk.

[datensicherheit.de, 05.09.2013] Die Nachrichtenlage der letzten Wochen hat das Thema IT-Sicherheit wieder verstärkt in die Köpfe der Menschen gebracht. Dabei stellt sich nicht nur die Frage, wie sich Daten vor staatlichen Zugriffen schützen lassen, sondern auch vor Internetkriminalität. Insbesondere Unternehmen müssen sich auf einen optimalen Schutz ihres Netzwerks vor Cyber-Attacken verlassen können. Diese und viele weitere Aspekte stehen im Fokus der 3. Internet Security Days 2013 am 24. und 25. September im Phantasialand Brühl bei Köln.

Besucher erwartet ein anspruchsvolles Vortragsprogramm, eine Messe mit neuesten Sicherheitsprodukten und -services sowie zahlreiche interessante Networking-Events, um Business-Kontakte auf- und auszubauen. Die Vorträge stellen eine Möglichkeit dar, direkt von den Experten zu lernen: Wie können aktuelle Bedrohungen bekämpft werden und welche Sicherheitsrisiken ergeben sich aus neuen technischen Entwicklungen? Organisiert werden die Internet Security Days von Bellaxa und eco – Verband der deutschen Internetwirtschaft e. V. Da sich die Veranstaltung wieder an Mitglieder internationaler Unternehmen aus dem Bereich der Internetsicherheit richtet, werden die Vorträge überwiegend in Englisch gehalten.

Das Programm: Sicherheit für Mobile, Network und M2M

Der erste Tag beginnt mit Keynotes: Unter anderem werden Torsten Jüngling (Stonesoft), Joe Klein (SRA International) und Darren Anstee (Arbor Networks) erwartet, die sich nach ihren Vorträgen auch an der folgenden Podiumsdiskussion beteiligen werden. Danach informieren drei Tracks über die Themenschwerpunkte „Web & Mobile Security“, „Network Security“ und „European Cooperation“. Experten referieren unter anderem über Bedrohungen bei Webanwendungen, mobile Bedrohungen, DDoS sowie das Advanced Cyber Defence Centre (ACDC). Eine Abendveranstaltung rundet das Programm ab.

Am zweiten Veranstaltungstag erwarten die Besucher wieder Keynotes; so hat beispielsweise Koji Nakao (KDDI Japan) seine Teilnahme zugesagt und wird über die Zukunft der Cyber-Attacken sprechen. Nach einer Paneldiskussion und der Mittagspause teilt sich die Veranstaltung wieder in drei Tracks. Organisiert von den eco Kompetenzgruppen Sicherheit und Mobile sind die Themen „IT-Sicherheitswissen für die Zukunft“ sowie „M2M Secure“ geplant. Der dritte Track ist dem geschlossenen ACDC General Assembly vorbehalten.

eco ist mit mehr als 650 Mitgliedsunternehmen der größte Verband der Internetwirtschaft in Europa. Seit 1995 gestaltet der eco-Verband maßgeblich die Entwicklung des Internets in Deutschland, fördert neue Technologien, Infrastrukturen und Märkte, formt Rahmenbedingungen und vertritt die Interessen der Mitglieder gegenüber der Politik und in internationalen Gremien. In den eco-Kompetenzgruppen sind alle wichtigen Experten und Entscheidungsträger der Internetwirtschaft vertreten und treiben aktuelle und zukünftige Internetthemen voran.

Mehr Infromationen zum Thema:

Internet Security Days 2013
Die Internet-Security-Plattform Messe – Konferenz – Networking

[datensicherheit.de, 27.06.2013] 80 Prozent der Unternehmen halten Cyber-Attacken inzwischen für gefährlicher als terroristische Angriffe. So lautet das Ergebnis einer aktuellen Studie des Sicherheitssoftware-Anbieters Cyber-Ark. Zudem sind 57 Prozent der Meinung, dass die klassische Perimeter-Sicherheit als geeignetes Abwehrmodell an ihre Grenzen stößt.
Die Cyber-Ark-Untersuchung „Global Advanced Threat Landscape“ wurde bereits zum siebten Mal durchgeführt. Dabei wurden fast 1.000 (IT-)Führungskräfte aus vorwiegend größeren Unternehmen in Europa, den USA und der Region Asien-Pazifik zu Themen rund um die Datensicherheit befragt.

Ein zentrales Untersuchungsergebnis ist, dass die deutliche Mehrheit der Befragten Cyber-Attacken als die größte Gefahr für Unternehmen, Infrastruktur-Einrichtungen, die Ökonomie und die nationale Sicherheit ansieht. So sind auch 80 Prozent der Meinung, dass die Bedrohung durch Angriffe über das Internet größer ist als durch Terrorismus.
Darüber hinaus ergab die Studie, dass Perimeter-Sicherheit nicht ausreichend ist und Angreifer sich vielfach schon im Unternehmensnetz befinden. Beispielsweise wird bei komplexen, zielgerichteten Web-Attacken, den Advanced Persistent Threats (APTs), fast immer der Perimeter-Schutz erfolgreich umgangen – wie bei Phishing-Versuchen. Das hat das Vertrauen auf Unternehmensseite in die Perimeter-Sicherheit nachhaltig erschüttert. So sind 57 Prozent der Befragten der Meinung, dass ihr Unternehmen zu stark auf Perimeter-Schutz vertraut. Zudem glauben sogar 51 Prozent, dass Cyber-Angreifer bereits in ihrem Netzwerk sind oder das im letzten Jahr waren.

Bei immer mehr Unternehmen setzt sich außerdem die Erkenntnis durch, dass gerade privilegierte Accounts als Einfallstor bei Web-Attacken genutzt werden, das heißt neben administrativen Passwörtern auch Default- oder in Skripten, Konfigurationsdateien und Applikationen eingebettete Passwörter. Immerhin 64 Prozent bestätigen, dass sie deshalb Maßnahmen zur Verwaltung der privilegierten Accounts getroffen haben. Bedenklich ist allerdings, dass 39 Prozent nicht wissen, wie sie ihre privilegierten Accounts identifizieren können, beziehungsweise versuchen, diese auf manuellem Weg zu ermitteln.

Die Untersuchung hat auch gezeigt, dass Unternehmen zunehmend die Kontrolle über privilegierte Accounts in der Cloud verlieren:

• 56 Prozent wissen nicht, ob ihr Cloud Service Provider privilegierte Accounts schützt und überwacht
• 25 Prozent gehen davon aus, dass sie für den Schutz ihrer vertraulichen Daten besser gerüstet sind als ihr Cloud Provider – und trotzdem vertrauen sie diesem ihre Daten an.

„Die Studie verdeutlicht, dass Unternehmen zum einen die zunehmende Bedrohung durch Cyber-Attacken erkannt haben und zum anderen auch die Gefahr, die dabei vor allem von privilegierten Accounts ausgeht“, sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. „Doch wie die Bedrohung umfassend und zuverlässig beseitigt wird, scheint für viele noch ein Buch mit sieben Siegeln zu sein. Das zeigt sich schon daran, dass fast 40 Prozent der Befragten nicht wissen, wie sie privilegierte Accounts ermitteln können. Wenn zudem versucht wird, dies auf manuellem Wege durchzuführen, ist das in der komplexen und heterogenen Infrastruktur eines größeren Unternehmens nahezu ein Ding der Unmöglichkeit.“

„Und auch völlig unnötig“, meint Koehler, „man muss nur eine moderne Lösung im Bereich Privileged Identity Management nutzen. Mit ihr kann bereits ein Großteil privilegierter Benutzerkonten automatisch erkannt werden. Außerdem stellt sie sicher, dass jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert wird.“

[datensicherheit.de, 22.04.2013] FireEye®, Inc., das führende Unternehmen beim Schutz vor Next-Generation Cyber-Threats, veröffentlichte heute einen Report zum Thema „The Advanced Cyber Attack Landscape“ und eine interaktive Landkarte mit detaillierten Informationen über die globale Natur heutiger Malware-Kommunikation, die mit fortschrittlichen Cyber-Attacken zusammenhängt. Zu den wichtigsten Fakten gehören:

• 184 Nationen beherbergen Kommunikations-HUBs oder Command-and-control-(CnC)-Server, der Großteil davon in Asien und Osteuropa.
• Technologie-Unternehmen gehören zu den bevorzugten Zielen.
• 89 Prozent aller Advanced Persistent Threat (APT) Attacken stehen in Verbindung mit Tools, die von chinesischen Hackergruppen entwickelt oder von dort aus verbreitet werden.

„Die globale Bedrohungslage hat sich weiterentwickelt, spätestens seitdem Cyber-Bedrohungen traditionelle, signaturbasierte Abwehrmechanismen immer leichter überwinden. Nach der weltweiten Verbreitung dieser Angriffe ist es für Cyberkriminelle einfacher geworden, unentdeckt Verbindungen aus dem Unternehmensnetzwerk nach außen herzustellen“, erklärt FireEye-CEO David DeWalt. „Der Report zeigt, auf welch ein globales Ausmaß die Gefahr durch fortschrittliche Cyber-Attacken inzwischen angewachsen ist.“

CnC-Server werden während eines Angriffs verwendet, um durch Callbacks eine Kommunikation mit der infizierten Maschine aufzubauen. Dadurch wird es dem Angreifer möglich, weiter Malware herunterzuladen oder so zu modifizieren, dass sie unentdeckt bleibt, Daten aus dem Netzwerk zu schleusen oder den Angriff innerhalb des Unternehmens auszuweiten.

„The Advanced Cyber Attack Landscape“ bezieht seine Daten aus 12 Millionen Callbacks über 184 Länder, die von Tausenden von FireEye-Appliances in 2012 abgewehrt wurden. Die FireEye-Plattform wird noch hinter Firewalls, Next-Generation Firewalls, Intrusion-Prevention-Systemen (IPS), Anitvirus-Systemen (AV) und anderen Sicherheits-Gateways eingesetzt und stellt damit quasi die letzte Verteidigungslinie gegen fortschrittliche Cyber-Attacken dar, die traditionelle, signaturbasierte Sicherheitssysteme umgehen.

Weitere zentrale Erkenntnisse des Reports:

• Cyber-Angriffe spielen sich auf einem globalen Level ab – FireEye fand CnC-Server in 184 Ländern – 41 Prozent mehr als noch 2010 (130 Länder).
• Asien und Osteuropa sind Zentren der Angriffe – Betrachtet man die Zahl der Callbacks pro Unternehmen pro Land, dann liegt der Ursprung in 24 Prozent der Fälle in China, Südkorea, Indien, Japan oder Hongkong, dicht gefolgt von den osteuropäischen Staaten Russland, Polen, Ukraine, Rumänien, Kasachstan und Lettland mit 22 Prozent.
• Technologieunternehmen sind ein Kernziel – Am meisten betroffen durch Callbacks sind Technologieunternehmen. Ziel ist dabei meist das Abgreifen von geistigem Eigentum, Sabotage oder die Veränderung von Quellcode um zukünftige Angriffe vorzubereiten.
• Ein Großteil der Advanced-Persistant-Threat-Callbacks gehen auf APT-Tools zurück, die in China hergestellt wurden oder auf chinesische Hacker zurückzuführen sind – Beim Vergleich der Callbacks mit bekannten APT-Familien hat FireEye festgestellt, dass ein Großteil der Callbacks (89 Prozent) auf Tools zurückgehen, die von chinesischen Hackern entwickelt oder verbreitet wurden. Das meistgenutzte Tool ist dabei Gh0st RAT.

Weitere Informationen zum Thema:

FireEye, Inc.
The Advanced Cyber Attack Landscape