[datensicherheit.de, 26.11.2020] HP geht in einer aktuellen Stellungnahme auf die Frage ein, wie Hacker an fremde Zugangsdaten und Passwörter gelangen: Sie fragen einfach danach. Schmeicheleien, gefährliche Neugier oder falsch verstandene Hilfsbereitschaft gerade in der Vorweihnachtszeit könnten die „Türöffner“ sein. HP warnt vor den sechs häufigsten Psycho-Tricks Cyber-Krimineller.

6 Psycho-Tricks Cyber-Krimineller laut HP

HP geht auf die psychologischen Grundlagen von Social-Engineering-Angriffe ein – es gehe um die Kunst, „jemanden dazu zu bringen, Dinge zu tun, die er oder sie eigentlich nicht tun sollte“. Die Angreifer bedienten sich dabei tief verwurzelten Mechanismen der menschlichen Psyche, um ihr Gegenüber zu manipulieren. Sie schalteten die gesunde Skepsis aus und verleiteten zu folgenreichen Handlungen. Dabei seien die Psycho-Tricks verblüffend simpel:

• Schmeicheleien als Türöffner
  Für Schmeicheleien sei jeder empfänglich: Cyber-Kriminellen nutzten menschliche Schwächen wie Eitelkeit und Stolz aus. „Berichten Mitarbeiter in den Sozialen Netzwerken über ihre Errungenschaften oder Erfolge verwenden Hacker diese Infos gerne, um durch Schmeicheleien an sensible Daten zu kommen.“
• Hilfsbereitschaft ausnutzen
  Die ureigene Hilfsbereitschaft werde ausgenutzt, hätten doch die meisten Menschen einen mehr oder weniger starken Drang, anderen Menschen zu helfen – Hacker machten sich diese edle Motiv zunutze. Dabei nutzten sie saisonale Gelegenheiten wie die Vorweihnachtszeit oder sie erfänden eine Notsituation, bei der sie auf die Hilfsbereitschaft ihrer Opfer vertrauten. „So geben sich die Angreifer zum Beispiel als gestresste Kollegen aus, die unter Druck stehen und dringend Unterstützung brauchen.“ Besonders bei großen Firmen sei eben die Wahrscheinlichkeit hoch, „dass sich nicht alle Mitarbeiter untereinander kennen und deswegen in Bezug auf Firmenzugehörigkeit oder Kompetenzen leicht getäuscht werden können“. Spendenaufrufe in der Weihnachtszeit seien ein beliebtes Mittel Cyber-Krimineller.
• Druck aufbauen und Angst schüren
  In einer Stresssituation reagierten Menschen anders – kritisches Hinterfragen falle dann oft unter den Tisch. Diese Tatsache nutzten Angreifer aus und drohten mit schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln. „Ein beliebtes Beispiel sind Mahngebühren in gefälschten Rechnungs-Mails.“ Eine andere Methode der Phishing-Betrüger sei das Erzeugen von künstlichem Zeitdruck: Mit Sätzen wie „Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr“ gäben sich Angreifer als Vorgesetzte oder Behörde aus und nutzten so die natürliche Hierarchie (in Unternehmen) aus.
• Auf Gemeinsamkeiten setzen
  Indem Cyber-Kriminellen „vermeintliche Gemeinsamkeiten anführen“, schafften sie das notwendige Vertrauen für ihre weiteren Machenschaften. Da werde auf ein kürzlich geführtes Gespräch zu einem Thema verwiesen oder Detailinformationen angeführt, die theoretisch nur die jeweilige Person und ihr Gesprächspartner kennen könnten. Das Wissen darüber bezögen die Angreifer aus Lauschangriffen oder von Konten in Sozialen Medien.
• Neugier wecken
  Die menschliche Neugier sei noch immer einer der sichersten Wege, um Kapital zu schlagen. Als Aufhänger nutzten Cyber-Kriminellen bevorzugt aktuelle Themen. Mit Anklicken des infizierten Dateianhangs in einer E-Mail würden den Mitarbeitern vermeintlich brisante Informationen in Aussicht gestellt oder „schockierende Bilder“ zu aktuellen Ereignissen versprochen.
• Belohnung versprechen
  Spam- und Phishing-Betrüger versuchten, die menschliche Gier anzusprechen. Dazu reichten einfache Versprechen aus: Eine Belohnung oder mögliche Vorteile etwa durch Mitarbeiterrabatte würden in Aussicht gestellt. „Besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen, reißt die Betrugswelle nicht ab.“

HP warnt vor Vertrauensmissbrauch

„Gegen Lügengeschichten, Manipulation oder Schmeichelei ist niemand immun. Die Social-Engineering-Angreifer verwenden dafür Informationen, die sie aus Lauschangriffen oder dem Ausspionieren Sozialer Medien gewonnen haben“, erläutert Jochen Koehler, „Sales Director Security Solutions“ bei HP. Er warnt: Hätten sie das Vertrauen ihres Gegenübers gewonnen, versuchten sie mit Hilfe von mit Malware infizierten E-Mail-Anhängen, kompromittierten Links oder durch die Preisgabe sensibler Daten tief ins Unternehmensnetzwerk vorzudringen

HP empfiehlt Micro-Virtualisierung für einzelne Anwendungen

Mit klassischen Sicherheitslösungen kämen Unternehmen nicht gegen diese raffinierten Methoden an. Einzige sinnvolle technische Schutzmaßnahme für diese Art von Angriffen sei neben der stetigen Sensibilisierung der Mitarbeiter die Isolation der jeweiligen Anwendung durch Micro-Virtualisierung. Koehler: „Mit einer Lösung wie ,HP Sure Click Enterprise‘ wird jede riskante Anwenderaktivität wie das Downloaden und Öffnen eines Dokuments in einer eigenen Micro-Virtual-Machine gekapselt.“ Eine mögliche Schädigung durch Malware bleibe dadurch immer auf die jeweilige Micro-VM beschränkt.

Weitere Informationen zu Thema:

datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen

[datensicherheit.de, 03.11.2020] Hinsichtlich der aktuellen Situation habe das bekannte Credo „Hoffe das Beste, plane für das Schlimmste“ Hochkonjunktur – nach dem ersten Krisenmanagement zu Beginn der „Pandemie“ sei jetzt neben „Business Continuity“ gerade in der aktuellen Phase eine besonders gute Abwehr gegen Cyber-Attacken gefragt. In einer aktuellen Stellungnahme benennt HP hierzu „drei grundlegende Schritte“.

Cyber-Sicherheit laut HP ein ständiger Spagat zwischen proaktiven Maßnahmen und kurzfristiger Reaktion

Cyber-Sicherheit sei ein ständiger Spagat zwischen proaktiven Maßnahmen zur Verbesserung der IT-Sicherheit und der kurzfristigen Reaktion auf ein Ereignis. Die letzten Monate hätten bei vielen Organisationen für einen harten Neustart der Prioritäten gesorgt:
Die Verantwortlichen hätten sich darauf konzentriert, mit oftmals improvisierten Aktionen in der Krise handlungsfähig zu bleiben. „Einige Unternehmen haben dabei die IT-Sicherheit aus den Augen verloren.“ Doch es reiche eine einzige erfolgreiche Malware-Attacke, um enormen Schaden für das gesamte Unternehmen zu verursachen.

Drei Schritte zu mehr Cyber-Sicherheit laut HP:

Prävention durch Awareness schaffen!
Neben den klassischen Lösungen und Praktiken zur Absicherung der IT-Infrastruktur sollten Unternehmen „einen besonderen Fokus auf das Training und die Awareness von Mitarbeitern, vor allem im Umgang mit Phishing-E-Mails und anderen Betrugsmaschen, legen“. Gerade E-Mails, die Links zu Login-Formularen beinhalten, müssten kritisch hinterfragt werden.

Überwachung der IT!
„Damit die digitalen Werte von Unternehmen den Hackern nicht komplett ausgeliefert sind, sollten die Verantwortlichen ihre Systeme konstant überwachen.“ Ziel sei es, Angriffsversuche frühzeitig zu erkennen und zu blockieren. Dabei sei die umgehende Information zu einem Angriffsversuch essenziell. Erforderlich dafür sei das Management von Detektionsregeln, Log-Informationen, die Verwendung entsprechender Regelwerke für die Auswertung und Analyse dieser Informationen sowie eine Alarmierungskette im Nachgang. Darüber hinaus sei es sinnvoll, öffentliche Quellen einzubeziehen und so die Gefahr eines Cyber-Angriffes für das eigene Unternehmen besser einschätzen zu können.

Überprüfung der Notfallpläne – Erprobung des Ernstfalls!
Viele Unternehmen verfügten bereits über Notfallpläne für den Fall eines Cyber-Angriffs oder Systemausfalls. „Die Aktualität dieser Pläne muss regelmäßig überprüft, die Verteilung der Aufgaben an alle relevanten Mitarbeiter sichergestellt und dazu passende Checklisten verifiziert werden.“ Zudem gelte es die Pläne stetig zu optimieren. Mit Hilfe des Notfallplans ließen sich Ausfallzeiten verkürzen und die Schäden durch IT-Probleme minimieren.

HP warnt: Klassische Sicherheitslösungen, die sich nur auf Detektion von Malware konzentrieren, unzureichend

„Für Cyber-Kriminelle bieten diese Zeiten enorme Chancen und oftmals leichte Beute. Noch nie war es einfacher, Schwachstellen zu monetarisieren. Unternehmen müssen deshalb dringend ihre Angriffsfläche reduzieren und potenzielle Einfallstore für Hacker schließen“, so Jochen Koehler, „Sales Director Security Solutions“ bei HP.
Mit klassischen Sicherheitslösungen, die sich nur auf die Detektion von Malware konzentrierten, kämen Unternehmen allerdings nicht weiter. Koehler: „Gerade bei den meisten Angriffsszenarien, die sich konkret gegen den Nutzer richten, ist eine bessere Lösung die Isolation von kompromittierten Anwendungen durch Micro-Virtualisierung. Dadurch wird verhindert, dass die Angreifer weiter ins Firmennetzwerk vordringen und so großen Schaden anrichten können.“

HP empfiehlt Isolation kompromittierter Anwendungen durch Micro-Virtualisierung

Mit einer Virtualisierungslösung (wie z.B. „HP Sure Click Enterprise“) werde jede riskante Anwenderaktivität wie das Downloaden und Öffnen eines Dokuments in einer eigenen Micro-Virtual-Machine (Micro-VM) gekapselt.
Eine mögliche Schädigung durch Malware bleibe dadurch immer auf die jeweilige Micro-VM beschränkt. Nach Beendigung einer Aktivität wie dem Schließen eines Files werde sie automatisch gelöscht. Eine Kompromittierung des Endgerätes und nachfolgend des Unternehmensnetzes über den Angriffsweg Download sei damit nahezu ausgeschlossen.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
Home-Office: Vergrößerung der Angriffsfläche verlangt nach automatisierter Cybersicherheit / Remote-Arbeitsplätze für mobile Arbeitskräfte, die Verlagerung der Belegschaft ins Home-Office und die Nutzung von RDP, VPN und VDI vergrößern die Cyberangriffsfläche erheblich

[datensicherheit.de, 11.08.2019] Beim Angriff mit neuer Malware reicht das Zeitfenster von deren Auftauchen beim Opfer bis zur Erkennung – und seien es nur Minuten – offensichtlich aus, um bereits Schaden anzurichten. Also nur auf Detektion zu setzen, könne folglich nicht der „Heilige Gral der IT-Sicherheit“ sein, so Bromium. Bis neue Schadsoftware überhaupt erkannt wird, vergehe immer Zeit. Bromium hat diese Problematik nach eigenen Angaben am Beispiel eines Kunden detailliert untersucht.

35 isolierte Threats – 29 definitiv bösartig, der Rest unbekannt oder verdächtig

Im Juni 2019 seien bei diesem Kunden mit der Bromium-Lösung „Secure Platform“, welche laut Bromium „Applikations-Isolation mittels Micro-Virtualisierung bietet“, genau 35 Threats isoliert worden. Davon seien 29 definitiv bösartig gewesen, die restlichen entweder noch unbekannt oder Alarmierungen aufgrund eines verdächtigen Verhaltens.
Konkret seien 25 verschiedene Malware-Typen identifiziert worden, wobei bei acht zum Zeitpunkt der Isolation eine Hash-basierte Erkennung noch nicht möglich gewesen sei. „Bis sie letztlich überhaupt erkennbar waren, vergingen dann nach Bromium-Untersuchungen zwischen 27 Minuten und 31 Stunden.“

Unternehmen und Behörden fokussieren immer noch hauptsächlich auf Detektion von Angriffen

„Und genau an diesem Punkt zeigt sich das ‚Window of Opportunity’ für die Angreifer, die sehr wohl wissen, dass sich viel zu viele Unternehmen und Behörden immer noch hauptsächlich mit der Detektion von Angriffen beschäftigen“, erläutert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn.
Koehler ergänzt: „Die logische Konsequenz lautet, potenziell gefährliche User-Aktivitäten strikt zu isolieren, anstatt weiterhin nur auf Erkennung zu setzen.“

Foto: Bromium

Jochen Koehler, „Regional VP Sales Europe“ bei Bromium

Micro-Virtualisierungstechnologie – effektivste Möglichkeit zur Isolation von Gefahren

Die derzeit effektivste Möglichkeit für die Isolation von Gefahren bietet demnach die Micro-Virtualisierungstechnologie. Diesen Ansatz verfolge Bromium seit Einführung seiner Software „Secure Platform“. Diese Lösung schließe die zeitliche Lücke zwischen Auftreten und Erkennung von Schadsoftware.
Zentrale Lösungsbestandteile seien „ein ,Xen‘-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen“.

Micro Virtual Machines kapseln riskante Anwenderaktivitäten mit Daten fremder Quellen

Basierend auf dieser Technologie würden Hardware-isolierte „Micro Virtual Machines“ (VMs) realisiert, die alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen kapselten.
Dazu gehörten das Aufrufen einer unternehmensfremden Webseite über einen Link in Dokumenten oder E-Mails, das Herunterladen einer Datei von solchen Webseiten, das Öffnen und Bearbeiten eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.

Mögliche Schädigungen auf jeweilige virtuelle Instanz begrenzen

Mögliche Schädigungen durch bisher unbekannte Malware blieben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität, etwa dem Speichern eines Files oder Schließen eines Browser-Tabs, automatisch gelöscht werde.
Eine Infizierung des Endgeräts mit Schadsoftware und nachfolgend des Unternehmens- oder Behördennetzes über einen dieser Wege sei damit „nahezu ausgeschlossen“.

Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig

Gegenüber traditionellen, erkennungsbasierten Sicherheitslösungen biete ein Einsatz der Bromium-Isolationslösung noch weitere positive Nebeneffekte:
Der mit „False Positives“ verbundene Analyseaufwand entfalle und „False Negatives“ blieben ohne Auswirkungen, da Bedrohungen isoliert seien. Nicht zuletzt werde auch das Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig.

Threat Intelligence im Interesse der Sharing Community

Zum Serviceangebot von Bromium gehöre auch die Erstellung eines regelmäßigen „Threat Insights Report“ mit einer Auswertung von bei Kunden isolierten Threats:
„Immer mehr Anwender stellen dafür ihre Daten bereit“, berichtet Koehler, „und von dieser ,Threat Intelligence‘ profitieren dann unmittelbar alle anderen Mitglieder der ,Bromium Threat Sharing Community‘.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

[datensicherheit.de, 23.07.2019] „Nicht schon wieder…“, so kommentiert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn, sein Déjà-vu, dass deutsche Krankenhäuser abermals von Cyber-Attacken betroffen waren. „Gab es das nicht voriges Jahr schon einmal? Und im Jahr davor? Und 2016? Ja, ich erinnere mich, das gab es schon damals, da war es das Lukaskrankenhaus in Neuss.“

Foto: Bromium

Jochen Koehler: „Gab es das nicht voriges Jahr schon einmal? …“

Hinweise auf neuerliche Ransomware-Attacke

Diesmal habe es den Südwesten Deutschlands erwischt. Betroffen gewesen seien anscheinend mehr als zehn Krankenhäuser der DRK-Trägergesellschaft Süd-West in Rheinland-Pfalz und im Saarland. Über die konkreten Ursachen sei bisher nichts bekannt, es deute viel auf eine neuerliche Ransomware-Attacke hin.

Vermutlich auf gut gefälschte E-Mail reingefallen

Man könne nur vermuten, „dass wieder einmal ein tüchtiger Mitarbeiter auf eine gut gefälschte E-Mail hereingefallen ist, wie es allein in Deutschland täglich hundertfach passiert“. Wirklich vorwerfen könne man es ihm sicher nicht.

An der Zeit, die Sicherheitstechnik aufzurüsten

Vielleicht sei es doch an der Zeit, die Sicherheitstechnik ein wenig aufzurüsten und sich nicht länger allein auf die rechtzeitige Detektion von Schadcode zu verlassen.

Isolation aller riskanten Anwenderaktivitäten

Der folgerichtige Weg sei die „Isolation aller riskanten Anwenderaktivitäten“. Solche Lösungen setzten nicht reaktiv auf die reine Erkennung von Angriffen, sondern bauten proaktiv einen Schutzwall auf. Derartige Maßnahmen dürften dem Gesundheitswesen nicht unbekannt sein: „Patienten aus Epidemie-Krisengebieten werden bei ihrer Aufnahme ja schließlich auch isoliert…“

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

[datensicherheit.de, 18.07.2018] Anbieter von Sicherheitssoftware vermarkten den Einsatz von Künstlicher Intelligenz (KI) in ihren Produkten gerne als technologischen Fortschritt. Dabei hätten sie gar keine Wahl, denn Cyber-Kriminelle gäben den Takt vor und würden immer mächtiger, sagt Jochen Koehler, „Regional Director DACH“ bei Bromium. Die Schuld an dieser Situation sieht Bromium demnach im konzeptionellen Ansatz einer ganzen Branche.

Cyber-Kriminelle dominieren Wettlauf

Tatsächlich befänden sich Cyber-Kriminelle im Kampf um die Sicherheitshoheit seit jeher im Vorteil: Sie unterlägen keinen Organisationszwängen, seien schnell, per Definition skrupellos und gäben mit immer fortschrittlicheren Attacken den Takt vor.
Anbieter von Sicherheitssoftware könnten neuartige Angriffe nicht antizipieren und müssten reagieren – bis aber angepasste Abwehrmaßnahmen entwickelt und am Ende von ihren Unternehmenskunden produktiv eingesetzt werden, sei es meist schon zu spät. Dann beginne der Kreislauf wieder von vorne.

KI-Hacking: Angriffsmuster automatisch verändern und bis zur Unkenntlichkeit tarnen

Hacker seien in diesem Spiel stets einen Schritt voraus – und jetzt entdeckten sie KI. Damit könnten sie ihre Attacken noch raffinierter gestalten und noch schneller durchführen. Diese Technologie erlaube ihnen, Angriffsmuster automatisch zu verändern und bis zur Unkenntlichkeit zu tarnen. Damit wachse der technologische und zeitliche Vorsprung der Angreifer weiter.
Der einzige Zug, der Herstellern bleibe, um überhaupt eine Chance zur Abwehr zu haben, sei der eigene Einsatz von KI in ihren Lösungen. „Cyber-kriminelle zwingen sie damit in eine Aufrüstspirale, in der die Anbieter nicht die Oberhand gewinnen können“, warnt Koehler.
Immerhin seien Sicherheitssoftware-Hersteller mit dem KI-Einsatz ebenfalls in der Lage, Maßnahmen zu automatisieren: KI-Programme könnten zum Beispiel ihre gigantischen Datenbanken durchforsten und „nach immer feineren Angriffsmustern oder Anomalien suchen, um sie völlig selbstständig abzuwehren – wenn sie denn gefunden werden“.

Foto: Bromium

Jochen Koehler: Zeit, über neue Methoden zur Verteidigung von Hacker-Attacken nachzudenken!

Abwehr von Cyber-Angriffen immer schwieriger

Das Erkennen von Malware sei der Schlüssel von Angriffsabwehr-Strategien und Kernbestandteil der Produkte und Lösungen der Anbieter. Eine solche Strategie habe einen immanenten Nachteil: „Die Erkennungsrate muss bei 100 Prozent liegen; gleichzeitig müssen Abwehrmaßnahmen zu 100 Prozent greifen, um erfolgreich zu sein. Das ist in den wenigsten Fällen möglich, schon gar nicht bei KI-getriebenen Angriffen“, erläutert Koehler.
Dieser konzeptionelle Fehler einer gesamten Industrie, d.h. eine falsche Abwehrstrategie, mache die Abwehr von Cyber-Angriffen immer schwieriger. Der Einsatz von KI werde den Vorsprung der Angreifer vergrößern und nicht verringern, wie es sich viele Anbieter erhofften. Koehler: „Es ist an der Zeit, über neue Methoden zur Verteidigung von Hacker-Attacken nachzudenken, sonst wird der Kampf gegen einen immer mächtigeren Gegner aussichtslos.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 02.07.2018
IT-Sicherheit: Investitionen an der falschen Stelle

datensicherheit.de, 22.09.2017
IT-Security: Die Zukunft liegt in der Automatisierung

Von unserem Gastautor Jochen Koehler

[datensicherheit.de, 12.07.2013] IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. Eine manuelle Änderung dieser privilegierten Benutzerkonten ist extrem zeitaufwändig und fehlerbehaftet – und somit kaum realisierbar. Gefragt ist hier eine Lösung zur automatischen Verwaltung von Passwörtern. Bei der Auswahl und Implementierung einer solchen Lösung sind jedoch einige elementare Aspekte zu berücksichtigen:

1. Identifizierung der privilegierten Accounts
   Alle unternehmenskritischen Systeme, Applikationen und Datenbanken sollten identifiziert werden, einschließlich der vorhandenen Zugänge von Administratoren. Es ist konkret zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.
2. Entwicklung von Rollenmodellen
   Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten müssen Prozesse für IT-Berechtigungsvergaben definiert werden. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte besitzen, die für ihren Tätigkeitsbereich erforderlich sind. Unerlässlich für die Verwaltung privilegierter Benutzerkennungen ist zudem auch die Implementierung einer rollenbasierten Zugriffskontrolle.
3. Zentrale Speicherung der Passwörter
   Es sollte eine Lösung zur zentralen Speicherung aller Passwörter und privilegierten Aktivitäten gewählt werden. Dies ermöglicht eine zentrale Administration und Überwachung des gesamten Passwortmanagements. Mögliche Sicherheitslücken durch Insellösungen, die in der Vergangenheit installiert wurden, werden damit geschlossen.
4. Eliminierung von Application Accounts
   Ein zentrales Sicherheitsproblem besteht generell auch bei Software oder Application Accounts, das heißt bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Dies ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Die eingebetteten statischen Passwörter sollten folglich in den Applikationen und Skripten eliminiert werden. Es empfiehlt sich, auch diese Zugangsdaten zentral abzulegen und zu überprüfen sowie regelmäßig zu ändern.
5. Einführung eines automatischen Passwort-Managements
   Eine Passwortmanagement-Lösung sollte auf jeden Fall eine automatische Verwaltung und Änderung privilegierter Accounts ermöglichen. Der Anwender muss dabei die Komplexität und den Änderungszyklus – abhängig von den Vorgaben der jeweiligen Security-Policy – beliebig festlegen können. Keinesfalls ausreichend ist der Einsatz eines Tools zur Erstellung von Passwort-Datenbanken, das zwar eine Speicherung der Kennwörter ermöglicht, aber keine automatische Änderung.
6. Berücksichtigung von Remote-Zugriffen
   Im Hinblick auf die unternehmensinterne Datenintegrität und -sicherheit sollten externe Zugriffe auf IT-Systeme zuverlässig überwacht werden. Dabei sollte eine Lösung implementiert werden, die es ermöglicht, dass externe Dienstleister oder Administratoren Passwörter nie einsehen können. Realisierbar ist das zum Beispiel durch die Implementierung eines Jump-Servers für die administrativen Verbindungen. Nur er „kennt“ die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden – so verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.
7. Hohe Sicherheitsstandards
   Die zentrale Speicherung von Passwörtern erfordert die Implementierung einer Lösung, die mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.
8. Protokollierung privilegierter Sessions
   Die Passwortnutzung sollte revisionssicher protokolliert werden. Dabei sollten privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden, das heißt, es ist eine komplette Protokollierung von Admin-Sessions empfehlenswert. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Idealerweise bietet die eingesetzte Passwortmanagement-Lösung auch eine Realtime-Überwachung, die es ermöglicht, bei verdächtigen Aktivitäten direkt einzugreifen und einzelne Sessions zu beenden.

Um die mit privilegierten Benutzerkonten verbundene Sicherheitsproblematik in den Griff zu bekommen, sollte man eine Lösung implementieren, mit der diese Accounts automatisch verwaltet und überwacht werden können. Wenn man bei der Lösungsauswahl und -implementierung die genannten Aspekte berücksichtigt, kann man die Gefahren des Datenmissbrauchs und -diebstahls zuverlässig ausschließen. Außerdem erfüllt man damit die Anforderungen im Hinblick auf Revisionssicherheit, gängige Compliance-Vorschriften und gesetzliche sowie aufsichtsrechtliche Bestimmungen effizient und ohne hohen Administrationsaufwand.

Quelle: Cyber-Ark

Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark, hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

[datensicherheit.de, 06.12.2011] Über Administratoren-Accounts und -Passwörter ist in der Regel ein problemloser Zugriff auf alle unternehmenskritischen Datenbestände möglich. In zahlreichen Compliance-Richtlinien wird deshalb eine exakte Überwachung solcher Nutzerkennungen gefordert. Regelungen hierzu gibt es laut Cyber-Ark auch in den „MaRisk“ (Mindestanforderungen an das Risikomanagement) der BaFin, die für Finanzinstitute gültig sind:
User-Accounts von Administratoren und sogenannten Super-Usern verfügen über weitreichende Rechte. Sie stellen deshalb für jedes Unternehmen ein hohes Sicherheitsrisiko dar. Werden dabei keine adäquaten Maßnahmen für ein effizientes Passwortmanagement getroffen, verstößt dies gegen gesetzliche und aufsichtsrechtliche Bestimmungen aus Basel II, ISO 27001, SAS70, PCI-DSS oder dem Sarbanes Oxley Act. In diesen Compliance-Regelungen wird nämlich ein Nachweis gefordert, wer Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen und ob die Passwörter ordnungsgemäß geschützt und geändert wurden.
Auch in den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten Mindestanforderungen an das Risikomanagement (MaRisk), dem zentralen Regelwerk der qualitativen Bankenaufsicht, finden sich entsprechende Regelungen. Deren Einhaltung wird im Rahmen der Jahresabschlussprüfung geprüft und ist gegenwärtig auch häufig Gegenstand von Sonderprüfungen nach § 44 Abs. 1 KWG.
Im Hinblick auf die technisch-organisatorische Ausstattung von Finanzinstituten wird in den MaRisk etwa konstatiert, dass bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen sei – insbesondere seien Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellten, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Konkret verwiesen wird dabei auf die Einhaltung der Standards IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und ISO/IEC 2700X. Die MaRisk wurden zuletzt Ende 2010 überarbeitet. Die Änderungen müssen von den Instituten bis zum Ende dieses Jahres „vollumfänglich“ umgesetzt werden. Eine entscheidende Erweiterung betrifft den Bereich „Zugriffsrechte“. Die eingerichteten Berechtigungen dürften nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen sei darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden würden.
Gerade in diesem Bereich bestehe für die Finanzdienstleistungsbranche noch ein erheblicher Handlungsbedarf, sagt Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Vielfach gebe es nämlich noch Super-Admins mit uneingeschränkten privilegierten Rechten, das heißt, es erfolge weder eine strikte „Separation of Duties“ noch eine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen. Im Hinblick auf die Erfüllung von Compliance-Anforderungen, eine Erhöhung der Sicherheit und auch eine Reduzierung des Administrationsaufwandes sollte aber jedes Finanzinstitut über ein zuverlässiges „Privileged Identity Management“ (PIM) verfügen. Mit einer solchen Lösung könnten privilegierte Accounts, also Benutzerkonten mit erweiterten Rechten, zuverlässig verwaltet werden. Verschiedene PIM-Lösungen seien heute auf dem Markt verfügbar. Dabei gebe es unterschiedliche Lösungsansätze – von der Hardware-Appliance über eine softwarebasierte „Virtual Appliance“ bis hin zu einer reinen Software-Lösung. Gemeinsam sei den Lösungen, dass die Passwörter in einem gesicherten Bereich vor den Zugriffen unberechtigter Personen geschützt würden. Bei der Entscheidung für eine Lösung sollte man darauf achten, dass sie neben einer regelmäßigen Änderung der Netzwerk-, Server- und Datenbank-Passwörter auch Drittanwendungen die Möglichkeit biete, die neuen Passwörter automatisch zu beziehen. Zudem sollte eine Zugriffskontrolle und vollständige Überwachung beziehungsweise Protokollierung aller Aktivitäten vorhanden sein, so Koehler.

[datensicherheit.de, 03.11.2011] Cyber-Ark präsentiert eine neue Version seiner „Sensitive Information Management Suite“. Diese „All-in-One-Lösung“ für den sicheren und effizienten Datenaustausch über das Internet soll jetzt auch mobile Geräte wie Apples „iPad“ unterstützen.
Die zunehmende Verbreitung mobiler Geräte habe zu neuen Herausforderungen im Bereich Datensicherheit geführt. Immer mehr Unternehmen erlaubten ihren Mitarbeitern die Nutzung privater Geräte wie „iPads“ oder anderer mobiler Geräte für berufliche Zwecke. Die Gefahren des Datenverlusts oder -diebstahls seien dadurch dramatisch gestiegen. IT-Abteilungen beschäftigten sich heute deshalb zunehmend mit der Integration solcher Geräte in die unternehmenseigene IT-Security-Architektur.
Eine Lösung für den sicheren Datenaustausch bei der Nutzung mobiler Geräte wie des „iPad“ von Apple will Cyber-Ark ab sofort mit seiner neuen Version der „Sensitive Information Management Suite“ anbieten. Es handele sich bei dieser Lösungssuite um eine vollständig integrierte Software-Anwendung für den sicheren manuellen und automatischen Datenaustausch über das Internet. Die Lösung basiere auf der patentierten Sicherheitsplattform „Digital Vault“, einem virtuellen, digitalen „Datentresor“, der als zentrale Datendrehscheibe für die einfache, effiziente und sichere Übermittlung von Informationen fungiere.
Durch die zunehmende Verwendung privater mobiler Geräte für berufliche Aufgaben hätten sich die Gefahren des Datenverlustes für Unternehmen deutlich erhöht. Diese brauchten deshalb Lösungen, die diese potenziellen Datenleck-Risiken beseitigten. In der neuen Version der „Sensitive Information Management Suite“ deckten sie nun auch diese Anforderung ab, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark sichert Datentransfer bei mobilen Geräten

[datensicherheit.de, 05.07.2011] Administratoren-Accounts bergen bei Missbrauch durch ihre weitreichenden Rechte eine große Bedrohung für Unternehmen. Dieses unnötige Risiko vermeidet die „Privileged Identity Management Suite“ (PIM) von Cyber-Ark:
User-Accounts von Administratoren und sogenannten Superusern verfügen über weitreichende Rechte, die in falschen Händen ein Unternehmen gefährden können. Aus diesem Grund befassen sich neben der internen IT-Revision auch verschiedene Compliance-Richtlinien mit solchen Accounts. Unternehmen werden gemäß Basel II, SAS70, ISO 27001, PCI-DSS und dem Sarbanes-Oxley-Act dazu angehalten, den Zugriff auf solche Nutzerkennungen genau zu überwachen. Kontrollorgane wie Wirtschaftsprüfer oder die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überprüfen, ob ausreichende Maßnahmen dafür getroffen werden.
Diese Überwachung wird durch die schiere Menge an Superuser-Accounts erschwert. Jede Anwendung und jedes System verfügt über Admin-Accounts – davon kann ein einzelner kompromittierter Account als Einfallstor in die Unternehmens-IT dienen. Begünstigt wird das, wenn die Aktivitäten von Superusern nicht dokumentiert werden oder wenn die Accounts gleich mehreren Personen zur Verfügung stehen. Zudem führt der regelmäßige Wechsel der Passwörter bei vielen zu überwachenden Superuser-Accounts zu einem erheblichen administrativen Aufwand und unterbleibt daher häufig ganz.
Verschiedene Situationen begünstigen die missbräuchliche Nutzung von privilegierten Accounts. Vor allem in wirtschaftlich flauen Zeiten versuchen skrupellose  Unternehmen, Kosten etwa in der Produktentwicklung einzusparen, und sich durch Wirtschaftsspionage einen Wettbewerbsvorteil zu verschaffen. Beliebt ist dann die Ausspähung von Mitarbeiterpasswörtern durch „Social Engineering“. Dabei nutzt ein Angreifer Informationen über sein Opfer und manipuliert es, um an Geschäftsgeheimnisse zu gelangen.
Die Gefahr geht aber nicht nur von proaktiven Versuchen des Wettbewerbs aus – bei einer schlechten Motivationslage der Mitarbeiter oder einer daraus resultierenden verstärkten Mitarbeiterfluktuation, ob aus Sorge um die finanzielle Zukunft oder auch aus Rache, werden Angestellte vor allem bei Kündigungen empfänglich für Wirtschaftsspionage. Manche Experten schätzen, dass über die Hälfte der scheidenden Angestellten vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat – damit ist dem Missbrauch Tür und Tor geöffnet. Meistens geschieht das unbemerkt, wenn keine Tracking-Software zur Überwachung von Dateizugriffen im Einsatz ist. Bemerkbar hingegen sind Sabotage-Akte, die neben der reinen Datenspionage auftreten können. In diesem Fall sind ungewöhnliche Veränderungen am Datenbestand ein Indiz für unbefugten Zugriff.
Neben den eigenen Mitarbeitern sollten externe Administratoren bei der Risikoabschätzung nicht vergessen werden. Wenn eine Beratungsfirma die Administration übernimmt, ist die Gefahr dort zwar geringer, doch kann bei Beschäftigung vieler unabhängiger externer Administratoren ohne Festsetzung von Kontrollmechanismen oder strikten Regeln zum Datenschutz ein potentieller Missbrauch von Account-Informationen nicht ausgeschlossen werden.
Um IT-Verantwortlichen die sichere Verwendung von Superuser-Kennungen zu erleichtern, bietet Cyber-Ark die „Privileged Identity Management Suite“ (PIM) an. Die Suite wird zwischen Anwender und Account geschaltet und stellt die Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher, überwacht die Aktivitäten und verwaltet die Zugriffsdaten von Administratoren.
Diese Lösung deckt außer dem „Shared Account/Software Account Password Management“ (SAPM) auch das „Superuser Privilege Management“ (SUPM) ab und eignet sich damit als zentrales Tool für die Verwaltung sämtlicher privilegierter User-Accounts eines Unternehmens. PIM besteht aus vier Komponenten. Der „Enterprise Password Vault“ fungiert als „Tresor für Passwörter“, in dem Zugriffskennungen sicher hinterlegt und einem policy-gesteuerten, permanenten Wechsel unterzogen werden. Der „Privileged Session Manager“ steuert und überwacht sämtliche Zugriffe und Vorgänge von privilegierten Usern. Mit dem „On-Demand Privileges Manager“ ist die Überwachung und individuelle, granulare Steuerung der Rechte von Superusern auf Unix-Systemen möglich. Der „Application Identity Manager“ übernimmt bei automatisierten Zugriffen durch Anwendungen die Aufgabe, Anwendungen den Umgang mit dynamischen Passwörtern, beispielsweise in Datenbanken, zu ermöglichen.
Meistens entstünden Bedrohungen durch den Missbrauch privilegierter Nutzerkennungen allmählich. Unternehmen sollten dem vorbeugen und ihre Daten und somit ihren Unternehmenserfolg von Anfang an schützen, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Privileged Identity Management Suite / Who has the „Keys to the Kingdom”? Mismanagement of privileged identities puts your company at risk.