[datensicherheit.de, 29.06.2022] „Cloud“-Sicherheit bereitet Cybersecurity-Experten laut einer aktuellen Umfrage von Delinea aktuell die größte Sorge. Hierzu seien im Rahmen der „RSA Conference 2022“ in San Francisco mehr als 100 Sicherheitsfachleute zu ihren derzeit größten Problemen sowie ihren Cyber-Hygienepraktiken interviewt worden. Für 37 Prozent der Befragten sei die Absicherung der „Cloud“ demnach Hauptanlass zur Besorgnis, gefolgt von Ransomware (19%) sowie einer verteilt arbeitenden Belegschaft (17%).

Proaktiverer Ansatz für Cyber-Sicherheit

„Der Schutz digitaler Assets in der Cloud wird zur Priorität Nummer 1 und zeigt einen proaktiveren Ansatz für Cyber-Sicherheit“, kommentiert Joseph Carson, „Chief Security Scientist“ und „Advisory CISO“ bei Delinea.

Da Unternehmen bei Infrastruktur, Anwendungsentwicklung und Geschäftsprozess-Automatisierung immer stärker auf die „Cloud“ angewiesen seien, müssten auch die Sicherheitskompetenzen und -lösungen hierzu Schritt halten. Carson betont: „Umso wichtiger ist es, privilegierte Zugriffe auf ,Cloud‘-Infrastrukturen und -Workloads abzusichern, bevor Angreifer diese kompromittieren.“

80% der befragten Unternehmen in den letzten 12 Monaten ohne Cyber-Angriff

Dabei seien viele Unternehmen bereits auf dem richtigen Weg, wie die Umfrageergebnisse zeigten: „Denn 80 Prozent der Befragten konnten vermelden, dass ihr Unternehmen in den letzten zwölf Monaten keinen Cyber-Angriff erlitten hat.“ Zurückzuführen sei diese positive Entwicklung wahrscheinlich auf eine verstärkte Cyber-Hygiene der Mitarbeiter, insbesondere beim Umgang mit Passwörtern, und die Sorgfalt bei der Authentifizierung.

So hätten 59 Prozent der Befragten angegeben, Passwörter nicht konten-übergreifend einzusetzen, und fast zwei Drittel (66%) setzten mittlerweile auf eine sichere Multifaktor-Authentifizierung (MFA), sofern verfügbar.

Cyber-Versicherungen gewinnen an Bedeutung

„Passwörter sollten niemals die einzige Sicherheitskontrolle für den Zugriff auf kritische Systeme, Anwendungen und Berechtigungen sein. Durch die Implementierung von MFA-Kontrollen wird eine zusätzliche Schutzebene hinzugefügt, die Sicherheit garantiert, falls es einem Angreifer gelingen sollte, ein Passwort zu kompromittieren“, unterstreicht Carson. Dabei sollte MFA nicht nur bei der Systemanmeldung, sondern auch bei der horizontalen und vertikalen Berechtigungserweiterung erforderlich sein.

Gefragt nach ihren Incident-Response-Fähigkeiten und dem Umgang mit Cyber-Vorfällen sei deutlich geworden, dass Cyber-Versicherungen eine immer wichtigere Rolle spielten: 41 Prozent der Befragten gaben demnach an, dass ihr Unternehmen bereits eine spezielle Cyber-Versicherung abgeschlossen habe oder in Erwägung ziehe, sich zu versichern.

Weitere Informationen zum Thema:

Delinea
2022 CyberEdge Cyberthreat Defense Report / 40.7% of companies are victimized by six or more attacks

[datensicherheit.de, 04.05.2022] Die eigene Cyber-Sicherheit steht und fällt mit der Stärke der verwendeten Passwörter – Tipps und Ratschläge für ein sicheres Passwort-Management werden daher seit Jahr und Tag „gepredigt“. Dennoch ist es um die sogenannte Passwort-Hygiene offensichtlich nach wie vor schlecht bestellt, wie unzählige Untersuchungen und Cyber-Vorfälle immer wieder zeigen. Anlässlich des diesjährigen „Welt-Passwort-Tags“ ist es wieder einmal höchste Zeit, dass IT-Sicherheitsexperten das Thema „Passwort-Sicherheit“ in den Vordergrund rücken und Unternehmen wie Privatnutzern „ins Gewissen reden“. Auch Joseph Carson, „Chief Security Scientist & Advisory CISO“ bei Delinea, sieht in seinem aktuellen Kommentar Passwörter als eine der größten Cyber-Herausforderungen:

Foto: Delinea

Joseph Carson: Wahl des Passworts entscheidet darüber, wie leicht Cyber-Kriminelle Daten stehlen und ausspionieren können!

Nutzer neigen immer wieder dazu, ein einfaches und leicht zu merkendes Passwort zu generieren

Carson betont: „Passwörter sind nach wie vor eine der größten Cyber-Herausforderungen auf der ganzen Welt – sowohl für Verbraucher als auch für Unternehmen –, da die Wahl des Passworts darüber entscheidet, wie leicht Cyber-Kriminelle Daten stehlen und ausspionieren können.“

Allen Warnungen zum Trotz neigten Nutzer immer wieder dazu, einfach und leicht zu merkende Passwörter zu generieren. So seien Geburtstage oder andere besondere Daten nach wie vor beliebte Standard-Passwörter, welche Cyber-Kriminellen in die Hände spielten.

Ein sicheres Passwort sollte unbedingt Passphrasen enthalten – mit einer Abfolge von Zufallswörtern

„Dass die Generierung starker und sicherer Passwörter nach wie vor in der Verantwortung der Menschen selbst liegt, bedeutet ein hohes Risiko, vor allem wenn man bedenkt, wie vielen Nutzern ihre schlechte Passwort-Wahl bereits zum Verhängnis geworden ist“, so Carson und warnt: „Haben Angreifer frühere Passwort-Entscheidungen erst einmal durchschaut, nutzen sie diese als Grundlage, um davon ausgehend weitere Variationen zu erstellen.“

Ein effektives Passwort sollte daher unbedingt Passphrasen enthalten und eine Abfolge von Zufallswörtern für zusätzliche Sicherheit. Aktive Nutzer sollten darüber hinaus die Verwendung eines Passwort-Managers in Betracht ziehen, um ihre Anmeldedaten zu optimieren und eine regelmäßige Rotation zu gewährleisten.

Für Unternehmen sollte ein Passwort-Manager eine Standard-Implementierung sein

Für Unternehmen sollte ein Passwort-Manager mittlerweile eine Standard-Implementierung sein, ebenso wie spezielle Kontrollen von privilegierten Zugängen. Diese ermöglichten es den Unternehmen, Passwörter zu automatisieren, zu rotieren und abzusichern, wodurch auch die „Cyber-Müdigkeit“ nachhaltig eingedämmt werden könne.

Um noch einen Schritt weiter zu gehen, sollten Unternehmen nicht nur auf ihre interne „Passwort-Hygiene“ achten, sondern auch ihre Zulieferer und Auftragnehmer unter die Lupe nehmen, um Passwortschutz übergreifend sicherzustellen. Carson unterstreicht hierzu: „Denn welchen katastrophalen ,Dominoeffekt‘ eine falsche Passwortwahl innerhalb einer Lieferkette haben kann, haben bekannte Cyber-Angriffe bereits gezeigt.“

Die Passwort-Sicherheit zu optimieren heißt das soziale Umfeld einzubeziehen

Möchten Unternehmen ihre Passwort-Sicherheit optimieren, müssten sie verstehen, „dass Sicherheit mit dem sozialen Netzwerk um sie herum beginnt“. Carson legt nahe: „Warum also ermutigen Unternehmen ihre Mitarbeiter nicht dazu, auch privat einen Passwort-Manager zu verwenden, und belohnen sie dafür?“

Indem Cyber-Sicherheit auch auf die soziale Sphäre ausgedehnt werde, könnten viele Bedrohungen minimiert werden, denn Angreifer nutzten Privat-User oft als erstes Sprungbrett, um in Unternehmen einzudringen. Carson abschließend: „Warum also nicht die soziale Sphäre um das Unternehmen herum mit einbeziehen? Die Lieferanten, Auftragnehmer, Partner, Kunden genauso wie alle anderen!“

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 03.05.2022
Passwörter gehören noch immer zu den wichtigsten Datensicherheitsmaßnahmen / Werner Thalmeier kommentiert Bedeutung der Passwörter und gibt Tipps zum „World Password Day 2022“

[datensicherheit.de, 30.11.2018] Die Hotelkette Marriott ist laut Medienberichten von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen – bis zu 500 Millionen Kunden könnten Opfer dieses Angriffs sein. Joseph Carson von Thycotic kommentiert, dass schockierend an dieser Datenschutzverletzung sei, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind.

Offenbar versäumt, persönliche und sensible Daten der Gäste angemessen zu schützen

Joseph Carson, „Chief Security Scientist“ von Thycotic, führt aus: „Die Marriott-Hotelkette ist von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen, bei dem bis zu 500 Millionen Kunden Opfer von Cyber-Kriminellen wurden. Berichten zufolge wurden rund 327 Millionen Datensätze gestohlen, einschließlich Zahlungsinformationen und Passdaten, was einen jahrelangen Identitätsdiebstahl und Cyber-Angriffe auf die Opfer nach sich ziehen könnte.“
Schockierend an dieser Datenschutzverletzung sei, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind. „Denn Marriott hat es offenbar versäumt, die persönlichen und sensiblen Daten ihrer Kunden mit ausreichenden Cyber-Sicherheitsmaßnahmen zu schützen“, sagt Carson.

Foto: Thycotic

Joseph Carson: Zu fragen ist, seit wann Marriott über diese Datenschutzverletzung Bescheid wusste…

Kostenübernahme für Ersatzbeschaffung kompromittierter Dokumente gefordert

In der Vergangenheit habe das Hauptproblem bei solchen Datenschutzverletzungen oft darin gelegen, dass die Unternehmen, in deren Hände die Sicherheit der Kundendaten gelegt wurde, einen Schutz vor Identitätsdiebstahl nur für einen Zeitraum von bis zu einem Jahr angeboten hätten. Viele der gestohlenen Identitätsinformationen hätten in der Regel aber eine Laufzeit zwischen fünf und zehn Jahren – man denke etwa an Kreditkarten oder Reisepässe.
Carson: „Die Opfer sind also jahrelang ernsthaften Risiken ausgesetzt, solange sie kompromittierte Karten oder Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist.“ Unternehmen, die ihre Kunden nicht vor Datendiebstahl schützen, sollten zumindest für die Kosten der Ersatzbeschaffung kompromittierter Dokumente in die Verantwortung gezogen werden können, anstatt jegliche Verantwortlichkeit von sich abzuwenden.

Kunden müssen jetzt wissen, ob und welche ihrer Daten gefährdet sind!

„Der aktuelle Vorfall wirft nun einige Fragen auf, etwa seit wann Marriott über die Datenschutzverletzung Bescheid wusste und ob das Unternehmen weltweite Vorschriften und Regularien wie die Datenschutz-Grundverordnung der EU erfüllt hat.“
Letztere sehe bei Nichteinhaltung immerhin Geldstrafen in Höhe von 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. „Für potenziell betroffene Marriott-Kunde zählt nun vor allem eines: Sie müssen wissen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können“, betont Carson.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2018
Kritik am Umgang mit Datenleck bei Cathay Pacific

[datensicherheit.de, 15.10.2018] Für sein E-Book „Cybersecurity for Dummies“ ist Joseph Carson, Chief Security Scientist beim Privileged Account Management-Anbieter Thycotic, mit dem Information Security Leadership Award 2018 in der Kategorie „Community Awareness” ausgezeichnet worden. Verliehen wird der renommierte Preis vom International Information System Security Certification Consortium, kurz (ISC)², der weltweit größten gemeinnützigen Vereinigung zertifizierter Cybersicherheitsexperten.

Schneller und detaillierter Überblick über die Bedrohungslandschaft

Das kostenlose eBook „Cybersecurity for Dummies“ bietet den Lesern einen schnellen aber detaillierten Überblick über die aktuelle Bedrohungslandschaft und erklärt die wichtigsten Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen am Arbeitsplatz und zu Hause – inklusive praktischer Handlungsanweisungen.

Die ISLA-Awards zeichnen Leistungen von Personen im privaten und öffentlichen Sektor aus, die grundlegende Veränderungen im Cybersicherheitssektor im Blick haben. Die Auswahl der Gewinner trifft dabei ein aus fünf Mitgliedern des (ISC)² Advisory Council bestehendes Komitee nach Prüfung spezieller Kriterien und Voraussetzungen.

