Von unserem Gastautor Anurag Kahol, CTO, Bitglass

[datensicherheit.de, 18.02.2019] Traditionell richtet sich das Augenmerk bei IT-Sicherheitsmaßnahmen vornehmlich darauf, Risiken durch externe Bedrohungen zu minimieren und Angriffsvektoren zu schließen. Mit neuen Technologien sowie den erhöhten Anforderungen an die Datensicherheit rücken allerdings auch Bedrohungen, die innerhalb der Organisation entstehen, in den Fokus. Die Einführung von Cloudanwendungen und die gestiegene Nutzung von Privatgeräten für geschäftliche Aufgaben haben die Prävalenz dieser Bedrohungen deutlich erhöht, da sensible Informationen viel leichter zugänglich sind.

Drei Kategorien von Insider-Bedrohungen

Nicht alle unternehmensinternen Sicherheitsrisiken sind absichtlich durch Mitarbeiter verursacht. Doch unabhängig davon, ist das Ergebnis stets dasselbe: Der Verlust vertraulicher Daten. Allgemein können Insider-Bedrohungen in drei Kategorien unterteilt werden:

1. Akteure mit bösen Absichten
   Ob Rache am Arbeitgeber, Wirtschaftsspionage oder persönliche Bereicherung: Akteure mit derartigen Motiven gehen mit dem Vorsatz, Unternehmensinformationen zu stehlen, ans Werk. Zwar ist diese Gruppe eher eine Ausnahme, jedoch ist der Schaden, die sie anrichten kann, erheblich. Da sie über legitime Zugangsdaten verfügen, können sie jederzeit auf sensibelste Informationen zugreifen, ohne einen Sicherheitsalarm auszulösen.
2. Unachtsamkeit von Mitarbeitern
   Während verärgerte Mitarbeiter zweifelsohne eine Sicherheitsbedrohung darstellen, können loyale, jedoch nachlässige Mitarbeiter in dieser Hinsicht ebenso problematisch sein. Sicherheitsrisiken können beispielsweise unbeabsichtigt entstehen, wenn Mitarbeiter unterwegs ungesichertes öffentliches WLAN nutzen, Anmeldeinformationen verlieren, auf verdächtige E-Mail-Links klicken, ihr Mobilgerät unbeaufsichtigt lassen oder versehentlich sensible Informationen mit Unbefugten teilen. Jedes dieser Missgeschicke eröffnet Kriminellen ein Einfalltor, das unter gewöhnlichen Betriebsbedingungen nicht bestanden hätte.
3. Externe Dienstleister
   Bei der Planung und Anpassung von Sicherheitsstrategien werden Dritte, beispielsweise Dienstleister, von Organisationen häufig übersehen. Viele Mitarbeiter von Drittanbietern, wie zum Beispiel Agenturen, agieren als voll integrierte Mitglieder einer Organisation. Sie erhalten oft legitime IT-Anmeldeinformationen, um gemeinsam Dokumente über Cloud-Laufwerke auszutauschen. Auch sie können daher, ebenso wie interne Mitarbeiter, über detaillierte Kenntnisse der internen Prozesse und Kontrollmechanismen verfügen.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Schutzmaßnahmen gegen interne Bedrohungen und Account-Missbrauch

Neben den typischen Insider-Bedrohungen gibt es auch Attacken, die zwar von externen Angreifern durchgeführt werden, sich allerdings das Vertrauen zu Mitarbeitern der Organisation zu Nutze machen. Kapern Hacker einen Account, nachdem sie legitime Anmeldedaten – beispielsweise durch Social Engineering oder Spoofing – erbeutet haben, kann es sehr lange dauern, bis dies der IT-Verwaltung auffällt, da anormales Verhalten schwer zu erkennen ist. Währenddessen können die Unbefugten sich jedoch große Mengen an sensiblen, internen Daten aneignen. Ein hohes Maß an Misstrauen gegenüber Mitarbeitern ist im Sinne der Datensicherheit bei Cloud-Apps daher durchaus angemessen. Um diese effektiv schützen zu können, sollten jedoch weitere Maßnahmen ergriffen werden:

• Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM): Alphanumerische Passwörter bieten keine ausreichende Account-Sicherheit. Egal ob ein verärgerter Mitarbeiter oder ein böswilliger Akteur, der sich unerlaubt Zugriff verschafft hat: Um die „guten“ von den „bösen“ Nutzern unterscheiden zu können, muss eine weitere Sicherheitsebene durch Identitäts- und Zugriffsmanagement eingezogen werden. Dies geschieht durch Multi-Faktor-Authentifizierung (MFA) und kontextbezogene Zugriffskontrolle, die etwa Abteilungszugehörigkeit und den geografischen Standort berücksichtigt. Zudem verhindert eine Session-Verwaltung, die inaktive Benutzer automatisch aus Unternehmensanwendungen ausloggt, unbefugten Zugriff und den unautorisierten Gebrauch des Accounts.
• Data Loss Prevention (DLP): Der Einsatz von Cloud DLP ermöglicht es den Mitarbeitern, sicher zu arbeiten – wo immer sie wollen, wann immer sie wollen und von den Geräten ihrer Wahl. Ein typisches Cloud-DLP-Angebot sollte Wasserzeichen zur Nachverfolgung, Verschlüsselung auf Datei- und Feldebene, Redaktions- und andere Funktionen beinhalten, die sicherstellen, dass sensible Daten nie in die falschen Hände geraten.
• Automatisierung: In der heutigen datengetriebenen Geschäftswelt genügt es nicht mehr, potenzielle Cloud-Sicherheitsbedrohungen manuell zu identifizieren und zu analysieren. Automatisierungslösungen nutzen maschinelles Lernen, um bösartiges oder verdächtiges Verhalten zu erkennen: Beispielsweise Mitarbeiter, die auf Dokumente zugreifen, die für ihre Arbeit nicht relevant sind, oder Mitarbeiter, die plötzlich untypisch große Mengen an vertraulichen Informationen herunterladen.
• Sicherheitstraining: Während die Technologie einen wichtigen Beitrag zur Verbesserung der Datensicherheit leistet, kann auch eine so einfache Maßnahme wie die Schulung der Mitarbeiter eine Schlüsselrolle spielen. Regelmäßige Updates und Auffrischungskurse sorgen dafür, dass der Datenschutz im Vordergrund steht und die Mitarbeiter über die neuesten Best Practices auf dem Laufenden bleiben. Durch die Diskussion über die Bedeutung der Verteidigung von Daten und die Folgen einer Nichtbeachtung können Risiken wie Diebstahl und Datenverlust reduziert werden.

Mit dieser robusten Sicherheitsstrategie können Unternehmen Cloud-Technologien vorteilhaft für ihre Business-Agilität nutzen und die damit verbundenen Schwachstellen ausmerzen. Auf diese Weise kann das Unternehmen rund um die Uhr sowohl die Datensicherheit als auch eine optimale Effizienz der Betriebsabläufe gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

Von unserem Gastautor Jens Freitag, Security Specialist bei Tenable

[datensicherheit.de, 02.10.2018] Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit, so das Versprechen. Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.

Bild: Tenable

Jens Freitag, Security Specialist bei Tenable

Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die „2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security‑Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.

Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen.

Traditionelles Schwachstellenmanagement muss überdacht werden

Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.

• Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.
• Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?
• Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build‑Prozesse zu bewerten, wenn sie erstellt werden.

Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud‑Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT‑Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor

datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware