[datensicherheit.de, 08.01.2020] Wenn Cyber-Kriminelle mit ihren Angriffen Zugriff auf lukrative Daten anstreben, verursacht dies „oft beträchtlichem finanziellem Schaden für das gehackte Unternehmen“, warnt Digital Guardian. Dessen „Director DACH & EE“, Christoph M. Kumpa, erläutert nachfolgende „Best Practices“ für die Datensicherheit in Unternehmen.

Bild: Digital Guardian

Christoph M. Kumpa: Ein Datenverstoß in Deutschland kostet eine Organisation durchschnittlich umgerechnet 4,32 Millionen Euro.

Weltweit 507 Unternehmen aus 17 Branchen befragt

In Deutschland kostet laut Kumpa „ein Datenverstoß eine Organisation durchschnittlich umgerechnet 4,32 Millioen Euro (4,78 Millionen US-Dollar)“, so das Ergebnis des aktuellen „Cost of a Data Breach Report“ des Ponemon Institute und IBM. Deutschland besetze damit Platz 3 nach den USA (8,19 Millionen US-Dollar) und dem Mittleren Osten (5,97 Millionen US-Dollar). Der globale Durchschnitt liege bei 3,92 Millionen US-Dollar.
Der Report hat demnach weltweit 507 Unternehmen aus 17 Branchen befragt und unter anderem untersucht, wie durch Abwehrmaßnahmen die Kosten eines Datenlecks reduziert werden könnten.

Umfassende „Data Security“-Strategie für jedes Unternehmen unumgänglich

Beispielsweise trügen Unternehmen, die Security-Automation-Technologien eingesetzt hätten, nur etwa die Hälfte der Kosten einer Datensicherheitsverletzung, verglichen mit Unternehmen, die diese Technologien nicht einsetzten.
Eine umfassende „Data Security“-Strategie sei für jedes Unternehmen deshalb heutzutage unumgänglich, um finanzielle Schäden durch Datenlecks einzudämmen, betont Kumpa.

Grundlegende „Best Practices“ für Datensicherheit

1. Data Discovery
   „Heute befinden sich Daten nicht nur in Unternehmensnetzwerken, sondern auch in der Cloud, auf Mobilgeräten und an Homeoffice-Arbeitsplätzen. Das Aufspüren sensibler Daten sowie die Transparenz zu wissen, wohin Daten fließen, wer darauf Zugriff hat und sie weitergeben kann, ist grundlegend für die Datensicherheit.“ Ansonsten könnten Unternehmen nicht bewerten, welche Dateien, Dokumente oder Geistiges Eigentum das größte Risiko bei einem Sicherheitsverstoß darstellten. Der erste Schritt sei deshalb die Entwicklung einer organisatorischen Sichtung und Strukturierung aller Daten.
   Umfassende „Data Loss Prevention“-Lösungen (DLP) verfügten über „Data Discovery“-Appliances. Diese ermöglichten ein automatisches, konfigurierbares Scannen von lokalen und Netzwerk-Freigaben unter Verwendung von erkennungsspezifischen Inspektionsrichtlinien, „um sensible Daten überall dort zu finden, wo sie sich befinden“. Detaillierte Auditprotokolle und -berichte lieferten zudem die erforderlichen Informationen, um die Einhaltung von Vorschriften nachzuweisen, vertrauliche Informationen zu schützen und das Risiko von Datenverlusten zu verringern.
2. Datenklassifizierung
   Die Strategien zur Datenklassifizierung könnten von Unternehmen zu Unternehmen variieren, „aber durch den Einsatz von DLP-Tools zur Analyse sensibler Daten und der Anwendung von Richtlinien können Unternehmen die dringend benötigte Struktur in ihre Sicherheitsstrategie implementieren“. Üblicherweise werden laut Kumpa Daten in folgende Kategorien eingeteilt:
   • „Eingeschränkt“: Daten, die bei einem Datenleck dauerhafte und schwere Konsequenzen für ein Unternehmen bedeuten.
   • „Vertraulich“: Daten, die vor unbefugtem Zugriff geschützt werden müssen und mäßig sensible Informationen enthalten.
   • „Öffentlich“: Daten, die geteilt werden dürfen.
3. Zugriffskontrollen und kontinuierliche Datenverfolgung
   Kumpa: „Nachdem die Daten klassifiziert wurden, sollten Unternehmen sicherstellen, dass auf Benutzerebene geeignete Sicherheitskontrollen vorhanden sind, um Informationen vor Diebstahl zu schützen.“ Richtlinienkontrollen stellten sicher, dass Daten nicht durch böswillige oder fahrlässige Mitarbeiter verändert, verloren oder gestohlen werden könnten. Gerade unvorsichtige Mitarbeiter seien seit Jahren eine der Hauptursachen für den Verlust von Unternehmensdaten.
   Um Risiken zu minimieren, entschieden sich deshalb viele Unternehmen für Kontrollen, die den Datenzugriff für die Mitarbeiter einschränkten. Dies stelle sicher, dass Angestellte nur Zugang auf für ihre Arbeit notwendige Daten hätten. „Data Loss Prevention“-Tools böten hier die Überwachung, Verfolgung und den Schutz sensibler Daten vor nicht autorisiertem Zugriff während des gesamten Verarbeitungszyklus, „unabhängig davon, ob sie sich im Ruhezustand, Gebrauch oder in Übertragung befinden“. Einige Lösungen verfügten über Richtlinien, die das Auffordern, Blockieren oder automatische Verschlüsseln ermöglichten, wenn ein Benutzer mit sensiblen Daten arbeitet. Andere könnten so konfiguriert werden, dass sie unbefugten Zugriff auf sensible Inhalte, Manipulationen oder die Synchronisierung mit Cloud-Umgebungen vollständig verhinderten.
4. Mitarbeiteraufklärung bei riskantem Verhalten
   Neben der Möglichkeit, kritische Daten zu überwachen und zu verfolgen, könnten Kontrollen zudem verhindern, dass Benutzer bestimmte Handlungen ausführen, wie etwa Daten zu verschieben, zu kopieren oder zu drucken.
   In diesen Szenarien könnten Administratoren DLP-Lösungen einsetzen, um Nutzern Benachrichtigungen anzuzeigen, die erklärten, weshalb eine Handlung – sei es der Zugriff, das Verschieben oder das Verschicken bestimmter Daten per Mail – verboten ist. Dies trage zur Aufklärung der Mitarbeiter bei und fördere die Optimierung im Umgang mit kritischen Informationen.
5. Einsatz verhaltensbasierter Erkennungswerkzeuge
   Neben „Data Loss Prevention“ könnten zudem Lösungen wie „Endpoint Detection and Response“ (EDR) oder „Advanced Threat Protection“ (ATP) Bedrohungen in Echtzeit erkennen, „bevor Daten gefährdet werden“. EDR-Tools überwachten Endpunkt- und Netzwerkereignisse und speicherten diese Informationen in einer zentralen Datenbank. Diese Daten würden auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht.
   Der Vorgang könne automatisiert werden, wobei Anomalien Alarme für sofortige Gegenmaßnahmen oder weiterführende Untersuchungen auslösten. Zudem böten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.

Wertvolle Daten zielgerichtet gegen externe Angreifer und Insider-Bedrohungen verteidigen

„Wenn Organisationen genau wissen, welche ihrer Daten besonders wertvoll sind, können sie diese zielgerichtet durch kontinuierliche Überwachung und Verschlüsselung gegen externe Angreifer und Insider-Bedrohungen verteidigen, selbst im Fall eines Sicherheitsverstoßes.“
Der Einsatz der oben genannten „Data Security-Best Practices“ könne Unternehmen helfen, ihre sensiblen Informationen besser zu schützen und hohe Kosten durch einen Sicherheitsvorfall zu vermeiden.

Weitere Informationen zum Thema:

IBM
How much would a data breach cost your business?

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 15.10.2019] Mobile Geräte haben sich in den letzten Jahren zu zentralen Zielen  für Cyberkriminalität und Cybersicherheitsbedrohungen, die sich gegen Unternehmen richten, entwickelt. Die Unternehmen arbeiten jedoch immer noch daran, diese Erweiterung des Unternehmensnetzwerks effektiv zu schützen. Die Geräte beherbergen dabei oft eine Mischung aus geschäftlichen und persönlichen Daten. Einige der größten mobilen Sicherheitsbedrohungen, mit denen Unternehmen sich derzeit konfrontiert sehen, sind nach Erfahrung von Palo Alto Networks:

1. Phishing-Bedrohungen: In der Vergangenheit wurden Phishing-Angriffe weitgehend per E-Mail durchgeführt. Heute geschieht dies hauptsächlich über mobile Kanäle wie SMS, Facebook Messenger, WhatsApp und gefälschte Websites, die legitim aussehen, einschließlich solcher, die sogar mit der sicheren HTTPS-Erweiterung beginnen. Spear-Phishing ist auch eine zunehmende Bedrohung, da Hacker bestimmte Mitarbeiter über mobile Geräte gezielt ansprechen, um Zugang zu sensiblen Daten zu erhalten.
2. Mobile Malware: Jede Website, die besucht oder verlinkt wird, hat das Potenzial, mobile Geräte mit Malware wie Spyware, Ransomware, Trojaner-Viren, Adware etc. zu infizieren.
3. Gefährliche offene WLAN-Netzwerke: Viele mobile Mitarbeiter nutzen heute öffentliche WLAN-Netzwerke in Cafés, Flughäfen, Restaurants und anderen Orten, wenn sie außerhalb des Büros unterwegs sind. Da sich die meisten Cyberkriminellen dessen bewusst sind, versuchen sie, mobile Nutzer dazu zu bringen, sich mit gefälschten WLAN-Netzwerken zu verbinden und so Daten zu kompromittieren. Schlimmer noch, selbst wenn ein Unternehmen über eine Richtlinie gegen die Nutzung öffentlicher WLAN-Netzwerke verfügt, geben 81 Prozent der Mitarbeiter zu, dass sie diese trotzdem noch nutzen, wie iPass in einer Studie herausfand.
4. Schädliche Anwendungen: Die Welt ist voll von Softwareanwendungen, die entweder über das Internet genutzt oder von Websites, dem Apple App Store oder Google Play heruntergeladen werden können. Viele dieser Apps sind legitim und sicher zu verwenden, aber es gibt auch Tausende, die es nicht sind. Das Herunterladen einer App oder die Erteilung einer App-Berechtigung für den Zugriff auf Funktionen auf einem mobilen Gerät kann daher das Unternehmen des Benutzers einer Vielzahl von Sicherheits- und Datenschutzrisiken aussetzen. Einige Apps sammeln sogar Daten, ohne den Benutzer um Erlaubnis zu bitten.
5. Datenlecks: Datenlecks treten bei jeder unbefugten oder unbeabsichtigten Übertragung von Daten aus einem Unternehmen an eine externe Partei oder ein externes Ziel auf. Derartige Datenlecks können zurückgehen auf eine Person innerhalb des Unternehmens, die versehentlich vertrauliche oder sensible Daten in eine Public Cloud überträgt, anstatt in die Private Cloud. Es könnte aber auch ein externer Angreifer oder ein verärgerter Mitarbeiter dahinterstecken, der die Daten des Unternehmens absichtlich stiehlt. Mobile Endgeräte, die oft eine Mischung aus geschäftlichen und persönlichen Daten enthalten, machen es noch einfacher, die Grenzen zwischen Geschäftlichen und Privatem versehentlich oder gezielt zu verwischen.

Auch wenn diese Bedrohungen real sind und täglich weiter zunehmen, verfügen die meisten Unternehmen nach Angaben von Palo Alto Networks immer noch nicht über eine robuste Sicherheitslösung zum Schutz und zur Verteidigung ihres Netzwerks und ihrer mobilen Benutzer.

Um die Herausforderungen der mobilen Sicherheitsbedrohungen zu bewältigen, müssen Unternehmen:

1. Proaktive Maßnahmen zum Schutz mobiler Geräte und Benutzer ergreifen
   • Stellen Sie sicher, dass Ihr Unternehmen IT-Mitarbeiter beschäftigt, die sowohl über die erforderlichen Kenntnisse zur Mobiltechnologie als auch Sicherheitskenntnisse verfügen.
   • Unterstützen Sie die Mitarbeiter bei der Aktualisierung mobiler Betriebssysteme und Sicherheitspatches.
   • Fügen Sie mobilen Geräten Antivirensoftware und Data Loss Prevention (DLP)-Tools hinzu.
   • Bieten Sie Ihren Mitarbeitern bessere und einfachere Arbeitsmöglichkeiten, damit sie sich nicht mit unsicheren öffentlichen WLANs verbinden, z.B. durch Alternativen zu Virtual Private Networks (VPN).
   • Bitten Sie die Mitarbeiter, die App-Berechtigungen sorgfältig zu überprüfen, bevor sie ihnen Zugriff gewähren, und löschen Sie Anwendungen oder deaktivieren Sie Berechtigungen, die als hohes Risiko angesehen werden können oder missbraucht werden könnten.
   • Ermutigen oder fordern Sie Ihre Mitarbeiter auf, MFA-Tools (Multi-Factor Authentication) zu verwenden, wenn sie sich über ihre mobilen und persönlichen Geräte mit dem Unternehmensnetzwerk verbinden.
   • Bleiben Sie auf dem Laufenden über die sich ständig ändernde Landschaft der mobilen Sicherheitsbedrohungen.
   • Erwägen Sie, ein Sensibilisierungsprogramm zu etablieren, um die Sicherheit in den Vordergrund des Handelns der Mitarbeiter zu rücken. Die Mitarbeiter sollten sich der Sicherheitsbedrohungen bei der Nutzung ihrer mobilen Geräte bewusstwerden. Arbeitgeber wiederum sollten bewährte Verfahren für den Schutz sensibler Daten bereitstellen.
2. Setzen Sie eine modernere Architektur und eine umfassende Sicherheitslösung ein
   • Bieten Sie mobilen Benutzern einen sicheren Zugriff auf das Netzwerk und die Anwendungen ihres Unternehmens, ohne sich ständig verbinden und trennen zu müssen.
   • Steuern und beschränken Sie den Zugriff auf das Netzwerk und die Anwendungen des Unternehmens basierend auf Geräteeigenschaften wie Betriebssystem, Patch-Level, Vorhandensein der erforderlichen Endgerätesoftware etc. beim Zugriff auf sensible Anwendungen.
   • Ermöglichen Sie es, den Datenverkehr kontinuierlich zu überwachen und zu kontrollieren, um unbefugte oder böswillige Aktivitäten zu identifizieren und zu stoppen.
   • Schaffen Sie die Voraussetzungen, um Sicherheitsrichtlinien unternehmensweit in mehreren Umgebungen anzuwenden.
   • Helfen Sie mit, die Bedrohungsabwehr durchzusetzen und Malware zu blockieren.

Während mobile Geräte im Arbeitsalltag heute genauso selbstverständlich sind wie Desktop-Computer, hinken die Sicherheitsteams von Unternehmen in diesem Bereich hinterher. Die von Palo Alto Networks genannten Maßnahmen sollen dazu beitragen, die mobile Sicherheit auf Kurs zu bringen, um Geschäftsprozesse nicht zu gefährden, wenn Mitarbeiter außerhalb des lokalen Netzwerks arbeiten.

Weitere Informationen zum Thema:

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

Von unserem Gastautor Dhiraj Sehgal, Director Product and Solution Marketing bei Delphix

[datensicherheit.de, 24.07.2019] Daten befeuern Innovationen in Unternehmen: Informationen werden intelligent ausgewertet und in neues Wissen verwandelt, daraus entstehen Produkte, Lösungen und Dienste. Das funktioniert aber nur, wenn die migrierten Daten in hoher Qualität vorliegen und Betriebe sie schnell und bequem nutzen können. Weitere Voraussetzung: die Nutzung von Cloud-Diensten, denn nur sie ermöglichen die digitale Transformation. Nur mit ihrer Hilfe können Daten schnell verarbeitet und bereitgestellt werden. Ohne Cloud-Nutzung wird kaum ein Unternehmen fit für die digitale Zukunft sein. Das hat zusätzliche Vorteile: Prozesse werden effizienter und agiler, die Kosten sinken.

Wenn Unternehmen darauf verzichten, riskieren sie, ihr Geschäft auszubremsen und Marktanteile zu verlieren. Für viele deutsche Unternehmen ist das inzwischen selbstverständlich: 73 Prozent nutzen bereits Cloud-Computing, so der „Cloud-Monitor 2019“ von KPMG und Bitkom.

Die Gefahr von Datenlecks steigt

Andererseits steigt durch den Einsatz der Cloud die Gefahr von Datenlecks. Unternehmen wissen womöglich nicht immer im Detail, wo sich welche Informationen befinden, auf eigenen Systemen oder in der Cloud, und wo dort genau. Sensible Informationen können in falsche Hände geraten oder versehentlich öffentlich gemacht werden. Das ist ein großes Sicherheitsrisiko, erst recht, weil bis zu 90 Prozent aller Test- und Entwicklungsdaten immer noch nicht-anonymisiert auf Unternehmenssystemen gespeichert werden.

Bild: Delphix

Dhiraj Sehgal ist Director Product and Solution Marketing bei Delphix

Gleichzeitig wachsen die Anforderungen an die Datensicherheit: Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass sensible Informationen wie etwa personenbezogene Daten in Einklang mit Datenschutzregelungen und Compliance-Vorgaben verarbeitet werden müssen. Bei Verstößen drohen hohe Strafen, die Bußgelder können sich auf bis zu vier Prozent des jährlichen Gesamtumsatzes belaufen.

Umso alarmierender, dass 40 Prozent der Firmen, die auf die Cloud setzen, dafür keine Sicherheitsmaßnahmen definiert haben, wie der „Cloud-Monitor 2019“ feststellt.

Weder sie noch die Unternehmen, die ganz auf die Cloud verzichten, schaffen den Spagat zwischen einer einerseits sicheren und andererseits schnellen Bereitstellung von Produktivdaten.

Balance zwischen Tempo und Sicherheit

Das Dilemma könnten die Unternehmen lösen, wenn sie die Sicherheitsvorkehrungen erhöhen, ohne gleichzeitig den Datenfluss zu drosseln – wenn sie also eine Balance finden zwischen hohem Entwicklungstempo und Datensicherheit. Dazu ist ein automatisches Management der Informationen in der Cloud unabdingbar. Denn sonst können Unternehmen in der Flut ihrer gesammelten Daten untergehen, weil sie den Überblick verlieren.

Aber wie kann das funktionieren? Der Schlüssel ist eine effektive Datenstrategie, die die Reise in die und durch die Cloud begleitet – und sie gleichzeitig beschleunigt. Zentral ist dabei eine DataOps-Plattform wie die von Delphix. Sie bestimmt, wie Daten in der Cloud bereitgestellt, erreicht und kontrolliert werden:

• Die DataOps-Plattform erstellt eine virtuelle Kopie der Produktivdaten. Diese ist die Basis für die Bereitstellung der Daten in verschiedenen Entwicklungs- und Testumgebungen in der Cloud. Backups oder Wiederherstellungen von Daten sind unnötig.
• Unternehmen können mit den Daten arbeiten, wann, wo und wie sie wollen. Sie greifen auf sichere Kopien von Daten auch aus verschiedenen Quellen zu, die entweder in der Cloud oder lokal gespeichert sind.
• Mithilfe von Datenmaskierung werden sensible und personenbezogene Informationen so anonymisiert, dass Personen nicht identifiziert werden können. Gleichzeitig bleiben aber nützliche Korrelationen in den Daten für Entwicklung und Tests erhalten. Die sonst üblichen zeit- und kostenaufwändigen Prozesse zum Maskieren sensibler Informationen fallen weg. So wird auch die Einhaltung der DSGVO-Regelungen gewährleistet.

Eine DataOps-Plattform ermöglicht also das automatische, agile und sichere Verarbeiten von Daten. Sie beseitigt Datenengpässe, die in einer Cloud-Umgebung entstehen können. Unternehmen können sich darauf konzentrieren, Innovationen zu erschaffen, während die Daten in der Cloud schnell und sicher dorthin fließen, wo sie gerade gebraucht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2019
Bitglass: Cloud Security Report 2019 veröffentlicht

datensicherheit.de, 28.02.2019
Wie Datenschutzbeauftragte mit Data-Ops-Plattformen die Datensicherheit gewährleisten

[datensicherheit.de, 05.07.2019] Die Daten eines Unternehmens sind ein wertvolles Gut, das es heute mehr denn je zu schützen gilt. Ob es sich um Kundendaten handelt oder wichtiges internes Wissen, wie Baupläne; Verträge etc., ständig werden neue zum Teil riesige Datenlecks und Missbrauch von Kundendaten bekannt. Ein sehr sensibler Bereich stellt dabei die Kommunikation dar. Während des Versands von elektronischen Nachrichten sind Daten ungeschützt und so können Informationen sehr leicht abgefangen werden.

Mögliche Gegenmaßnahmen

Grundsätzlich gibtes nur zwei Möglichkeit dem entgegen zu wirken:

• Nicht mehr zu senden. Eine zwar sehr effektive Methode für den Schutz der Daten, aber mitunter auch sehr ineffektiv für Unternehmenserfolg.
• Die zweite Methode ist die Nachrichten geeignet zu verschlüsseln.

Die Kryptografie ist ein Feld, um das eigentlich kein IT-Administrator mehr herumkommt. Der Datenschutz und Datensicherheit enden für Unternehmen heute nicht mehr an der Firewall.

Buch: „Kryptografie für Dummies“

Das Buch „Kryptografie für Dummies“ richtet sich an Menschen, die mit IT-Sicherheit befasst sind, genauso, wie an Studenten, an Universitäten oder Hochschulen.

Wiley-VCH

Buch „Kryptografie für Dummies“, Verlag Wiley-VCH

Hans Werner Lang, Professor für Informatik, bietet eine Auswahl von Ideen und Verfahren der Kryptografie und deren mathematische Hintergründe, ohne dass es die Leser überfordert.Der Leser lernt unter anderem den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung zu verstehen, krypotografische Verfahren zu beurteilen und Berechnungsverfahren in Python zu programmieren.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings

[datensicherheit.de, 11.10.2018] Laut einer neuen Studie mit dem Titel Greatest Mobile Security Threats in the Enterprise macht ein gravierender Mangel an Übersicht über die genutzten Geräte und Netzwerke Unternehmen anfällig für Datenmissbrauch und Phishing-Angriffe. Die Studie, die Enterprise Mobility Exchange im Auftrag von NetMotion Software durchführte, zeigt, dass fast 50 Prozent der mobilen Arbeitnehmer während des größten Teils ihrer Arbeitszeit mit unternehmensfremden, öffentlichen Wi-Fi- und Carrier-Netzwerken verbunden sind. Von diesen 50 Prozent geben mehr als 27 Prozent an, zu über 76 Prozent der Zeit mit Netzwerken verbunden zu sein, die nicht ihrem Unternehmen gehören. Zudem verfügen mehr als 60 Prozent der Unternehmen nicht über die nötigen Tools, um zu prüfen, wann sich ein Gerät mit einem fremden Netz verbindet. Und über die Hälfte der Unternehmen sind sich nicht einmal sicher, wie sich der Geräte-Datenverkehr überwachen lässt und wie sie prüfen können, mit welchen Servern die Nutzer außerhalb der Firmen-Firewalls verbunden sind.

„Unsere Studie belegt, dass Unternehmen keine effektiven Strategien zum Schutz gegen mobile Sicherheitsbedrohungen entwerfen können, wenn sie nicht wissen, was die Geräte während eines wesentlichen Teils ihrer Nutzungszeit machen“, so Dorene Rettas, Geschäftsführerin, Enterprise Mobility Exchange. „Und mehr noch: Durch die vielfache Nutzung von Drittanbieter-Netzen entsteht ein blinder Fleck, der ausgeräumt werden muss, damit Geräte wirklich abgesichert werden können.“

Neben Datenlecks und Phishing-Angriffen hebt die Studie noch andere wesentliche Bedrohungen hervor, wie etwa unsichere Anwendungen, Spyware und Netzwerk-Spoofing. Die meisten Befragten gaben zwar an, irgendeine Form von Sicherheitsrichtlinien für Mobilgeräte zu haben, um die Risiken einzudämmen, doch rund ein Drittel setzt sie nicht aktiv durch. Und obwohl unsicheres Nutzerverhalten Unternehmensdaten gefährden kann, führen mehr als ein Drittel der Firmen (36 Prozent) keine Sicherheitsschulungen für ihre Mitarbeiter durch.

Wie die Studie weiter zeigte, bleiben viele Unternehmen selbst dann untätig, wenn sie sich der Bedrohungen bewusst sind. Fast die Hälfte der Befragten (49 Prozent) wissen nicht, wie viele Sicherheitsvorfälle mit Mobilgeräten sich bei ihnen im Vorjahr ereignet hatten. Und 66 Prozent der Unternehmen verlangen von den Benutzern nicht, sich über ein gesichertes VPN zu verbinden, um auf Unternehmensdaten zuzugreifen, und gefährden dadurch ihre internen Netzwerke.

„Die Arbeit im Büro und im Außendienst erfordert ständigen Zugang zu verschiedensten Anwendungen. Daher liegt es im eigenen Interesse eines Unternehmens, seinen Mitarbeitern sicheren Zugriff auf verschiedene Wi-Fi- und Carrier-Netze zu ermöglichen“, ergänzt Christopher Kenessey, CEO und Präsident von NetMotion. „Die Unternehmen haben jedoch noch einen weiten Weg zu gehen, um Transparenz und Kontrolle für das Geräte- und Nutzerverhalten in allen Netzwerken außerhalb der Firewall gewährleisten zu können.“

„Angesichts der großen Zahl von Außendienstmitarbeitern, die sich mit unternehmensfremden, ungeschützten Netzwerken verbinden, brauchen Unternehmen Tools zur Echtzeitsammlung von Daten, um die Sicherheitsbedrohungen für den heutigen mobilen Arbeitsplatz abzuwehren“, betont Nick McQuire, Vice President of Global Enterprise Research bei CCS Insight. „Transparenz und aussagekräftige Analysen sind nötig, damit die IT-Teams ihre Geräte und Netzwerke überwachen und so die Sicherheitsrisiken eindämmen können.“

Die Studie Greatest Mobile Security Threats in the Enterprise wurde im Juli und August 2018 in den Vereinigten Staaten durchgeführt. Dazu wurden mehr als 130 Personen in Unternehmen und Organisationen mit eigenen Mobilgeräten (Telefone, Tablets, Laptops) befragt. Die Teilnehmer kamen aus der Finanzindustrie, dem öffentlichen Sektor, dem Lagerwesen und anderen Bereichen.

Weitere Informationen zum Thema:

Enterprisemobilityexchange.com
Vollständige Studie „Greatest Mobile Security Threats in the Enterprisee“

NetMotion Software
Mobile Performance Management Software

datensicherheit.de, 27.09.2018
Venafi-Studie: Look-Alike-Domains sind Phishing-Risiko für Online-Shopper

[datensicherheit.de, 14.08.2018] Auf 3,33 Millionen Euro belaufen sich laut der Studie „Cost of a Data Breach 2018“ des Ponemon-Instituts die durchschnittlichen Kosten einer Datenpanne – Tendenz weiter steigend. Verlorene Geschäftschancen, Wiederherstellung aufgewendeter Arbeitsstunden und negative Auswirkungen auf die Reputation zählen zu den Kostentreibern. Verstöße gegen die Datensicherheit finden täglich statt, lassen sich zunehmend schlechter erkennen und somit schwerer verhindern. Mit jedem erbeuteten Datensatz verdienen Hacker bares Geld, zerstören unternehmerische Existenzen und bescheren der Weltwirtschaft empfindliche Einbußen: Bitkom beziffert allein die jährlichen Schäden der deutschen Wirtschaft auf 55 Milliarden Euro. IT-Sicherheitslücken und Datenschutzverletzungen betreffen alle Branchen, am stärksten jedoch die Energiewirtschaft, das Gesundheits- und Bankwesen sowie den öffentlichen Sektor. 81 % aller Verstöße haben laut dem 2017 Data Breach Investigation Report von Verizon ihre Ursache in laxem Umgang mit Passwörtern. Um sich vor Angriffen zu schützen und finanzielle Risiken zu senken, empfehlen die IT-Sicherheitsexperten von KeyIdentity die Multifaktor-Authentifizierung, kurz MFA.

Passwort keine Hürde

Im Zuge der Digitalisierung nimmt sowohl im privaten als auch im beruflichen Umfeld die Anzahl digitaler Identitäten massiv zu. Die Vielzahl dieser Accounts trägt dazu bei, dass Internetnutzer identische Passwörter mehrfach verwenden. Dies erhöht die Wahrscheinlichkeit, dass Hacker beispielsweise über ein Spielerforum Zugriff auf Logins am Arbeitsplatz erbeuten. Hinzu kommt die Forderung nach immer komplexeren Kennungen, ohne sie notieren zu dürfen. Später fällt das Erinnern oft schwer. 26 Passwörter brauchte ein Anwender schon im Jahr 2012 im Schnitt für seine Zwecke. Logisch, dass das gleiche Passwort oder der Einsatz mit kleinen Änderungen mehrfach Anwendung findet. Cyberkriminelle kennen die Muster und die Schwachstellen von Passwörtern. Sie sind leicht zu hacken, werden sogar im Team geteilt, lassen sich schwer merken, kommen bei mehreren Konten zum Einsatz, weisen eine geringe Entropie auf, sind somit vorhersagbar und halten Wörterbuchangriffen nicht stand.

Multiple Faktoren schützen Identitäten

Weil ein Login mit Nutzernamen und Passwort angesichts der informationstechnischen Expertise der Datendiebe schon lange keine Sicherheit mehr bietet, empfiehlt unter anderem das National Institute of Standards and Technology (NIST) Regierungsorganisationen und Bundesbehörden die viel sicherere Multifaktor-Authentifizierung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich für das Verfahren aus. MFA nutzt mindestens zwei voneinander unabhängige Komponenten, sogenannte Token, im Anmeldeverfahren. Ob Hardware-Token, beispielsweise persönlicher USB-Stick oder Fingerabdruck-Scanner, oder Push-Token, die zeitlich beschränkte Einmal-Codes via Mobiltelefon generieren – sie ergänzen die bisherigen Login-Daten und erschweren durch die kombinierte Nutzung den Identitätsdiebstahl erheblich. KeyIdentity geht mit seiner MFA-Lösung noch einen Schritt weiter, denn der Open-Source-Ansatz schließt Backdoors weitestgehend und reduziert Sicherheitslücken im Quelltext. Damit ermöglicht die Lösung eine einfache Auditierung und entspricht den Anforderungen von Institutionen mit höchsten Sicherheitsanforderungen. Die modulare Architektur und das skalierbare Design helfen IT-Security-Abteilungen, ihre MFA flexibel zu gestalten und zukunftssicher aufzustellen. Gerade Unternehmen, die auf mehrere Use-Cases wie die Absicherung von Mitarbeitern und Kunden angewiesen sind, setzen auf die Sicherheitslösung „Made in Germany“. Bestehende Authentifizierungsdienste integrieren die IT-Spezialisten aus Weiterstadt innerhalb kürzester Zeit, sodass sie für eine Implementierungsdauer von zwei Tagen bürgen. Dank einfacher Bedienbarkeit und überlegter Wahl der Token erreicht die KeyIdentity-Software schnell die Akzeptanz der Anwender.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2018
Digitale Wirtschaft: Identitätsbetrug vermeiden

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 08.03.2017
Mensch und IT: Vom Risiko- zum Sicherheitsfaktor

datensicherheit.de, 07.02.2017
Digitale Identitäten müssen bewusst geschützt werden

datensicherheit.de, 07.04.2014
Erneuter großangelegter Identitätdiebstahl: BSI informiert Betroffene

[datensicherheit.de, 08.11.2016] Centrify hat kürzlich sieben Tipps veröffentlicht, mit denen Unternehmen Cyber-Kriminalität effektiv bekämpfen können sollen. Fortbildungen der Mitarbeiter, eine solide Verteidigungsstrategie sowie erstklassige IT-Sicherheitssoftware seien u.a. essentiell, um das Risiko von Datenlecks zu minimieren.

Cyber-Sicherheit ebenso wichtig wie physische Sicherheit

Heutzutage sei Cyber-Sicherheit ebenso wichtig wie physische Sicherheit. Jedes Unternehmen müsse sich „proaktiv“ damit befassen, denn jedes Unternehmen könne angegriffen werden.
Das Risiko von Cyber-Attacken existiere auf allen Ebenen, ob im Pausenraum oder im Konferenzraum des Vorstands. Cyber-Angriffe könnten schnell kostspielig werden: Der „Ponemon’s 2016 Cost of Data Breach Study“ zufolge würden die durchschnittlichen Kosten einer Attacke vier Millionen US-Dollar betragen.

7 Tipps von Centrify

Nachfolgend sind einige „Best Practices“ von Centrify gelistet, mit denen Unternehmen Cyber-Kriminalität effektiv bekämpfen und gleichzeitig das Budget für IT-Sicherheit senken sollen:

1. Digitale Identitäten konsolidieren:
   „Verizon’s 2016 Data Breach Investigation Report“ zufolge ließen sich 63 Prozent aller Datenlecks auf schwache, voreingestellte oder gestohlene Passwörter zurückführen.
   Es sei wichtig, sich einen ganzheitlichen Überblick über alle Anwender zu verschaffen und Sicherheitsrichtlinien für Passwörter zu stärken sowie durchzusetzen. Wo immer es möglich ist, sollten Passwörter abgeschafft werden!
2. Auditieren des Risikos, das von Dritten ausgeht:
   Hacker gelangten oft über ausgelagerte IT oder Vertriebspartner von außerhalb ins Netzwerk. Unternehmen sollten Audits und Assessments durchführen, um die Sicherheit und Datenschutzstandards Dritter zu überprüfen.
3. Implementierung von Multifaktor-Authentifizierung (MFA) in allen Bereichen:
   MFA gelte als eine der effektivsten Maßnahmen, um Angreifer daran zu hindern, Zugriff auf das Netzwerk zu erhalten und zu Zielsystemen zu gelangen.
4. Single Sign-On (SSO) ermöglichen:
   SSO für Unternehmens- und Cloud-Apps spare – gemeinsam mit automatischer Provisionierung von Cloud-Applikationen und selbstständigen Passwort-Resets – Helpdesk-Zeit sowie Kosten und steigere die Effizienz der Anwender.
5. Least-Privilege-Zugänge durchsetzen:
   Rollenbasierter Zugriff, Least-Privilege und Just-in-Time-Gewährung von Rechten schützten wichtige Accounts und reduzierten die Gefahr des Datenverlusts durch böswillige Insider.
6. Steuern von Sessions privilegierter Anwender:
   Protokollierung und Überwachung aller Befehle privilegierter Anwender machten Compliance-Reports endlich wieder zur Nebensache und ermöglichten forensische Ermittlungen und tiefgreifende Analysen.
7. Das innere Netzwerk schützen:
   Netzwerksegmentierung, Isolation hochsensibler Daten sowie Verschlüsselung von Daten sowohl im Ruhezustand als auch während der Verarbeitung böten starken Schutz vor böswilligen Insidern und hartnäckigen Hackern, die es hinter die Firewall geschafft haben.

Richtige Strategie, starke Sicherheitsrichtlinien und aktive Beteiligung aller Mitarbeiter

„Es gibt kein Wundermittel gegen IT-Sicherheitsbedrohungen“, betont Michael Neumayr, „Regional Sales Director Zentraleuropa“ bei Centrify.
Aber mit der richtigen Strategie, starken Sicherheitsrichtlinien und aktiver Beteiligung aller Mitarbeiter könne das Risiko einer Cyber-Attacke drastisch minimiert werden, so Neumayr. Wenn Unternehmen die oben angeführten Schritte befolgen, könnten sie das Risiko von Cyber-Angriffen senken, die unternehmensweite Compliance verbessern und von Kostenvorteilen profitieren.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2016
Centrify-Umfrage: Große IT-Sicherheitsmängel in den meisten Organisationen

[datensicherheit.de, 16.05.2013] Der Schutz von Firmendaten muss für IT-Verantwortliche im Mittelstand die höchste Priorität besitzen. Dennoch kommt es regelmäßig zu Datenlecks, die zu kritischen Situationen führen. Das Ponemon Institute geht davon aus, dass in Deutschland bereits 39 Prozent aller Unternehmen Erfahrung mit Datenpannen oder -diebstählen gemacht haben. Im Durchschnitt kostete eine Datenpanne die Unternehmen 2,41 Millionen Euro. Auch Christian Volkmer, Datenschutzexperte und Geschäftsführer der Projekt 29 GmbH & Co. KG, weiß aus jahrelanger Erfahrung: „Datenpannen, die intern verursacht wurden, gehen zu 50 Prozent auf Fahrlässigkeit und zu 50 Prozent auf Vorsatz der Mitarbeitern zurück. Neben dem eigenen Unternehmen stellen jedoch auch Dienstleister eine Risikoquelle dar: Werden beispielsweise sensible Daten an Call-Center gegeben, muss am besten mit einem Vertragswerk sichergestellt sein, dass dort Schutzmaßnahmen eingehalten werden.“

Dabei können selbst durch kleine Fahrlässigkeiten Schäden in Millionenhöhe entstehen, die insbesondere für den Mittelstand folgenschwer sein können. Diese setzen sich meist aus folgenden Punkten zusammen: Finanzielle Aufwendungen für die Aufdeckung und Aufarbeitung der Panne, Reaktionsmaßnahmen gegenüber den Betroffenen, entgangene Umsätze sowie Kosten für die Benachrichtigung der Betroffenen. Volkmer rät deshalb zu einer übergreifenden Sicherheitspolitik, damit der Betrieb erst gar nicht in einen finanziellen Engpass gerät. Dazu gehört auch die Festlegung von Zugriffsberechtigungen: „Die Verantwortlichen entscheiden hier darüber, welcher Mitarbeiter welche Rechte bezüglich welcher Daten erhält. Entwickler benötigen beispielsweise andere Berechtigungen als Marketing-Manager. In DLP-Systemen lassen sich diese Rechte meist sehr individuell auch für die Arbeit mit mobilen Geräten abbilden.“ Aber auch allgemeinere Maßnahmen können eine gute Wirkung erzielen. Zum Beispiel kann der Transfer von Word-Dateien von vornherein gestattet, der von Excel-Tabellen dagegen untersagt werden. Außerdem kann festgelegt werden, dass der Transfer von Daten nur auf firmeneigene Geräte möglich ist, die anhand einer ID-Nummer erkannt werden.

Weitere Informationen zum Thema:

projekt29.de
Willkommen bei Projekt 29