[datensicherheit.de, 01.12.2025] Laut einer aktuellen Stellungnahme von André Schindler, „General Manager EMEA“ und „SVP Global Sales“ bei NinjaOne, wird Endpoint-Management zu einer immer größeren Herausforderung für Unternehmen. So hätten in einer Studie der Enterprise Strategy Group (ESG) ganze 40 Prozent der IT-Verantwortlichen angegeben, dass die Verwaltung und Absicherung von Endpunkten heute wesentlich schwieriger sei als noch vor zwei Jahren. Für diese Entwicklung existiert demnach eine Reihe an Gründen: „Die Hauptursache ist, dass durch die zunehmende Verbreitung von Remote- und Hybrid-Arbeit die Anzahl an Endgeräten beträchtlich steigt.“ So nutzten laut ESG inzwischen 93 Prozent der Mitarbeiter zwei oder mehr Geräte. Gleichzeitig nähmen Cyberangriffe sowohl in ihrer Häufigkeit als auch in ihrer Raffinesse zu – nicht zuletzt durch die Möglichkeiten, welche Künstliche Intelligenz (KI) Cyberkriminellen biete.

„Tool-Wildwuchs“ erschwert Transparenz über alle Endpoints hinweg

„Unternehmen befinden sich in einer verzwickten Lage – sie müssen immer mehr Cybergefahren abwehren, verfügen aber nicht über mehr Ressourcen als früher“, kommentiert Schindler. Im Gegenteil: Der Mangel an qualifizierten IT-Fachkräften sei nach wie vor beträchtlich.

• „So kompliziert die Situation ist – sie ist nicht aussichtslos! Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. Besonders wichtig ist die Konsolidierung von ,Tools’.“

IT-Abteilungen arbeiteten häufig mit einer Vielzahl unterschiedlicher Lösungen – zwischen fünf und fünfzehn seien die Regel. Fast 30 Prozent der Unternehmen setzten sogar 16 oder mehr parallel ein. Der daraus resultierende „Tool-Wildwuchs“ führe zu unkoordinierten Abläufen und erschwere die Transparenz über alle Endgeräte hinweg, was das Entstehen von Sicherheitslücken begünstige.

Einsatz Künstlicher Intelligenz im Endpoint-Management erforderlich

Schindler führt aus: „Eine weitere Möglichkeit, die Belastung von IT-Abteilungen zu reduzieren, bietet neben Konsolidierung der Einsatz von Künstlicher Intelligenz im Endpoint-Management.“

• Automatisiertes Endpoint-Management bezeichne eine neue Generation des Endgeräte-Managements, welche auf KI, Maschinellem Lernen (ML) und Automatisierung basiere.

Im Gegensatz zu klassischen Endpoint-Management-Ansätzen, bei denen Administratoren manuell eingreifen müssten, automatisiere AEM eine Vielzahl zentraler Aufgaben – von der Risikobewertung über Patch- und Konfigurationsmanagement bis hin zur präventiven Wartung. Dadurch ließen sich Risiken schneller erkennen und beheben sowie Ressourcen effizienter einsetzen.

Priorisierung der Patches je nach Relevanz für betreffenden Endpoint

Dieser Ansatz spiegele sich auch im automatisierten Patch-Management von NinjaOne wider. Schindler erläutert: „Die Lösung nutzt Daten aus mehreren spezialisierten Drittanbieter-Datenbanken, um Bedrohungslagen, Verfügbarkeit und Zuverlässigkeit von Patches präzise zu bewerten.“ Die integrierte „Patch Intelligence AI“ erkenne zudem bekannte Probleme mit Updates und setze fehlerhafte Patches automatisch aus.

• Auf dieser Grundlage priorisiere das System eigenständig, „welche Patches für welche Endpunkte relevant sind“, und ermögliche eine automatisierte, intelligente und standortunabhängige Aktualisierung sämtlicher Geräte.

Über die zentrale, „cloud“-basierte Plattform ließen sich klare Regeln und Freigabelogiken definieren, wodurch der gesamte Prozess ohne zusätzliches Skripting und auch in hybriden Umgebungen reibungslos ablaufe.

Neugestaltung des Endpoint- und Patch-Managements mit innovativen Lösungen ein Muss

„Da keine VPNs oder lokalen Server erforderlich sind, können Updates unabhängig vom Standort der Endpunkte ausgerollt werden.“ Eine Echtzeitüberwachung sorge zudem dafür, dass IT-Teams jederzeit volle Transparenz über den Fortschritt und Erfolg der Patches hätten.

• „In einer Zeit, in der IT-Abteilungen ohne mehr Ressourcen immer mehr leisten müssen, ist eine Neugestaltung des Endpoint- und Patch-Managements mit solchen innovativen Lösungen ein Muss!“, betont Schindler abschließend.

Unternehmen, welche auf eine Kombination aus Automatisierung, KI und Plattformintegration setzten, würden einen entscheidenden Wettbewerbsvorteil haben.

Weitere Informationen zum Thema:

ninjaOne
Wer wir sind / NinjaOne wurde mit einer einfachen Idee gegründet – den Kunden an erste Stelle zu setzen

Linkedin
André Schindler

Omdia by informa techtarget, Enterprise Strategy Group Research, Gabe Knuth @ Emily Marsh, 26.06.2025
Research Report: The Growing Role of AI in Endpoint Management and Security Convergence

datensicherheit.de, 28.07.2019
5 Gründe für eine neue Endpoint-Security-Strategie / Sicherheitsstrategien müssen überdacht werden

datensicherheit.de, 06.11.2018
Endpoint-Security – eine Bilanz / Die Zahl der Endgeräte hat sich vervielfacht / Nutzung sowohl für private als auch berufliche Zwecke

datensicherheit.de, 20.06.2018
SANS-Studie: Automatisierte Endpoint Protection hat höchste Priorität für IT-Experten / Der SANS 2018 Endpoint Protection and Response Survey zeigt steigendes Interesse an Automatisierung in der Cybersicherheit, aber dennoch werden Sicherheitsfunktionen der nächsten Generation zu selten implementiert

[datensicherheit.de, 23.10.2025] Im Kontext der Digitalen Transformation der Welt gehören Cyberangriffe längst zur Normalität – besonders kritisch wird es, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren. Selbst einzelne Programmier-Bausteine der Entwickler sind offenbar nicht sicher: Im „Global Cybersecurity Outlook 2025“ des World Economic Forum (WEF) gaben über 50 Prozent der Organisationen an, dass dies für sie die größte Herausforderung bei der Cyberresilienz sei. Lars Francke, CTO und Mitgründer von Stackable, geht in seiner aktuellen Stellungnahme auf effektives Schwachstellen-Management ein, erläutert, wieso viele Sicherheitslücken nicht unbedingt ein Risiko darstellen müssen und welche Rolle „Open Source“ spielt.

Foto: Stackable

Lars Francke: Wenn es um eine sichere Software-Liferkette und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: „Don’t panic!“

Hunderttausende IT-Sicherheitsvorfällen – sowohl im „Closed“- als auch im „Open Source“-Umfeld

Francke umreißt die Gefährdung: „Digitale Bedrohungen nehmen weltweit kontinuierlich zu. Meldungen über Malware, Ransomware oder DDoS-Attacken gehören bereits zum Alltag. Und auch Angriffe auf ,Software Supply Chains’ gibt es immer öfter.“

• Die Täter nehmen demnach gerne Web-Marktplätze ins Visier, auf denen Entwickler fertige Software-Bausteine bzw. -Pakete tauschen. „Was ist also beim Schwachstellen-Management zu beachten? Welche Rolle spielt ,Open Source’? Auf diese Fragen mussten auch wir bei Stackable Antworten finden.“

Jedes Jahr komme es zu Hunderttausenden Sicherheitsvorfällen in der IT – sowohl im „Closed“- als auch im „Open Source“-Umfeld. Security-Experten und Cyberkriminelle lieferten sich dabei ein ständiges „Katz-und-Maus-Spiel“ um das Ausnutzen und Schließen von Schwachstellen.

Täter schleusen Malware in Software-Pakete, also fertige Programmier-Bausteine, entlang der -Lieferkette ein

Indes: „Und die Täter werden immer einfallsreicher. Bei ,Open Source’ besonders häufig in letzter Zeit: ,Supply Chain’-Angriffe. Hierbei schleusen Täter Schadsoftware in Software-Pakete ein, also fertige Programmier-Bausteine.“ Im „Global Cybersecurity Outlook 2025“ des WEF hätten 54 Prozent der Organisationen angegeben, dass die Software-Lieferkette die größte Herausforderung für die Cyber-Resilienz sei.

Die Beispiele seien zahlreich:

• Zu einem berühmten Zwischenfall sei es etwa beim JavaScript-Paket „node-ipc“ gekommen: „Ein Maintainer schleuste eine ,Protest-Malware’ ein, mit der er Systeme in Russland und Belarus lahmlegen wollte – samt Textdatei ,with love from america’.“
• In einem anderen Fall erwischte es den „GitHub Actions + PyPI“-Token, wodurch infizierte Dateien veröffentlicht worden seien.
• Und vor ein paar Wochen traf es „npm“, sozusagen ein App-Store für Software-Pakete, gleich doppelt: „Zuerst konnten die Angreifer, nachdem sie an die Zugangsdaten eines Entwicklers gelangt waren, manipulierte Pakete in Umlauf bringen. Und nur wenige Tage später wurde ein wöchentlich millionenfach heruntergeladenes Paket mit einem Schad-Wurm infiziert.“

Diese und andere Vorfälle wie „Log4Shell“ oder der „SolarWinds“-Hack zeigten: Für Unternehmen sei nicht nur die physische Lieferkette enorm wichtig, sondern auch die digitale. „Doch was gibt es in einem Open Source-,Ökosystem‘ zu beachten, in dem theoretisch jeder User Schadsoftware einbringen kann?“

Vielzahl an Schwachstellen bedeutet nicht zwangsläufig, dass eine Software unsicher sein muss

Als sogenannte CVE Numbering Authority hätten sie von Stackable direkten Einblick in Schwachstellen und könnten bzw. müssen neue Einfallstore melden. „Und für unsere ,Data Platform’, bei der mehrere ,Open Source’-Komponenten zum Einsatz kommen und wir uns deshalb auf die Lieferkette verlassen müssen, haben wir ein spezielles Vorgehen bei der ,Supply Chain Security’ etabliert.“

• Francke führt aus: „Dafür mussten wir zunächst umdenken: Eine Vielzahl an Schwachstellen bedeutet nämlich nicht zwangsläufig, dass eine Software unsicher ist. Und wenige CVEs stehen nicht automatisch für Sicherheit.“ Scan-Berichte zeigten, dass selbst in Softwareprojekten großer, globaler Hersteller viele CVEs vorhanden seien. Häufig stellten diese aber nur ein theoretisches Risiko dar – „und es ist in der Praxis so gut wie ausgeschlossen, dass sie Probleme verursachen“.

Ein Beispiel: „,OpenSSH’ ist ein Programm für Fernzugriffe, zu dem es in der CVE-Datenbank bekannte Schwachstellen gibt. Viele automatische Sicherheitsscanner schlagen Alarm, sobald sie eine bekannte CVE in der installierten ,OpenSSH’-Version finden. Das ist aber nur ein Indiz – nicht automatisch ein Risiko.“ Bei ihnen werde „OpenSSH“ ausschließlich als Client genutzt, also nur, um Verbindungen nach außen aufzubauen. CVEs bei serverseitigen Funktionen von „OpenSSH“ seien für sie deshalb nicht relevant – „in anderen Bereichen aber natürlich schon“.

Konzentration auf die tatsächlichen Gefahren empfohlen

Deshalb prüften sie nicht jede Meldung gleich pauschal, sondern konzentrierten sich auf die tatsächlichen Gefahren: „Dazu vergleichen wir CVE-Einträge mit Listen von Vulnerabilities, von denen bekannt ist, dass sie aktiv ausgenutzt werden. Und wir beobachten öffentliche Exploit-Quellen wie ,Metasploit’ oder Proof-of-Concept-Repos auf ,GitHub’.“

• Zusätzlich nutzen sie „EPSS-Scores“ (Exploit Prediction Scoring System), um einzuschätzen, wie wahrscheinlich ein Schwachstellen-Missbrauch in der Praxis ist. „So lassen sich echte Bedrohungen von harmlosen Treffern unterscheiden.“

Francke erläutert: „Warum diese Mühe? Weil wir in erster Linie ein verlässliches Produkt liefern möchten. Unser Fokus liegt auf einem stabilen System, das wir nicht durch aggressive Updates aus dem Gleichgewicht bringen möchten, wenn sie keine nennenswerten Sicherheitsvorteile bieten.“ Dies bedeute natürlich nicht, Updates zu vernachlässigen, sondern vielmehr zielgerichtet vorzugehen. Etwa durch Integrationstests oder mit maßgeschneiderten „Tools“, um Patches auch über mehrere Produktversionen hinweg zu verwalten. „Und vor allem durch ,Open Source’.“

Sicherheit auch entlang der Software-Lieferkette gerade durch Offenheit

Software mit offenem Quellcode sei längst im Mainstream angekommen. „Das zeigt der aktuelle ,Open Source Monitor’ des Branchenverbands Bitkom: Über 70 Prozent aller deutschen Unternehmen setzen inzwischen ,Open Source’-Software ein. Zwei Punkte sind den Befragten dabei besonders wichtig – die Funktionalität und die Sicherheitsaspekte.“

• Auf den ersten Blick erscheine dies zunächst widersprüchlich. „Während wir bei proprietärer Software nicht mal eine Chance auf einen Einblick haben, können bei ,Open Source’-Software alle User den Quellcode einsehen und verändern – also auch Menschen mit böswilligen Absichten. Und das macht ,Open Source’ eigentlich perfekt für Cyberkriminelle, um mögliche Einfallstore auszuspähen.“

Tatsächlich sei es aber gerade diese Offenheit, welche für ein sehr hohes Maß an Sicherheit sorge: Da viele Menschen rund um den Globus an dem Code mitarbeiteten und ihre Erfahrungen teilten, würden Schwachstellen meist sehr schnell entdeckt und geschlossen. „Viele Augen sehen einfach mehr“, so Franckes Kommentar.

„Open Source“ als das perfekte Mittel zur Kombination von Funktionalität und Sicherheit

„,Open Source’ war für uns von Beginn an das perfekte Mittel, um Funktionalität und Sicherheit zu vereinen. Was wir entwickeln, ist komplett öffentlich. Und diese Entscheidung zahlt sich jetzt auch im Security-Bereich aus.“

• Sie hätten die Kontrolle über den Quellcode und das Endprodukt, und durch die Transparenz könnten wir jederzeit nachvollziehen, „wie und wo Schwachstellen entstehen“. Zudem erstellten sie für jedes Container-Image eine Software-Bill-of-Materials (SBOM), um alle enthaltenen Komponenten auf mögliche Risiken scannen zu können.

„Wenn es also um eine sichere ,Software Supply Chain’ und die Bewahrung der eigenen Daten geht, heißt es in erster Linie: Don’t panic!“ Francke betont: „Nur weil in einer Komponente Schwachstellen existieren, ist sie nicht automatisch gefährlich.“ Sein abschließender Rat: „Unternehmen sollten ein solides Schwachstellen-Management etablieren, um über tatsächliche Risiken jederzeit informiert zu sein. Wer zudem auf ,Open Source’ setzt, unternimmt einen großen Schritt hin zu einer erhöhten Sicherheit!“

Weitere Informationen zum Thema:

Stackable
Wir sind Stackable​ / Über das Unternehmen

Linkedin
Lars Francke: Co-Founder & CTO at Stackable | Building an Open-Source Data Platform on Kubernetes

WORLD ECONOMIC FORUM, 03.01.2025
Global Cybersecurity Outlook 2025

bitkom
Gesamtübersicht – Studie: Open Source Monitor / Die Entwicklung von Open Source in Deutschland

datensicherheit.de, 17.09.2025
Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer / Eine große Mehrheit der Unternehmen in Deutschland sieht in „Open Source“-Software auch eine Chance für mehr Digitale Souveränität

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 10.10.2024
Open Source Software – unbestreitbare Vorteile sowie Risiken / Open Source Software (OSS) hat sich als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert

[datensicherheit.de, 19.08.2025] Die IST-Hochschule für Management bietet branchenspezifische Fernstudiengänge in den Bereichen „Kommunikation & Wirtschaft“, „Tourismus & Hospitality“, „Sport & Management“ sowie „Fitness & Gesundheit“ an – mit den Abschlüssen „Bachelor“ und „Master“. Die Angebote sollen sich durch „eine hohe Flexibilität, eine moderne Wissensvermittlung mit Online-Vorlesungen und Online-Tutorien, eine ausgesprochene Praxisnähe sowie die Möglichkeit, persönliche Wahl-Themenschwerpunkte zu setzen“ auszeichnen. Studenten könnten so anerkannte akademische Abschlüsse erzielen und sich für Führungspositionen im mittleren und gehobenen Management qualifizieren. Betont wird in einer Stellungnahme vom 1. August 2025, dass die Digitale Transformation eben nicht mit Technik, sondern mit Menschen beginnt. Nach dieser Erkenntnis sollen sich demnach die Studienangebote richten.

Foto: Klaus Bißler privat

Klaus Bißler ist Mitgestalter der Digitalen Transformation im Öffentlichen Dienst

Digitale Transformation erfordert Kultur, Führung und Kommunikation

Ob im Öffentlichen Dienst, in der Wirtschaft oder im Bildungssektor: Wer die Digitale Transformation aktiv mitgestalten möchte, brauche mehr als nur technisches Know-how. Strategisches Denken, moderne Führungskompetenz und betriebswirtschaftliches Verständnis seien heute zentrale Voraussetzungen für wirksames Handeln – genau dort setze der berufsbegleitende „MBA Business Administration“ der IST-Hochschule für Management an.

• „Einer, der diesen Weg bewusst geht, ist Klaus Bißler. Der 32-Jährige aus Neckarsulm ist Dozent beim Landeszentrum für Datenverarbeitung (LZfD) der Oberfinanzdirektion Karlsruhe.“ Dort sei er verantwortlich für die Planung, Durchführung und Nachbereitung von Schulungen für Finanzbeamte – insbesondere im Kontext der Einführung digitaler Fachverfahren. Ein Schwerpunkt seiner Tätigkeit liege im Gesamtvorhaben „KONSENS“, welches die Digitalisierung der deutschen Steuerverwaltung bundesweit vorantreibe.

Bißler bringe hier nicht nur Fach- und IT-Kompetenz ein, sondern begleite aktiv Veränderungsprozesse in der Organisation. Die Digitale Transformation sei kein reines IT-Thema. „Es geht um Kultur, Führung und Kommunikation!“, unterstreicht Bißler und führt weiter aus: „Wer Menschen durch Wandel führen will, braucht strategisches Denken und Empathie! Genau dafür liefert der MBA die richtige Grundlage.“

Viele MBA-Inhalte sollen sich unmittelbar auf Arbeitsalltag der Digitalen Transformation übertragen lassen

Seit Oktober 2023 studiert er demnach berufsbegleitend den „MBA Business Administration“ an der IST-Hochschule – mit dem Ziel, sich für höhere Aufgaben im Öffentlichen Dienst zu qualifizieren. Die Kombination aus wirtschaftswissenschaftlichem Know-how, modernen „Leadership“-Modulen und flexibler Studienstruktur habe ihn sofort überzeugt: „Ich wollte Organisationen auch aus betriebswirtschaftlicher Perspektive verstehen“, so Bißler.

• Ob „Change Management“, „Schulungsdidaktik“ oder „Strategisches Projektverständnis“ – viele Inhalte des MBA sollten sich unmittelbar auf seinen Arbeitsalltag übertragen lassen. Gleichzeitig profitiere Bißler vom hohen Maß an Flexibilität: Online-Vorlesungen, digitale Lernmaterialien und individuell planbare Prüfungsformate ermöglichten ein Studium parallel zum Vollzeitjob.

Zusätzlich ist er als Lehrbeauftragter an der Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg (HVF) engagiert – auch dort sollen die im MBA erworbenen Kompetenzen unmittelbar in die Lehre einfließen.

Erfolgsfaktor der Digitalen Transformation: Lebenslanges Lernen als Haltung und Grundlage

Bißlers Fazit: „Das Studium ist praxisnah, fundiert und hervorragend betreut. Die Flexibilität hilft mir enorm, die Inhalte in meinen Alltag zu integrieren.“ Seine Motivation sei Lebenslanges Lernen als Haltung und Grundlage für modernes Verwaltungshandeln.

• Langfristig strebe er eine Position mit mehr Verantwortung im Bereich Bildung oder Personalentwicklung an – oder auch eine erweiterte Tätigkeit in der akademischen Lehre. „Bildung ist heute so flexibel wie nie. Egal, wo man steht – man kann jederzeit anfangen. Es lohnt sich!“, unterstreicht Bißler.

Der berufsbegleitende „MBA Business Administration“ richtet sich laut IST-Hochschule für Management an Berufstätige mit erster akademischer Qualifikation, welche ihre Management- und Führungskompetenzen gezielt weiterentwickeln möchten. Studienstart sei jeweils im April und Oktober – Interessierte könnten sich ab sofort anmelden.

Weitere Informationen zum Thema:

iST HOCHSCHULE für Management
Die IST-Hochschule

iST HOCHSCHULE für Management
Master of Business Administration (MBA)

Baden-Württemberg, Oberfinanzdirektion
EDV – Landeszentrum für Datenverarbeitung

HOCHSCHULE FÜR ÖFFENTLICHE VERWALTUNG UND FINANZEN LUDWIGSBURG
zukunft.finanzenbw

KONSENS
Mit KONSENS werden Steuern digital / Einheitlich – Modern – Länderübergreifend

HOCHSCHULE FÜR ÖFFENTLICHE VERWALTUNG UND FINANZEN LUDWIGSBURG
Institut für Digitale Plattformen in Verwaltung und Gesellschaft (DPVG) / Kurzporträt Klaus Bißler

datensicherheit.de, 10.04.2025
Die Digitale Transformation im Blick: eco kommentiert neuen Koalitionsvertrag – Zustimmung und Bedenken / Digitalministerium als starkes, aber Vorratsdatenspeicherung als falsches, da grundrechtswidriges Signal

datensicherheit.de, 07.10.2023
Cybersecurity: Sicherheitsfaktor Mensch trotz KI unersetzlich / Mensch und KI sollten einander sinnvoll ergänzen

datensicherheit.de, 01.09.2023
Digitale Transformation: Mehrheit der Bevölkerung sieht keine Fortschritte / Vor einem Jahr vorgestellte sogenannte Digitalstrategie der Bundesregierung lässt Umsetzung vermissen

datensicherheit.de, 20.06.2023
Kommunale Cyber-Sicherheit: Proofpoint fordert stärkeren Fokus auf Risikofaktor Mensch / Technische Schutzmaßnahmen nach wie vor Rückgrat jeder Cyber-Sicherheitsstrategie – jedoch ohne den Menschen nur Teilaspekt der Gesamtbetrachtung

[datensicherheit.de, 28.07.2025] Proofpoint warnt in seiner aktuellen Stellungnahme vor Cyberkriminellen, welche mit „Remote Management Tools“ vermehrt Arbeitssuchende ins Visier nehmen. Diese „Tools können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen.

Abbildung: Proofpoint

Proofpoint warnt vor gefälschten Jobangeboten Cyberkrimineller – hier eine vorgetäuschte Einladung zur Besprechung via „zoom“

Gefälschte „zoom“-Einladungen führen zu einem „Remote Management Tool“

Proofpoint hat demnach mehrere Kampagnen identifiziert, bei denen betrügerische E-Mails mit Einladungen zu vermeintlichen Vorstellungsgesprächen versendet wurden: „Die E-Mails enthalten eine Einladung zu einem ,zoom’- oder ,Teams’-Call, um vermeintlich ein Stellenangebot zu besprechen. In Wirklichkeit führen die Links aber zu einem ,Remote Management Tool’ wie ,SimpleHelp’, ,ScreenConnect’ oder ,Atera’.“

• RMM-Software („Remote Monitoring and Management“) werde in Unternehmen legitimerweise von IT-Administratoren zur Fernverwaltung des Computer-Bestands eingesetzt. „Wenn sie missbraucht wird, hat diese Software die gleichen Fähigkeiten wie ein ,Remote Access Trojaner’ (RAT).“

In neueren Kampagnen werden laut Proofpoint kompromittierte E-Mail-Adressen genutzt, oder die Täter geben sich als Repräsentanten echter Unternehmen aus. „Die Absender haben für gewöhnlich Namen, die mit echten Personalvermittlern oder Unternehmensmitarbeitern in Verbindung gebracht werden.“ Der Inhalt solcher E-Mails beziehe sich auf Bewerbungen.

In betrügerischen E-Mails freie Stellen imitierter bzw. kompromittierter Unternehmen benannt

Security-Experten von Proofpoint konnten in den betrügerischen E-Mails „mehrere Stellen identifizieren, die von den imitierten bzw. kompromittierten Unternehmen tatsächlich ausgeschrieben wurden“.

• Proofpoint habe in mindestens einem Fall Beweise für ein gehacktes „LinkedIn“-Konto gefunden, über welches eine Stellenbeschreibung mit einer „Gmail“-Adresse veröffentlicht worden sei, „bei der eine kompromittierte Identität zum Einsatz kam“. Proofpoint habe diese E-Mail-Adresse in betrügerischen E-Mails beobachtet, „die an Personen geschickt wurden, die sich offenbar auf die Stelle beworben hatten“. Die Person, deren Identität betroffen gewesen sei, habe aber den Hacker-Angriff erkannt – „bevor Proofpoint ihn identifizieren konnte“ – und den betrügerischen Beitrag entfernt.

Cyberkriminelle könnten sich Listen potenzieller Ziele auf verschiedene Weise beschaffen: „So erstellen sie gefälschte Stellenausschreibungen, um E-Mail-Adressen zu sammeln, kompromittieren Posteingänge oder Soziale Medien von Personalverantwortlichen oder nutzen eine Liste zuvor gestohlener E-Mail-Adressen.“

Cyberkriminelle E-Mail-Kampagnen verbreiten „Tools“ für RMM oder „Remote Access Software“

Diese Aktivitäten seien Teil einer breiteren Palette von E-Mail-Kampagnen, welche „Tools“ für RMM oder „Remote Access Software“ (RAS) verbreiteten. Proofpoint habe E-Mails beobachten können, „die sich als US-Behörden, Einladungen zu Partys, Finanzinstitute und vieles mehr ausgaben“.

• RMM-/RAS-Tools seien als initiale „Payload“ sehr beliebt geworden. Anstatt RATs oder sogenannte Infostealer zu versenden, verwendeten Angreifer RMMs, da diese im legitimen Datenverkehr weniger auffielen. So könnten sie Geld oder Informationen stehlen bzw. weitere Malware installieren.

Arbeitssuchenden wird nun von Proofpoint geraten, „besonders auf die Namen und Absenderdomains der Personen zu achten, die mit ihnen in Kontakt treten, da diese Identitäten gefälscht sein könnten“. Abschließend die dringende Warnung: „Wenn Sie eine ausführbare Datei erhalten oder auf eine URL klicken sollen, die zu einer solchen führt, handelt es sich sehr wahrscheinlich um einen Betrugsversuch!“

Weitere Informationen zum Thema:

X, proofpoint, 24.07.2025
Threat Insight: Job seekers, watch out!

proofpoint, Ole Villadsen & Selena Larson & The Proofpoint Threat Research Team, 07.03.2025
Remote Monitoring and Management (RMM) Tooling Increasingly an Attacker’s First Choice

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

datensicherheit.de, 06.08.2021
Schwachstellen in Cisco VPN-Routern: Patchen oder Remote-Management-Funktion deaktivieren / Tenable mahnt zu schneller Reaktion auf Sicherheitslücken in Cisco VPN-Routern

[datensicherheit.de, 29.05.2025] „Ein falsch konfigurierter ,Cloud’-Speicher, eine vergessene Subdomain, ein veralteter Webserver oder eine unentdeckte Drittanbieter-Anwendung – manchmal genügt ein einziges übersehenes System, das zum Einfallstor für Angreifer in die IT-Infrastruktur von Unternehmen, Behörden oder öffentlichen Einrichtungen werden kann“, warnt Harald Röder, „Senior Solutions Engineer D-A-CH & Central Europe“ bei Censys, in seiner aktuellen Stellungnahme. Oftmals fehle jedoch der vollständige Überblick über alle „Internet Assets“, Geschäftsprozesse oder Dienstleistungen. Solche „blinden Flecken“ in der eigenen IT-Infrastruktur gerieten immer stärker ins Visier Cyberkrimineller und vergrößerten die Online-Angriffsfläche erheblich. Genau dort setzten „Attack Surface Management“-Lösungen (ASM) an: „Sie verschaffen IT-Verantwortlichen die notwendige Transparenz über die gesamte digitale Angriffsfläche und decken versteckte Risiken auf. Auf Basis dieser Daten zu extern zugänglichen, dem Internet ausgesetzten IT-Assets können Schwachstellen gezielt entschärft werden, bevor Angreifer sie ausnutzen können.“

Foto: Censys

Harald Röder: Wer heute die Kontrolle über seine externe IT-Infrastruktur behalten will, kommt an ASM nicht vorbei!

ASM-Werkzeuge übernehmen Perspektive eines potenziellen Angreifers

Röder führt aus: „,Attack Surface Management’ ist ein Ansatz, um extern erreichbare IT-Ressourcen zu identifizieren und zu analysieren. Auf Basis der proaktiv gesammelten Daten können entsprechende Gegenmaßnahmen zur Absicherung von Schwachstellen ergriffen werden.“ Im Fokus stehen demnach dabei alle digitalen Assets, die aus dem Internet heraus angreifbar sind – von Web-Anwendungen über „Cloud“-Dienste bis hin zu Netzwerkinfrastrukturen.

Dazu gehörten auch IP-Adressen, DNS-Einträge, Webseiten, APIs, Remote-Zugriffspunkte, Datenbanken, Verschlüsselungsdetails, File-Sharing-Dienste oder gestohlene und im sogenannten DarkWeb verkaufte Anmeldedaten. Das Ziel von ASM sei es, Risiken wie Schwachstellen, unsichere Konfigurationen, Daten oder andere Probleme frühzeitig zu erkennen und Sicherheitslücken rechtzeitig zu schließen – „idealerweise bevor sie von Dritten entdeckt werden und ausgenutzt werden können“. ASM-„Tools“ übernähmen dabei die Perspektive eines potenziellen Angreifers. „Dadurch wird deutlich, welche IT-Assets sichtbar und damit ein Risiko sind.“

Online-Angriffsfläche wächst mit jeder neuen Anwendung – warum ASM so wichtig ist

Die Online-Angriffsfläche wachse mit jeder neuen Anwendung, jedem zusätzlichen Dienst und jeder „Cloud“-Instanz. In solchen dynamischen IT-Umgebungen mit hybriden Infrastrukturen könne es für IT-Security-Teams schwer sein, den Überblick zu behalten. Röder gibt zu bedenken: „Schnell entsteht eine digitale ,Schatten-IT’, etwa durch vergessene Server, alte Subdomains oder nicht dokumentierte Schnittschnellen.“

Oft könnten auch interne Prozesse mitverantwortlich für eine fehlende Übersichtlichkeit sein – „etwa, wenn neue Dienste eingerichtet werden, ohne sauber in das zentrale Sicherheitsmanagement integriert zu werden“. Auch externe Dienstleister, welche im Auftrag ihrer Kunden Systeme betreiben, könnten die Angriffsfläche erweitern – „häufig ohne dass dies den IT-Sicherheitsteams vollständig bekannt ist“. ASM helfe dabei, unbekannte oder vergessene Schwachstellen zu identifizieren und zu beheben, „bevor ein Hacker sie ausnutzen kann“.

Was ein ASM-Werkzeug leisten können muss

Effektives ASM setze an mehreren Stellen gleichzeitig an. Röder unterstreicht: „Wichtig ist zunächst eine automatisierte Bestandserfassung – alle Internet-Assets, Domains, IP-Adressen, ASNs und weitere digitalen Assets müssen kontinuierlich und automatisiert identifiziert werden!“ Dies gelte unabhängig davon, ob die Assets zentral verwaltet oder dezentral betrieben werden.

Auch eine kontextbasierte Risikobewertung sei ein wichtiger Faktor für ASM-„Tools“: Da nicht jede sichtbare Komponente automatisch ein akutes Risiko darstelle, müssten diese „Tools“ in der Lage sein, Schwachstellen im Kontext zu bewerten. Bewertungskriterien könnten etwa auf Basis von Versionen, Konfigurationen, bekannten Sicherheitslücken oder der jeweiligen Exponierung erfolgen.

ASM sollte fortlaufender und dauerhafter Vorgang sein

Da sich die Angriffsfläche kontinuierlich verändere, sollte ASM ein fortlaufender und dauerhafter Vorgang sein. „Nur so ist sichergestellt, dass auch kurzfristige Veränderungen erkannt und berücksichtigt werden können“, betont Röder. Außerdem sollte ASM keine isolierte Sicherheitsmaßnahme sein, sondern sich nahtlos in vorhandene Abläufe einfügen, etwa in das Schwachstellenmanagement, „Incident Response“ oder „Compliance“-Prozesse.

Der Mehrwert einer ASM-Lösung reiche weit über die reine Analyse von Schwachstellen hinaus. Unternehmen, die ihre digitale Angriffsfläche proaktiv managen, profitierten unter anderem von folgenden Vorteilen:

• Klarheit über die eigene IT-Präsenz
  „Attack Surface Management“ decke auf, welche Systeme tatsächlich von außen sichtbar sind – nicht nur jene, die geplant oder dokumentiert sind.
• Frühzeitige Risikoeinschätzung
  Durch kontinuierliche Analyse könnten potenzielle Schwachstellen behoben werden, bevor sie von Angreifern ausgenutzt werden.
• Besserer Schutz bei zunehmender Komplexität
  Gerade in „Multi-Cloud“-Umgebungen und bei „Remote Work“ helfe ASM, Ordnung und Kontrolle zu schaffen.
• Unterstützung bei Audits und Regulatorik
  Transparenz über die Angriffsfläche sei auch für gesetzliche Anforderungen von zentraler Bedeutung – etwa im Rahmen von NIS-2, DORA oder ISO-Zertifizierungen.

ASM schafft Sichtbarkeit – als Voraussetzung für Sicherheit

„Wer die eigenen Schwachstellen nicht kennt, kann sie auch nicht schützen“, stellt Röder klar. ASM schließe genau diese Lücke – und werde damit zu einer unverzichtbaren Disziplin in der modernen IT-Sicherheitsstrategie.

Unternehmen, welche ihre Angriffsfläche verstehen und aktiv überwachen, schafften die Grundlage für wirksamen Schutz in einer zunehmend vernetzten Welt. Röders absschließender Kommentar: „Ob kleines IT-Team oder globaler Konzern: Wer heute die Kontrolle über seine externe IT-Infrastruktur behalten will, kommt an ,Attack Surface Management’ nicht vorbei!“

Weitere Informationen zum Thema:

censys
About Censys / Built for Practitioners and Researchers by Practitioners and Researchers

datensicherheit.de, 27.04.2025
E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen / Günter Esch plädiert für „Secure E-Mail-Gateways“ als Grundsicherung digitaler Rechnungsprozesse

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können

datensicherheit.de, 14.06.2022
Unternehmen in Sorge: Außer Kontrolle geratene digitale Angriffsfläche / Eingeschränkte Visibilität und Kontrolle bedrohen laut Studie von Trend Micro IT-Sicherheit der Unternehmen weltweit

datensicherheit.de, 15.04.2021
BSI: Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle / Ergebnis einer repräsentativen BSI-Umfrage unter 1.000 Unternehmen und Betrieben am 15. April 2021 vorgestellt

datensicherheit.de, 14.04.2020
Home-Office: Vergrößerung der Angriffsfläche verlangt nach automatisierter Cybersicherheit / Remote-Arbeitsplätze für mobile Arbeitskräfte, die Verlagerung der Belegschaft ins Home-Office und die Nutzung von RDP, VPN und VDI vergrößern die Cyberangriffsfläche erheblich

[datensicherheit.de, 25.03.2025] Colt Technology Services, globaler Anbieter für digitale Infrastruktur, hat in seinem optischen Wavelength-Netzwerk einen erfolgreichen Test zur quantengesicherten Verschlüsselung durchgeführt. Dafür hat das Unternehmen mit verschiedenen Technologiepartnern zusammengearbeitet, darunter Adtran, Ciena, ID Quantique (IDQ), Nokia und Toshiba, um nach eigenen Angaben zusätzliche Dienstleistungen für globale Unternehmen anzubieten, die sich auf eine quantengesicherte Zukunft vorbereiten.

Colt Quantenverschlüsselung © Colt/Just_Super Secured

Auf Basis des erfolgreichen Tests will Colt nun neue maßgeschneiderte Lösungen entwickeln, die Unternehmen vor den Risiken schützen, die Quantencomputer für die Entschlüsselung klassischer Verschlüsselungsmethoden darstellen. Die neuen quantengesicherten Verschlüsselungslösungen würden entsprechend den individuellen Anforderungen der Colt-Kunden angepasst und installiert. Sie erweiterten und ergänzten das bestehende Portfolio von Colt im Bereich der optischen Verschlüsselung. Zu diesen neuen Lösungen gehören:

• Quantengesicherte Verschlüsselung für Wavelength-Services von Colt in Metro-, nationalen und internationalen Netzwerken
• Quantengesicherte Verschlüsselung für das private Netzwerk eines Kunden in Metro-, nationalen und internationalen Netzwerken

Für Colt ist der Test nach eigenem Bekunden ein bedeutender Schritt zur Erprobung neuer Technologien, um zukünftige Herausforderungen für seine globalen Kunden zu lösen, sowie für die Integration verschiedener Partner. Colt könne somit quantengesicherte Netzwerkfunktionen herstellerunabhängig anbieten. Dadurch erhielten Kunden eine größere Auswahl an Lösungen für ihre aktuellen und künftigen Anforderungen.

Starkes Wachstum im Quantenmarkt von 2023 bis 2035 erwartet

Für den Quantenmarkt wird von 2023 bis 2035 eine jährliche Wachstumsrate (CAGR – Compound Annual Growth Rate) von 23 bis 25 Prozent prognostiziert. Branchen wie Finanzdienstleistungen, Verteidigung und Gesundheitswesen würden zu den ersten gehören, die von dem umfassenden Problemlösungspotenzial der Quantentechnologie profitierten. Gleichzeitig müssten sich Unternehmen vor den Risiken schützen, die von Quantencomputern ausgingen. Dazu gehören der „Jetzt sammeln, später entschlüsseln“-Ansatz, bei dem Angreifer zunächst Daten mit der Absicht zusammentragen und speichern, um sie später zu entschlüsseln, also sobald die Quantentechnologie ausgereift ist. Wichtig sei hierbei auch die Vorbereitung auf den „Q-Day“, also den Zeitpunkt, an dem Quantencomputer voraussichtlich in der Lage sein werden, klassische Verschlüsselungsmethoden zu brechen.

Buddy Bayer, Chief Operating Officer von Colt Technology Services, sagt: „Der Schutz von Daten vor künftigen Risiken ist eine große Herausforderung für Unternehmen. Das gilt besonders für die Bedrohung durch die komplexe und unbekannte Quanten-Technologie. Unser Test hat einige der bekanntesten Partner, fortschrittlichsten Technologien und größten technischen Experten der Branche mit einem einzigen gemeinsamen Ziel zusammengebracht: eine Lösung zu finden, damit unsere Kunden einer Quantenzukunft mit Zuversicht entgegensehen können. Gemeinsam haben wir dieses Ziel erreicht.“

Technischen Spezifikationen des Tests

• Im Rahmen des Tests wurden verschiedene quantengesicherte Verschlüsselungsmethoden für den Datenverkehr über das optische Wavelength-Netz von Colt getestet. Dazu gehörten: Quantum Key Distribution (QKD), Pre-Shared Key (PSK) mit symmetrischer Schlüsselverteilung und Post-Quantum Cryptography (PQC).
• Colt testete diese unterschiedlichen, aber komplementären Quantensicherheitsfunktionen in seinem Netz zwischen London und Frankfurt auf einer Strecke von 1.361 km und in seinem Metro-Netz zwischen zwei Colt Points of Presence (PoPs) in der Londoner City sowie einem PoP in Slough auf einer Strecke von 88 km.
• Der Quantum-Key-Distributionstest fand zwischen London City und Slough in Großbritannien statt. Mehrere Partnerlösungen evaluierten Quantum-Key-Distributionsszenarien sowohl in Point-to-Point- als auch in Trusted-Node-Topologien. Colt testete die Szenarien unter Verwendung von Dual-Fiber-Pair- als auch Single-Fiber-Pair-Netzwerken. Im Single-Fiber-Pair-Szenario transportierte Colt sowohl Quantenkanal- als auch Datendienste auf demselben Faserpaar.

Colt erwartet, dass seine Finanzdienstleistungskunden zu den ersten gehören werden, die von den neuen Lösungen profitieren könnten, da diese Branche bereits Vorreiter beim Einsatz der Quantentechnologie seien. Deloitte Insights geht davon aus, dass die Investitionen der Finanzdienstleistungsbranche in Quantencomputing-Funktionen zwischen 2022 und 2032 mit einer jährlichen Wachstumsrate von 72 Prozent wachsen werden, von 80 Millionen US-Dollar im Jahr 2022 auf 19 Milliarden US-Dollar im Jahr 2032. Zu den Anwendungsfällen in der Branche gehören das Risikomanagement, die Aufdeckung und Eindämmung von Betrug, die Portfolio-Optimierung und Marktanalyse, die Preisgestaltung für komplexe Derivate, der Hochfrequenzhandel und die Sicherung von Finanzgeschäften.

Buddy Bayer ergänzt: „Mit diesem erfolgreichen Test halten wir nicht nur mit der Zukunft der Cyber-Sicherheit Schritt, wir sind sogar führend in der Entwicklung. Unser Engagement für Innovation und Sicherheit versetzt unsere Kunden in die Lage, selbstbewusst durch das Quantenzeitalter zu navigieren und ihre Daten durch die fortschrittlichsten Verschlüsselungstechnologien zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2025
AWS stellt Quantencomputer-Chip „Ocelot“ vor

Ein Gastbeitrag von Christoph Volkmer, VP DACH & EE bei Tanium

[datensicherheit.de, 04.09.2020] Die Krise hevorgerufen durch COVID-19 hat viele Unternehmen zum Umdenken gezwungen. Bildeten Home-Office-Praktiken zuvor noch die Ausnahme, mussten viele Organisationen ihre Mitarbeiter im Zuge des Lockdowns kurzfristig und auf unbestimmte Zeit ins Home-Office schicken. Die große Herausforderung bestand oftmals darin, sowohl die Hardware in ausreichender Anzahl als auch funktionierende Zugänge zu Unternehmensressourcen bereitzustellen. Da der Wechsel zur Heimarbeit in vielen Fällen überhastet stattfand, galt es zunächst, die reibungslose Funktion aller Geräte und Dienste zu gewährleisten. Die Sicherheit war deshalb allenfalls von zweitrangiger Wichtigkeit.

Christoph Volkmer, VP DACH & EE bei Tanium, Foto: TANIUM

Die Folgen hieraus sind undurchsichtige IT- und mangelhafte Sicherheitsstrukturen. Hinzu kommt, dass in vielen Organisationen Mitarbeiter auf ihre Privatgeräte zurückgreifen, wenn sie von zuhause aus arbeiten – sei es aus Mangel an bereitgestellten Firmengeräten oder aus Gewohnheit. All dies führt dazu, dass die für die IT-Sicherheit zuständigen Abteilungen in Unternehmen keine Übersicht über die Geräte haben, die auf Unternehmensressourcen zugreifen – mit teils verheerenden Folgen.

In jedem Firmennetzwerk gibt es unerkannte Geräte

Schon vor der Krise war die genaue Anzahl an Endpunkten, die mit dem Netzwerk verbunden waren, eine große Unbekannte. Mitarbeiter verbinden ihre Privatgeräte, etwa ihre Smartphones, Privatlaptops oder gar Spielekonsolen mit dem Firmen-WLAN und das, ohne die IT-Abteilung davon in Kenntnis zu setzen.

Nach einer aktuellen Umfrage unter 1004 CEOs, CIOs und CTOs von Tanium finden 71 Prozent der befragten Unternehmen immer wieder unbekannte Geräte, die sich teilweise schon seit langer Zeit im Netzwerk befinden. Der Wechsel ins Home Office hat diesen Effekt noch verstärkt, sodass ganze 98 Prozent im Zuge der Krise Sicherheitskomplikationen erfahren mussten. Hinzu kam, dass die Anzahl der Angriffe von außen während des Lockdowns zunahm, während firmeninterne IT-Mitarbeiter damit beschäftigt waren, die reibungslose Arbeit und Kommunikation über VPNs und Meeting-Dienste wie Zoom und Slack zu gewährleisten.

Der Blick in die Zukunft ist für die meisten der Befragten deshalb eher negativ: 85 Prozent glauben, die Krise und alle mit ihr einhergegangenen Komplikationen werden ihre Firma auch Monate nach Ende des Ausnahmezustandes noch beeinträchtigen. Darüber hinaus hat der anfängliche Optimismus, die Arbeit in Zukunft vermehrt oder gar gänzlich von zuhause aus erledigen zu können, in der Realität einen Dämpfer erfahren. Und das aus mehreren Gründen. 70 Prozent glauben, Home-Office-Praktiken auf lange Sicht zu etablieren werde eine große Herausforderung. Jeweils ein Viertel führen hierfür Compliance-Fragen (26 Prozent) und IT-Sicherheitsbedenken (25 Prozent) an.

Um diesen Herausforderungen in Zukunft gerüstet begegnen zu können, will knapp die Hälfte (48 Prozent) in die Lösungen für das Endpoint-Management investieren.

Sichtbarkeit bedeutet Sicherheit

Ein durchdachtes Endpoint-Management kann den entscheidenden Beitrag zur Sicherheit von Geräten und damit auch Daten in Firmennetzwerken liefern. Das entscheidende Merkmal einer solchen Software sollte die Art und Weise sein, wie sie Endpunkte in der Firmenumgebung erkennt. Bei vielen dieser Lösungen kann die Installation Wochen, wenn nicht sogar Monate in Anspruch nehmen – ohne dass sie bis dahin auch nur ein Gerät erkannt hat. Die eigentliche Erkennung nimmt danach noch einmal viel Zeit in Anspruch, sodass die Verantwortlichen in der IT-Abteilung lange auf verlässliche Ergebnisse warten müssen. In dieser Zeit bleiben Geräte weiterhin unbekannt und daraus resultierende Sicherheitslücken weiterhin bestehen.

Eine effizientes Endpunkterkennung funktioniert deshalb agentenbasiert, das heißt, die Zeit bis zur Einsatzbereitschaft wird dadurch verkürzt, dass auf jedes mit dem Netzwerk verbundene Gerät ein Agent aufgespielt wird. Dieser sammelt geräte- und sicherheitsspezifische Daten wie etwa Modell- und Seriennummer, Betriebssystem und die Update-Status der auf ihm installierten

Darüber hinaus sucht dieser Agent automatisch in seiner näheren Netzwerkumgebung nach bis dato unbekannten Geräten. Diese werden der IT-Abteilung unmittelbar vermeldet und anschließend mit einem eigenen Agenten versehen. Hat jeder Endpunkt auf diese Weise einen Agenten erhalten, haben IT-Verantwortliche einen umfassenden Überblick darüber, welche Geräte auf Firmennetzwerk und -ressourcen zugreifen.

Plattformen bieten weitere Vorteile

Bestimmte Managementsysteme sind plattformbasiert, das heißt, zusätzlich zur Endpunktvisibilität können weitere Dienste hinzugenommen werden. Einige Anbieter stellen etwa ein einheitliches Patch-Management für alle Endgeräte bereit. Wird beispielsweise ein wichtiges Update für ein Gerät veröffentlicht, sei es das Betriebssystem oder eine andere Applikation, spielt das Patch-Management es an alle Endgeräte aus.

Was bei klassischen Client-Server-Modellen unter Umständen viel Zeit in Anspruch nähme, geht bei agentenbasierten Systemen innerhalb kürzester Zeit vonstatten. Grund hierfür ist die Art, wie ein Patch an die Geräte verteilt wird: Existiert nur ein zentraler Server, der die Aktualisierung bereitstellt, stauen sich die Anfragen aller Endgeräte in einem Flaschenhals zu diesem Server. Die Folgen sind lange Wartezeiten für die Geräte und, im Falle eines System- oder OS-Updates, für die Mitarbeiter, die ohne Aktualisierung ihres Betriebssystems nicht arbeiten können.

Agentenbasierte Modelle bieten hier den Vorteil, dass sie auf den Peer2Peer-Ansatz zurückgreifen. Erhält ein Endpunkt das Update, fungiert er danach gleichzeitig als Quelle für weitere Geräte, die dieselbe Aktualisierung erhalten. Der Traffic zum Server genauso wie die Zeit, die für den Rollout benötigt wird, werden somit auf ein Minimum reduziert. Daruch lässt sich eine kostspielige Downtime verhindern.

Durch die Implementation einer Endpunkt-Management-Lösung erhalten IT-Abteilungen eine unschätzbare Hilfestellung zur zuverlässigen Erfüllung ihrer Kernaufgabe, nämlich die Sicherheit der Unternehmensinfrastruktur zu überwachen und zu schützen.

datensicherheit.de, 29.07.2020
Corona: Telearbeit führte zu Anstieg von Cyber-Angriffen

[datensicherheit.de, 27.08.2020] Laut einer aktuellen Stellungnahme von VECTRA gilt das „Asset Management“ als eine der schwierigsten Herausforderungen, denen sich IT-Abteilungen stellen müssen: „Dank Cloud, IoT und BYOD steigen die Komplexität und die damit verbundenen Sicherheitsherausforderungen stetig.“ In vielen Fällen würden bei der Reaktion auf Vorfälle kompromittierte Assets identifiziert, welche in den Inventaren der Anlagenverwaltung als vor Jahren stillgelegt aufgeführt seien. „Niemand hat den Server jedoch abgeschaltet, er war immer noch eingeschaltet und angeschlossen, wurde nicht gewartet und wurde schließlich vom Angreifer erfolgreich ausgenutzt“, berichtet VECTRA.

Foto: VECTRA

Andreas Müller: Cloud, IoT und BYOD steigernn die Komplexität und damit verbundene Sicherheitsherausforderungen

VECTRA hinterfragt, was genau mit „kritisch“ gemeint ist

Selbst wenn Unternehmen über ein perfektes Inventar all ihrer Systeme verfügten, sei es unwahrscheinlich, dass sie genau wüssten, „welche dieser unzähligen Assets wirklich ,kritisch‘ sind“. Wenn Unternehmen Schwierigkeiten hätten, zu verstehen, welche Systeme im Einsatz sind, wie könne man dann erwarten, „dass sie angeben, welche davon explizit kritisch sind?“
VECTRA wirft die Frage auf, was genau in diesem Zusammenhang mit „kritisch“ gemeint sei: „Handelt es sich um etwas, dessen Daten für Ihr Unternehmen wichtig sind? Diese Definition würde auf so gut wie jedes System in ihrer Umgebung zutreffen.“
Andreas Müller, „Director DACH“ bei VECTRA AI, führt aus: „Betrachten Sie einmal sämtliche Datenlecks, die im Laufe der Jahre allein durch den Verlust von Laptops entstanden sind!“ Sodann hinterfragt er: „Wurden diese Systeme als ,kritisch‘ eingestuft? Oder war das ,nur ein weiterer Laptop‘, den jemand mit nach Hause nahm, um nach dem Ende einer langen Woche seine Arbeit fertigzustellen? Was passiert, wenn ein Entwicklungssystem zur Validierung der Datenverarbeitung aufgestellt, mit sensiblen Daten geladen und dann im Netzwerk gelassen und vergessen wird?“

VECTRA empfiehlt Fokus auf Bandbreite an IoT-Geräten, welche „APT28“ nutzen, um Angriffe durchzuführen

Wenn Unternehmen dächten, „dass ihre Kernnetzwerk-Infrastruktur einen Großteil der kritischen Geräte unterstützt, dann ist der Bericht von FireEye vom März 2020 über APT41 eine Pflichtlektüre“. Dieser Bericht zeige auf, wie „APT41“ die Cisco-Routing-Infrastruktur eines Unternehmens aktiv ausnutze. Wenn Unternehmen das Routing des Datenverkehrs kontrollieren könnten, seien sie in der Lage, Zugriff auf alle ein Gerät durchlaufenden Daten zu erhalten, ohne den kritischen Endpunkt zu gefährden.
IoT- und nicht-kritische Assets würden immer wieder von „APTs“ (Advanced Persistent Threats), also fortgeschrittenen, hartnäckigen Bedrohungen ausgenutzt. Das beste Beispiel hierfür sei „APT28“, auch bekannt als „Fancy Bear“ oder „Strontium“. „Verschiedene Artikel beschreiben ausführlich einen von Microsoft veröffentlichten Bericht hierzu“, berichtet Müller.
Eine wichtige Sache, auf die man sich nach Meinung von VECTRA AI konzentrieren sollte, sei die Bandbreite an IoT-Geräten, welche „APT28“ nutzt, um den Angriff durchzuführen. Hierzu zählten VoIP-Telefone, Drucker und Videodecoder. Dies offenbare den Wunsch Cyber-Krimineller, IoT-Geräte in einem organisierten Angriff auf breiterer Basis einzusetzen. Es zeige, dass sich die Angreifer wenig darum kümmerten, was nach Definition des Unternehmens „kritisch“ sei, sondern sich stattdessen darauf konzentrierten, „alles zu nutzen, was es ihnen ermöglicht, ihre Ziele zu erreichen“.

VECTRA ruft dazu auf, nicht nur ausgewählte Endpunkte zu schützen, sondern ganzheitliche Ansätze zu verfolgen

Der letzte Punkt ist laut Müller folgender: Netzwerkverteidiger sollten nicht gezwungen sein, willkürliche Entscheidungen auf der Grundlage unvollkommener Informationen darüber zu treffen, welche Assets sie mit den verfügbaren Sicherheitskapazitäten verteidigen würden und welche nicht.
„Sicherheitslösungen sollten Sicherheitsteam in die Lage versetzen, Bedrohungen ohne willkürliche Zwänge und mit hoher Zuversicht frühzeitig zu erkennen, unabhängig davon, wo die Angreifer operieren wollen.“
Schließlich gehe es darum, „Ihre gesamte Umgebung zu überwachen und zu schützen, nicht nur einige ausgewählte Endpunkte“. Müller empfiehlt abschließend: „Sie sollten eine Lösung haben, die dieses Ziel unterstützt.“

Weitere Informationen unter vectra.ai

datensicherheit.de, 13.05.2020
Covid-19: Cyberangriffe auf kritische Dienste während der Pandemie / Entscheider müssen das Schutzniveau an die deutlich verschärfte Gefahrenlage anpassen

datensicherheit.de, 12.05.2020
Neue Angriffsmethoden auf kritische Industrie-4.0-Umgebungen / Forschungsbericht skizziert fortgeschrittene Angriffsszenarien und gibt Empfehlungen für OT-Betreiber

datensicherheit.de, 13.01.2020
IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich / Mangelhafte Kommunikatiion im Unternehmen problematisch

Von unserem Gastautor Jörg Vollmer, General Manager, Field Operations, DACH bei Qualys

[datensicherheit.de, 31.07.2020] Ganz besonders in der heutigen Zeit ist Computerarbeit von zuhause in beinahe jeder Branche und jedem Unternehmen fester Bestandteil. Vor COVID-19 gab es einen geringeren Prozentsatz an Remotearbeitern. Nun ist davon auszugehen, dass auch in der Zukunft ein großer Anteil der Mitarbeiter an den verschiedensten Orten und nicht im eigenen Büro in der Firmenzentrale arbeiten wird. Doch gibt es ein Problem: Die meisten Organisationen verfügen über ein zentrales Patchmanagement-System. Natürlich war dies früher optimal, da ein Administrator die betroffenen Endpunkte sicher updaten konnte. Nun müssten die freigegebenen Patches jedoch via VPN versendet werden. Dadurch wird der gesamte Zugang zum Unternehmensnetzwerk stark belastet, eventuell sogar überlastet, war dieser in der Vergangenheit doch auf einen kleinen Anteil an externen Logins ausgelegt.

Eine Lösung wäre es, die Patchinformationen zentral auf einer Plattform zu verwalten und von dort aus zu entscheiden, welche Geräte zu welchem Zeitpunkt aktualisiert werden sollen. Die Patches selbst werden dann von dem mit dem Internet verbundenen Endpunkt selbst von der Herstellerseite heruntergeladen. Dazu ist kein Versenden großer Datenpakete nötig; ein simpler Befehl an einen auf dem Endpoint installierten Agenten reicht vollkommen aus.

Jörg Vollmer, General Manager Field Operations DACH, Bild: Qualys

Patching von Heimanwendern ohne VPN-Split-Tunneling

Eine Lösung zu finden, welche es ermöglicht, den plötzlichen Zustrom von Tele-Arbeit abzudecken, ohne das VPN zu überfordern, ist besonders in der Zeit von COVID-19 von zentraler Bedeutung. Als die ersten Artikel unter der Verwendung von CMG und Split-Tunneling erschienen, wirkte das für viele wie ein rettender Anker. Es wurden lediglich solche Verbindungen durch den VPN-Tunnel geleitet, die Systeme am anderen Ende des VPN-Tunnels als Ziel haben. Für alle anderen Verbindungen wird er ignoriert. Es liegt auf der Hand, dass diese Lösung lediglich eine kurzfristige war, bis zu dem Zeitpunkt, an dem auch diese eingeschränkte Kommunikation das VPN in ihrer Datenmenge überlastet. Dies ist nicht zuletzt mit Datenpaketen zum Patchen der Fall. Entweder es gibt sehr viele Geräte, welche auf der anderen Seite auf das Paket warten, oder aber der gesamte Vorgang braucht eine lange Zeit, sollten die Geräte nacheinander gepatcht werden. Office-365-Produkte zum Beispiel helfen bereits, bestimmte Vorgänge über einen Cloudzugang abzuwickeln. Dennoch ist auch dies keine langfristige Alternative. Doch auch, wenn man den Benutzern das Patchen direkt über Microsoft ermöglicht, wenngleich hier nicht alle Updates berücksichtigt werden, müssen diese die Berechtigung dazu über das VPN erfragen.

Lösungen zum Schutz von Remote-Benutzern

Krise hin oder her, das Patchen von Endpunkten gegen bekannte und neu auftretende Schwachstellen bleibt eine der größten Herausforderungen für IT-Administratoren. Mit der neuen „Work-from-Home“-Norm als Antwort auf COVID-19 klingt das Patch-Management für viele IT-Administratoren nahezu unmöglich. Wenn die Endpunkte nicht gepatcht werden, kann dies schwerwiegende Auswirkungen auf die Netzwerksicherheit haben, selbst wenn sich die Endpunkte innerhalb eines kontrollierten Unternehmensumfelds befinden. Nun, da die Remote-Benutzer bei der Remote-Arbeit auf das Internet angewiesen sind, ist das Patchen von Rechnern nicht so einfach, oder doch?

Zwangsläufig sollten sich Administratoren die folgenden Fragen stellen:

• Sind Sie in der Lage, einen vollständigen Überblick über eine über die ganze Welt verteilte Remote-Belegschaft zu behalten?
• Wie sieht die Strategie für das Scannen von Assets und Verteilen von Patches an entfernte Benutzer aus, die sich im Netzwerk an- und abmelden?
• Bietet das VPN genügend Bandbreite, um Patches an die Remote-Rechner zu verteilen?
• Was ist, wenn wichtige geschäftliche Anrufe und Besprechungen durch „zu frühe“ Patches behindert werden?
• Haben Sie sichergestellt, dass die Remote-Benutzererfahrung nicht durch wiederholte Warnmeldungen und zufällige Neustarts beeinträchtigt wird?
• Wie installieren Sie einen kritischen Patch, wenn ein Benutzer immer wieder Patch-Updates verweigert?
• Wie sicher ist Ihre Verbindung zwischen dem Patching-Server und Ihrem Remote-Client?

Das Remote-Patch-Management kann tatsächlich ein Kinderspiel sein, wenn die Organisation über die richtigen Werkzeuge verfügt.

Qualys bietet mit Vulnerability Management, Detection and Response (VMDR) eine Möglichkeit, Abhilfe zu schaffen.

Es handelt sich um einen Dienst, welcher in der Lage ist, den gesamten Patch-Management-Prozess von der Erkennung der Schwachstellen, über deren Priorisierung und dessen Patching abzuwickeln: Vom Scannen nach fehlenden Patches bis hin zum Herunterladen, Testen und Verteilen der Patches auf die Zielgeräte kann alles von einer zentralen Konsole aus orchestriert werden. Das Besondere ist, dass die Patches schlussendlich zwar über eine zentrale Plattform verwaltet, jedoch nicht auf den Endpunkt gespielt werden. Die Patches selber werden aus der Cloud durch den Agenten auf das Gerät geladen, sobald dieses eine Verbindung zum Internet besitzt.

Das hebt besonders Standortbeschränkungen auf. VMDR nutzt einen fortschrittlichen, vielseitig einsetzbaren Agenten und bietet die ununterbrochene Transparenz, welche für die Verwaltung von Remote-Laptops, Desktops, Servern und virtuellen Maschinen in der gesamten globalen hybriden IT-Umgebung benötigt wird. Vom Scannen bis zur Bereitstellung wird alles geräuschlos mit Hilfe des Agenten ausgeführt. Dies kann vollkommen automatisiert funktionieren, aber lässt jedoch auch manuelle Anpassungen zu. Die Priorisierung der zu patchenden Systeme könnte beispielsweise durch das Unternehmensziel beeinflusst sein. So sind beispielsweise Produktionsserver schneller zu patchen, als beispielsweise Druckernetzwerke. Durch den Cloud-Agenten stellt VMDR Patches überall dort zur Verfügung, wo dieser installiert wurde, einschließlich Remote-Systemen und öffentlichen Cloud-Ressourcen. Mit VMDR können Betriebssysteme und Anwendungen verschiedener Hersteller von einem zentralen Dashboard aus gepatcht werden. Auf diese Weise müssen die Patches nicht in Silos über mehrere herstellerspezifischen Konsolen verwaltet werden.

Eliminieren von VPN-Einschränkungen

Der Zugriff auf die begrenzte Bandbreite von VPN-Gateways für Remote-Patch-Management-Aktivitäten kann zu Engpässen führen. Stattdessen können Remote-Clients die wesentlichen Patches von vertrauenswürdigen Anbietern direkt herunterladen, unabhängig davon, wo sich das Endgerät befindet. Dies funktioniert rund um die Uhr. Das bedeutet, dass sich Remote-Arbeiter nicht innerhalb der gängigen Arbeitszeiten über VPN am Netzwerk anmelden müssen.

Weitere Informationen zum Thema:

datensicherheit.de, 17.02.2020
Industrie 4.0 braucht ganzheitliche IT-Sicherheit im Wertschöpfungsprozess

[datensicherheit.de, 19.05.2020] AlgoSec, Anbieter von geschäftsorientierten Netzwerksicherheits-Management-Lösungen, verbessert den AlgoBot im Zuge der neuen Security Management Suite (ASMS) A30.10. Auf diese Weise sollen es Unternehmen einfacher haben, die IT-Unterstützung und Netzwerküberwachung zuverlässig aufrecht zu erhalten. Das kann besonders während der Corona-Krise aufgrund der gestiegenen Anzahl von Mitarbeitern im Home-Office nach Angabe des Herstellers zum Vorteil werden.

AlgoSec Algobot 2020, Bild: AlgoSec

In die Überarbeitung flossen vor allem die Rückmeldungen und Anforderungen von Kunden ein. Zu den wichtigsten Neuerungen gehören:

• Einführung der Host-Namen-Funktionalität
  Bislang mussten Benutzer mit dem AlgoBot über IP-Adressen kommunizieren, um den Verkehr im Netzwerk zu identifizieren. Das A30.10-Update akzeptiert nun Befehle, die sich auf Host-Namen beziehen, um die Bedienung deutlich zu vereinfachen. Nutzer können so den Chatbot fragen, ob es sicher ist, den Datenverkehr vom Laptop des Mitarbeiters XY zu akzeptieren.
• Unterstützung für Microsoft Teams
  Online-Kommunikationsmittel werden stetig beliebter, besonders jetzt, da Tele-Arbeit für viele alltäglich wurde. Dabei kommen natürlich viele Fragen auf, die ein Support-Team beantworten muss – oder ein Chatbot, um die Fachleute zu entlasten und die Kommunikation zu beschleunigen. Aus diesem Grund unterstützt der AlgoBot nun, neben Slack und Skype, auch Microsoft Teams.
• Abwärts-kompatibel
  AlgoBot A30.10 ist passend zur neuen Version der AlgoSec Security Management Suite (ASMS) A30.10 entwickelt worden. Außerdem ist der Chatbot kompatibel zu allen früheren Versionen der Automatisierungs-Konsole.

AlgoSecs AlgoBot ermöglicht es Benutzern, alltägliche Aufgaben an den Chatbot zu delegieren, um Firewall- und Netzwerkadministratoren zu entlasten und die Kommunikation zu beschleunigen. Er ist in der Lage, Fragen zu beantworten und bei Änderungsprozessen von Sicherheitsrichtlinien zu helfen – ohne manuelle Eingaben oder zusätzliche Recherche.

Weitere Informationen zum Thema:

Algosec
Mehr zum AlgoBot A30.10

datensicherheit.de, 01.04.2020
Krisenzeiten: Security Operations Center in Betrieb halten