Foto: Thycotic

„Bei den meisten Sicherheitsverstößen sind privilegierte Konten oder Zugriffsdaten im Spiel. Die Intention dieses Buches war es deshalb, Menschen darüber aufzuklären, wie sie sich und ihr Unternehmen vor Cyberkriminalität schützen können“, so Carson. „Dieses Buch veranschaulicht auf verständliche Weise, wie Cyberkriminelle ihre Opfer anvisieren, wie Cyberrisiken minimiert werden und was Mitarbeiter gezielt tun können, um Angreifern den Diebstahl von Passwörtern und einen unbefugten Zugriff auf sensible Daten so schwer wie möglich zu machen.“

Weitere Informationen zum Thema:

Thycotic
E-Book „Cybersecurity for Dummies“

datensicherheit.de, 30.09.2018
„Cybersecurity Tech Accord“: Zusammenarbeit für Sicherheit und Stabilität im digitalen Raum

datensicherheit.de, 19.09.2018
Studie zur Cybersicherheit in deutschen IT- und Kommunikationsunternehmen

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal

[datensicherheit.de, 28.06.2018] In eigener Sache hat das Ticket-Portal „Ticketmaster“ kürzlich bekanntgegeben, dass in einem Kundendienst-Tool des externen Drittanbieters Inbenta Technologies eine bösartige Software entdeckt worden sei. Dies habe Unbekannten den Zugriff auf persönliche Informationen der Kunden wie Kontaktdaten, Zahlungsdetails und Log-in-Daten ermöglicht. Das betroffene, auf Inbentas Künstlicher Intelligenz (KI) basierende Tool soll den Kunden eigentlich einen besseren Support beim Online-Kauf bieten – mittlerweile sei es auf allen Websites abgeschaltet worden. Joseph Carson, „Chief Security Scientist“ bei Thycotic, kommentiert diesen Vorfall in einer aktuellen Stellungnahme:

Angriffe oft über Drittanbieter

„Dieser jüngste Datenverstoß bei Ticketmaster zeigt wieder einmal, dass Cyber-Kriminelle ihre Opfer gerne über Drittanbieter angreifen und dabei immer öfter auch Technologien wie Künstliche Intelligenz nutzen“, erläutert Carson.
Unternehmen müssten sich dessen bewusst sein und sollten deshalb nicht länger blind darauf vertrauen, dass alle Partner ihre Produkte und Lösungen auch angemessen absichern. Carson: „Cyber-Kriminelle nehmen schließlich immer das schwächste Glied der Kette ins Visier.“

Foto: Thycotic

Joseph Carson zum ersten großen Datenschutzverstoß seit endgültigem DSGVO-Inkrafttreten

Vorfall wohl schlimmer als angenommen

In diesem speziellen Fall glaubt Carson sogar, dass die Datenschutzverletzung „schlimmer sein könnte, als wir bisher annehmen“. Sicherlich seien persönliche Daten, Finanzinformationen und Passwörter abgegriffen worden, die nun im sogenannten Darknet für Cyber-Kriminelle zur Verfügung stünden. Doch viel interessanter wäre es jedoch zu erfahren, ob die Cyber-Kriminellen auch auf die KI-Informationen zugegriffen haben, und diese nun für einen weiteren gezielteren Angriff verwenden.
Auch die vielen anderen Kunden, die Inbenta Technologies einsetzen, würden sich nun fragen, ob sie in irgendeiner Weise betroffen sind. Viele würden wahrscheinlich vorsorglich eine Vorfallsreaktion zur Validierung starten.

Erster großer Datenschutzverstoß seit DSGVO-Inkrafttreten

Dies sei auch der erste große Datenschutzverstoß seit dem Inkrafttreten der EU-DSGVO am 25. Mai 2018. Hierbei werde also genau geprüft werden, ob Ticketmaster die Meldepflichten und Sicherheitsvorschriften eingehalten hat.
„Könnte Ticketmaster das erste Unternehmen sein, das die Sanktionen der DSGVO zu spüren bekommt?“, fragt Carson.

Weitere Informationen zum Thema:

Ticketmaster
INFORMATIONEN ÜBER EINEN SICHERHEITSVORFALL BEI EINEM DRITTANBIETER

datensicherheit.de, 10.04.2016
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken