[datensicherheit.de, 24.03.2021] Vectra AI hat nach eigenen Angaben bei EMA (Enterprise Management Associates) eine internationale Studie zum Thema Cloud-Sicherheit in Auftrag gegeben. Ziel sei es gewesen herauszufinden, in welchen Bereichen IT-Sicherheitsexperten auf dem Weg zu besseren Cloud-Sicherheitspraktiken sind. Fragestellungen waren demnach unter anderem, ob die Verantwortlichkeiten im Unternehmen klar sind, worin die größten Bedrohungen liegen und wie Unternehmen bei der Cloud-Sicherheit vorgehen. Ein essentielles Fazit der Studie von Vectra: „Neben modernen Technologie gilt es generell, die richtige Kultur zu etablieren, um die optimale Sicherheit für cloud-basierte Daten, Anwendungen und Workloads zu realisieren.“

Unternehmen müssen festlegen, wer intern für Sicherheit von Cloud-Assets verantwortlich ist

Das Modell der geteilten Verantwortung besage, dass Cloud-Provider für die „Sicherheit der Cloud“ und Kunden für die „Sicherheit in der Cloud“ verantwortlich seien. Unternehmen müssten daher festlegen, wer intern für die Sicherheit von Cloud-Assets verantwortlich ist. Das IT-Sicherheitsteam scheine vielerorts eine naheliegende Antwort zu sein, „wie 46 Prozent aller Befragten angaben, doch 28 Prozent sehen hier das Cloud-Operations-Team in der Verantwortung“. Neun Prozent hätten angegeben, dass das Netzwerkbetriebsteam in erster Linie für die Cloud-Sicherheit verantwortlich sei. Sechs Prozent hätten geantwortet, dass die Verantwortung von zwei oder mehr Gruppen getragen werde, in der Regel dem IT-Sicherheitsteam und entweder dem Cloud-Operations-Team oder Infrastrukturteam geteilt worden sei.
„Die Teilnehmer der Vectra-Umfrage sollten auch die Bedrohungen für cloud-basierte Assets bewerten. Der größte Prozentsatz (16%) entfiel hier auf Datenverlust durch eine falsche Konfiguration der Cloud-Konten, gefolgt von Datenexfiltration durch böswillige Außenstehende (14%).“ Als weitere Risiken hätten die Befragten Account-Hijacking (11%), eine fehlende Cloud-Sicherheitsarchitektur und -strategie (10%) sowie Insider-Bedrohungen (9%) genannt.

Sicherheitsbeauftragte in Anwendungsentwicklung einbeziehen, um Erstellung sichereren Cloud-Codes zu gewährleisten

„Sicherheitsexperten vertreten die Auffassung, dass Sicherheitsbeauftragte in die Anwendungsentwicklung einbezogen werden sollten, um die Erstellung von sichererem Cloud-Code zu gewährleisten.“ Nötig sei auch ein kultureller Wandel, der einen neuen Ansatz und andere Tools als bislang verwendet erfordere. Wichtiger denn je sei, „dass Sicherheits- und Entwicklungsteams effektiv zusammenarbeiten, um Schwachstellen zu testen, zu identifizieren und zu beheben, bevor diese von bösartigen Akteuren ausgenutzt werden“.
Eine wichtige Rolle bei der Cloud-Sicherheit spiele auch die Automatisierung zur Absicherung von Cloud-Implementierungen. Um den Stand der Automatisierung in den Unternehmen zu ermitteln, habe EMA die Teilnehmer gefragt, welchen von fünf verschiedenen Automatisierungsgraden sie bei der Absicherung ihrer Cloud-Implementierungen erreicht hätten. Das Ergebnis: „Die meisten Unternehmen befinden sich irgendwo zwischen dem geringsten Automatisierungsgrad, also der manuellen Verwaltung von Richtlinien und Prozeduren, und dem höchsten Automatisierungsgrad, bei dem die Automatisierung umfassend ist und alle unternehmensweit genutzten Cloud-Domains abdeckt.“

Moderne Erkennungs- und Reaktionstechnologien versprechen besseren Einblick in Cloud-Datenverkehr

Hinsichtlich der Wahl geeigneter Tools zum Schutz von cloud-basierten Assets scheine die Mehrheit der Unternehmen ein reiferes Niveau erreicht zu haben. Herkömmliche Sicherheitskontrollen, wie sie im internen Rechenzentrum zum Einsatz kämen, auf cloud-basierte Assets anzuwenden, habe sich als ineffektiv erwiesen. Der größte Prozentsatz der Befragten habe angegeben, dass ihre Unternehmen moderne cloud-native Überwachungstechnologien zum Schutz von Cloud-Anwendungen und -Workloads einsetzten (35%), gefolgt von hybriden Lösungen, also sowohl Technologie für interne Rechenzentren als auch Technologie von Cloud-Anbietern (30%). Nur 20 Prozent aller Befragten hätten angegeben, dass sie bestehende On-Premises-Kontrollmaßnahmen auf cloud-basierte Anwendungen und Workloads anwendeten. „Dieser Prozentsatz ist erfreulicherweise rückläufig und wird wahrscheinlich weiter sinken. Nur sieben Prozent der Sicherheitsteams verlassen sich auf proprietäre Sicherheitskontrollen, die von den einzelnen Cloud-Anbietern angeboten werden, um ihre Workloads und Anwendungen zu schützen.“
Neuere Tools wie CSPM (Cloud Security Posture Management), die bei der Erkennung und Behebung von Fehlkonfigurationen in der Cloud helfen sollten, seien bei den befragten Unternehmen noch nicht weit verbreitet. Moderne Erkennungs- und Reaktionstechnologien versprächen einen besseren Einblick in den Cloud-Datenverkehr. Tatsächlich gäben 80 Prozent der Befragten an, dass sie wüssten, dass die NDR-Technologie auf den Cloud-Datenverkehr angewendet werden könne. Von diesen Befragten sähen 48 Prozent den Hauptwert in der Fähigkeit, Bedrohungen und Anomalien in Echtzeit zu erkennen. 21 Prozent sähen den größten Vorteil in der Unterstützung von Reaktionsmaßnahmen wie Untersuchung und Schadensbegrenzung.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

datensicherheit.de, 27.08.2020
VECTRA: Kritische Systeme auf den Prüfstand stellen

VECTRA
EMA: Securing Cloud Assets – How Security Pros Grade Their Own Progress

[datensicherheit.de, 11.02.2021] Thorsten Krüger, „VP Sales DACH“, „CEE“ und „CIS“ bei Thales, geht in seiner aktuellen Stellungnahme auf den sich abzeichnenden IT-Security-Trend 2021 ein – „Supply Chain“-Angriffe. Es gebe anlässlich des „SolarWinds“/„Sunburst“-Vorfalls eine ganze Menge „Lessons Learned“ für die IT-Security-Community.

Foto: Thales

Thorsten Krüger: Starke Verschlüsselung und Zugriffskontrolle sowie Sensibilisierung der Mitarbeiter von besonderer Bedeutung

SolarWinds / Sunburst und EMA: Vorfälle lassen Zunahme der Angriffe auf Supply Chain befürchten

Krüger führt aus: „Es gibt anlässlich des ,SolarWinds‘/,Sunburst‘-Vorfalls eine ganze Menge ,Lessons Learned‘ für die Security-Community – nicht nur, dass in Deutschland und außerhalb zahlreiche Behörden betroffen sind. Ohne in die bislang bekannten Details gehen zu wollen, lässt sich auch mit Blick auf die bekanntgewordenen Angriffe auf die mit der Zertifizierung des Impfstoffs des Herstellers Pfizer/Biontech beauftragte EU-Behörde EMA feststellen, dass ,Supply Chain‘-Angriffe zunehmen werden.“

Dass wie in diesem Fall sogar die gestohlenen Daten veröffentlicht worden seien, sei einer neuen Qualität der Ransomware-Angriffe geschuldet, bei der zum einen die Daten verschlüsselt und kopiert, zum anderen aber als sogenannte „Double Extortion“ ins Netz gestellt würden. Angreifer hätten es letztendlich auf Daten abgesehen und verfolgten den Weg der Daten von einem Unternehmen zum anderen, um sich das schwächste und am einfachsten zu knackende Glied in der Kette herauszusuchen. Diese Strategie komme immer dann zum Tragen, „wenn professionelle Angreifer hinter den Attacken stehen, die viel Zeit und Aufwand in die Erkundung ihres Ziels gesteckt haben“. Dies mache sie so gefährlich und den Schutz vor ihnen so aufwändig.

Supply Chain: Angriffe über Kompromittierung eines Softwarecodes oder einer Anwendung

Krüger erläutert kurz einen „Supply Chain“-Angriff: „Klassisch meint der Begriff die Kompromittierung eines Softwarecodes oder aber einer Anwendung, die von einem Drittanbieter entwickelt wird und dann in anderer weitverbreiteter Software oder Systemen eingesetzt wird.“ Beispiele gebe es seit „Target 2014“ genug – das Phänomen sei daher bekannt, aber das Ausmaß und die Raffinesse hinter den neuerlichen Angriffen lasse aufhorchen und für die Zukunft nichts Gutes erahnen.

Angesicht des Ausmaßes der Vernetzung der heutigen Wirtschaft und der Abhängigkeit von funktionierenden Lieferketten, lasse sich der Begriff „Supply Chain“ nämlich noch weiter fassen, wenn man ihn als „Value Chain“- oder noch weiter als „Third Party“-Attacke verstehe. Angreifer sehen sich demnach die gesamte Lieferkette an, „sie haben Zeit, warten ab, suchen nach Schwachstellen, beispielsweise in Buchhaltungssoftware, die bei einigen Firmen im Einsatz ist und auch bei den Zulieferern oder Zweigstellen im Ausland“.

Schutz der Supply Chain: Komplette Lieferketten muss sicher sein

Das Einfallstor müsse nicht groß sein, bleibe es jedoch lange unbemerkt, wie bei den vielen bekanntgewordenen Fällen, könnten sich die Angreifer in Seelenruhe ausbreiten und sich nach und nach Zugriff auf die für sie interessanten Datensätze verschaffen. Die Bedrohung sei inzwischen so groß, dass in einer Studie des US-amerikanischen Security-Dienstleisters BlueVoyant mehr als 80 Prozent der Befragten bestätigt hätten, bereits Opfer eines solchen indirekten Angriffs gewesen zu sein.

Angesichts der zunehmenden Angriffe auf und über Zulieferer und Drittanbieter-Firmen sollten Unternehmen deshalb mehr denn je darauf achten, wie ihre Lieferketten, „und zwar alle, von der Softwareentwicklung bis zu den tatsächlichen Lieferprozessen selbst“, in Sachen IT-Sicherheit aufgestellt sind. Krüger betont: „Hier ist neben einer starken Verschlüsselung und Zugriffskontrolle die Sensibilisierung der Mitarbeiter von besonderer Bedeutung. Nur wer seine Lieferketten im Blick hat, kann sich vor Cyber-Attacken schützen, auch wenn es keinen vollumfänglichen Schutz geben kann.“

Weitere Informationen zum Thema:

Deutschlandfunk, Peter Welchering, 09.01.2021
IT-SicherheitSolarwind-Attacke betrifft auch deutsche Ministerien und Firmen

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS / Beispiel EMA zeigt, dass Cyber-Angriffe auf Pharmaunternehmen in aktueller Situation keine Überraschung sind

BlueVoyant
DOWNLOAD REPORT: Global Insights: Supply Chain Cyber Risk / Managing Cyber Risk Across the Extended Vendor Ecosystem

[datensicherheit.de, 11.12.2020] Wie in der Nacht zum 10. Dezember 2020 bekannt geworden sei, hätten Hacker einen gezielten Angriff auf die Europäische Arzneimittel-Behörde (EMA) verübt – dabei seien „einige Dokumente“ im Zusammenhang mit dem Zulassungsantrag für den von beiden Pharma-Unternehmen gemeinsam entwickelten „COVID-19“-Impfstoff entwendet worden. Laut eigener Aussage der Unternehmen habe dieser Vorfall keine Auswirkungen auf die Produktion und Auslieferung des Impfstoffes.

Foto: G DATA

Tim Berghoff: Angreifer gefährden ganz real Leib und Leben

Verlust unschätzbar wertvoller Forschungsergebnisse in Obhut der EMA drohten

Dennoch könne man hierbei von einem „besorgniserregenden Datenleck“ sprechen, ziele dieser Angriff doch „mitten ins Herz der aktuell mitunter kritischsten Infrastruktur Europas“. Man stelle sich nur vor, der Angriff hätte zu einem schwerwiegenden Verlust der unschätzbar wertvollen Forschungsergebnisse geführt und dadurch eine veritable Verzögerung der Auslieferungskette nach sich gezogen.
„Die gesamte Weltbevölkerung erwartet derzeit sehnsüchtig die Frei- und Ausgabe des ,COVID-19‘-Impfstoffs, denn er verspricht nicht weniger als die Wiederherstellung des schmerzlich vermissten Normalzustandes und damit den Ausweg aus dem Lockdown-Teufelskreis.“

KRITIS wie z.B. die EMA müssen besser vor Cyber-Attacken geschützt werden

Zwar sei bisher nicht bekannt, wer sich für den Cyber-Angriff auf die EMA verantwortlich zeichnet. Doch eines sei bereits klargeworden: Die kritische Infrastrukturen (KRITIS) müssten besser vor Cyber-Attacken geschützt werden. „Anstatt über ein Verbot effektiver Kryptographie oder ,Staatstrojaner‘ zu sprechen, sollte die Bundesregierung sich lieber um einen effektiven Schutz der kritischen Infrastruktur kümmern“, betont Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.
Angriffe auf Pharmaunternehmen seien in der aktuellen Situation – leider – keine Überraschung. „Der Gesundheitsbereich wird auch in der ,Pandemie‘ regelmäßig angegriffen. Damit gefährden die Angreifer ganz real Leib und Leben der Menschen – das ist verabscheuungswürdig“, so Berghoff.

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2020
EMA: Europäische Arzneimittelagentur gehackt / IT-Sicherheitsmaßnahmen müssen erhöhter Bedrohungslage angepasst werden | Ein Kommentar von Tanium

[datensicherheit.de, 10.12.2020] Wie am Dienstagabend (08.12.2020) bekannt wurde, ist die Arzneimittelagentur der EU, EMA, mit Sitz in Amsterdam einer Cyberattacke zum Opfer gefallen. Bei dieser wurden Dokumente im Zusammenhang mit dem Zulassungsantrag für den COVID-19-Impfstoff von Pfizer und Biontech entwendet. Quelle dieser Information ist eine Mitteilung des Pharmakonzerns Pfizer, der weiterhin betonte, dass die IT-Systeme der beiden Healthcare-Unternehmen von der Attacke unberührt blieben. Zuvor hatte die EMA den Angriff gemeldet und laut einer eigenen Erklärung mit einer umfangreichen Untersuchung begonnen. Die Agentur betonte, dass der Vorfall keine Auswirkungen auf die Prüfungsfristen des Impfstoffes habe.

Sensibelste Organisation im Kampf gegen COVID-19 als Ziel

Bei dieser jüngsten Attacke wurde eine der sensibelsten Organisationen im Kampf gegen den Virus zur Zielscheibe – eine Tatsache, die nur den anhaltenden Trend einer erhöhten Gefahrenlage im Zuge der aktuellen Pandemie zu belegen scheint. Besonders Gesundheitseinrichtungen standen und stehen hier besonders im Fokus, da Angreifer – von staatlich unterstützten Spionen bis hin zu Cyberkriminellen – immer häufiger versuchen, die neuesten Informationen über den Verlauf der Pandemie zu erhalten. Oliver Cronk, Chief IT Architect EMEA beim US-Cybersicherheitsunternehmen Tanium ordnet den Vorfall wie folgt ein: „Es ist enttäuschend zu hören, dass die Europäische Arzneimittelagentur (EMA) im Visier von Cyber-Angreifern steht, aber leider kommt dies nicht überraschend. Jede Organisation, die über wertvolle Daten verfügt, wird wahrscheinlich irgendwann ins Visier genommen, und im Moment gibt es wenige Dinge, die wertvoller sind als Covid-19-Impfstoffdaten“.

Oliver Cronk, Chief IT Architect EMEA, Bild: Tanium

Wege zum Schutz von Unternehmen

Bezüglich der Frage, wie Unternehmen – auch aus dem Bereich Kritische Infrastrukturen –  sich und ihre kritischen Geschäfts- und Kundendaten vor diesem Hintergrund schützen können, sagt Oliver Cronk: „Es stimmt zwar, dass mutmaßliche Angriffe von Nationalstaaten wie dieser aufgrund ihrer Raffinesse schwer abzuwehren sind – aber man darf nicht vergessen, dass es weitaus unwahrscheinlicher ist, dass ein Angriff erfolgreich sein wird, wenn grundlegende Sicherheitsmaßnahmen befolgt werden. Zu diesen Maßnahmen gehört es sicherzustellen, dass regelmäßig IT-Patches und Updates eingespielt werden, dass eine Strategie zur Sicherung von Mitarbeitern an entfernten Standorten entwickelt wird und dass alle Mitarbeiter darin geschult werden, nicht auf Links in bösartigen Phishing-E-Mails zu klicken. Diese Maßnahmen mögen offensichtlich klingen, aber sie werden oft nicht durchgeführt, was Angreifern einen einfachen Weg in das Netzwerk des Unternehmens bietet.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher

datensicherheit.de, 04.09.2020
Sichtbarkeit im Netzwerk: Was die Neue Normalität für Unternehmen bedeutet

[datensicherheit.de, 12.11.2011] Der Archivierungs- und Informationsmanagement-Spezialist ARTEC IT Solutions warnt vor möglichen Risiken für deutsche Unternehmen bei der Nutzung von Rechenzentren außerhalb der EU:
Mit zunehmender Beliebtheit von „Cloud Storage“ böten auch immer mehr ausländische Anbieter ihre Leistungen auf dem deutschen Markt an. Wie die Datenschutzbeauftragten des Bundes und der Länder kürzlich betont hätten, ergäben sich für deutsche Unternehmen jedoch beispielsweise bei der Nutzung US-amerikanischer „Cloud Services“ teilweise erhebliche rechtliche Probleme.
Als Anbieter von Lösungen für die Archivierung und das digitale Informationsmanagement könnten sie Unternehmen nur eindringlich dazu raten, sehr genau zu prüfen, mit welchem Anbieter sie sich in Sachen Cloud-Speicher einließen, sagt Jerry J. Artishdad, „Managing Director“ der ARTEC IT Solutions AG. Wie von den Datenschutzbeauftragten ganz klar herausgestellt, stelle die Speicherung unternehmensrelevanter Daten in US-Rechenzentren aus rechtlicher Sicht eine große Herausforderung dar – wenn Unternehmen Daten in den USA hosteten, dann sei dies nur unter ganz bestimmten Voraussetzungen möglich. Dabei kämen etwa Fragen der Anerkennung des EU-Rechts, der Speicherung personenbezogener Daten, der Weitergabe von Daten an US-Behörden, etwa im Rahmen des „Patriot Act“, sowie viele weitere Aspekte ins Spiel. Wer diesen Schritt geht, sollte sich in jedem Fall rechtlich gut beraten lassen, damit nicht später, etwa im Rahmen einer Steuerprüfung, eine böse Überraschung folge.
Um die Datenhaltung in Cloud-Infrastrukturen generell sicherer zu machen, habe ARTEC seine Archivierungs- und Informationsmanagement-Appliances wie „EMA“ und „ediscovery“ (globale Suche) mit einem umfangreichen Security-Konzept versehen. Informationen und Inhalte seien damit unabhängig vom Speicherort jederzeit zugänglich und per Volltextsuche recherchierbar. Durch die Appliance-basierte Verschlüsselung und die sichere Verwaltung des Zugangsschlüssels verblieben Hoheit und Kontrolle über die gespeicherten Daten jederzeit komplett beim Anwender. Darüber hinaus sei es bei Bedarf jederzeit problemlos möglich, archivierte Daten auf einen anderen Speicher zu migrieren.

[datensicherheit.de, 01.10.2011] Nach einer mehrmonatigen Verzögerung ist Ende September 2011 durch den Bundesrat das sogenannte „Steuervereinfachungsgesetz“ beschlossen worden. Für Unternehmen entfällt in diesem Zuge aufgrund einer EU-Vorgabe die Verpflichtung, elektronisch, d.h. per E-Mail verschickte Rechnungen mit einer prüf- und dokumentierbaren, qualifizierten digitalen Signatur zu versehen:
ARTEC IT Solutions, nach eigenen Angaben Spezialist für digitales Informationsmanagement und rechtssichere Archivierung, sieht sich durch die neuen Richtlinien in seiner bisherigen Strategie bestätigt und betont gleichzeitig die Bedeutung von fortgeschrittenen Signaturen und Zeitstempeln beim Umgang mit geschäftlich relevanten Daten. Für den Versand von Rechnungen per E-Mail beziehungsweise den Umsatzsteuerabzug stelle die neue Gesetzgebung durch den Wegfall der aufwändigen und teuren qualifizierten Signaturen eine Vereinfachung und Entbürokratisierung dar, sagt Jerry J. Artishdad, „Managing Director“ der ARTEC IT Solutions AG. Sie seien allerdings ohnehin bereits von Beginn an in ihrer Entwicklung einen anderen Weg gegangen und hätten sich stattdessen für den konsequenten Einsatz von fortgeschrittenen Signaturen entschieden. Die neue Gesetzgebung bestätige sie nun in ihrer Ansicht, dass dies der bessere Weg sei. Dank ihres eigenen Signaturservers „ANA Automated Network Administrator“ werde jede E-Mail signiert, ohne dass für den Kunden ein Mehraufwand entstehe. Dies sei wichtig, da es unter anderem für steuerlich relevante Dokumente wie Rechnungen auch grundsätzliche Aufbewahrungsvorschriften gebe. Digital verschickte Rechnungen müssten in der gleichen Form, also ebenfalls digital, aufbewahrt werden. Dabei gebe es klare Spielregeln, die beispielsweise die Unveränderbarkeit und Revisionssicherheit solcher Archivdaten beträfen. Fortgeschrittene Signaturen und Zeitstempel seien im Rahmen der Langzeit-Archivierung digitaler Informationen eine wichtige Voraussetzung, um die Rechtssicherheit eines Archivs zu gewährleisten. Sie sorgten für einen zuverlässigen Schutz der Inhalte und garantierten die Unverändertheit der Daten.
ARTEC IT Solutions biete im Rahmen seiner „EMA“-Archivierungslösungen von Anfang an bereits standardmäßig durch eine Kombination aus elektronischen Zeitstempeln und Verschlüsselung Schutz vor der nachträglichen Manipulation von Daten – und dies ohne die vorher notwendigen, kostenintensiven qualifizierten Signaturen. Mit diesen Sicherheitsmechanismen könne zu jeder Zeit die Unverändertheit der Dokumente belegt werden Die „EMA“-Produkte, die als fertig konfigurierte, sofort einsetzbare Appliances ausgelegt seien, deckten die rechtskonforme Archivierung aller geschäftlich relevanten Informationen ab, von E-Mails über Files, gedruckte und gescannte Dokumente bis hin zu Telefon- und Sprachdaten.

Weitere Informationen zum Thema:

ARTEC
IT Solutions