[datensicherheit.de, 13.06.2025] Im Kontext der Publikation einer neuen Studie geht Palo Alto Networks auf die sogenannte Generative Künstliche Intelligenz (Generative Artificial Intelligence / GenAI) ein und betont, dass diese „im Jahr 2025 keine experimentelle Technologie“ mehr ist, sondern vielmehr eine unternehmenskritische Lösung, welche Unternehmen unterstützen kann, innovativ zu arbeiten und Daten zu schützen. Zwar ermögliche GenAI „beispiellose Produktivitätssteigerungen“, gleichzeitig führe sie zu neuen, komplexen Risiken: „Während der GenAI-Traffic 2024 um über 890 Prozent gestiegen ist, haben sich sicherheitsrelevante Vorfälle um das 2,5-Fache erhöht.“ Diese Erkenntnisse basieren auf dem „The State of Generative AI Report“ von Palo Alto Networks, welcher sich demnach auf Daten aus über 7.000 Kundenumgebungen weltweit stützt.

Foto: Palo Alto Networks

Martin Zeitler: Entscheidend ist es, Innovation und Schutz nicht als Widerspruch, sondern als gemeinsames Ziel zu verstehen!

Die wichtigsten aktuellen GenAI-Erkenntnisse im Überblick:

• Die Zahl der GenAI-bezogenen Data-Loss-Prevention-Vorfälle (DLP) habe sich im Jahr 2025 im Vergleich zum Vorjahr um das 2,5-Fache erhöht – sie machten nun 14 Prozent aller DLP-Vorfälle aus.
• Unternehmen nutzten im Schnitt 66 verschiedene GenAI-Anwendungen – rund zehn Prozent davon gälten als hochriskant.
• Über 70 Prozent der getesteten GenAI-Apps hätten bei Sicherheitstests problematische Inhalte gezeigt – von diskriminierenden Aussagen bis hin zu Bauanleitungen für Waffen.
• Die Technologie- und Fertigungs-Sektoren trieben den Einsatz von Coding-Plattformen besonders stark voran – allein 39 Prozent aller GenAI-Coding-Transaktionen stammten aus diesen Branchen.
• GenAI-Spitzenreiter sei „DeepSeek-R1“ mit einem Wachstum von 1.800 Prozent nach seinem Start im Januar 2025.
• Sogenannte Shadow AI – also nicht genehmigte GenAI-Nutzung durch Mitarbeiter – sei eine der größten Sicherheitsbedrohungen. Unternehmen registrierten im Schnitt über sechs besonders riskante GenAI-Anwendungen in ihrer Infrastruktur.

Auch DACH-Region mit starker Zunahme des Einsatzes Generativer KI

Auch in der sogenannten DACH-Region (Deutschland, Österreich und Schweiz) zeige sich ein starker Anstieg beim Einsatz Generativer KI, mit regionalen Unterschieden:

• In Deutschland führe „Microsoft Power Apps“ mit 24 Prozent des GenAI-Traffics, gefolgt von ,Grammarly’ (21%) und ,ChatGPT’ (20%).
• In der Schweiz dominiere „Power Apps“ mit 33 Prozent, „MS Office365 Copilot“ folge mit 25 Prozent, „ChatGPT“ mit 17 Prozent.
• In Österreich liege „Grammarly“ mit 33 Prozent vorne, gefolgt von „ChatGPT“ (25%) und „Power Apps“ (22%).

Gleichzeitig würden in deutschen Unternehmensnetzwerken vermehrt Anwendungen genutzt, „die ein besonders hohes Risiko für Datenlecks und Regelverstöße bergen“. Der KI-basierte Interviewer „Micro 1 AI“ mache fast 49 Prozent des risikobehafteten GenAI-Traffics in Deutschland aus. Auch „UseChat“ (etwa 32 Prozent) und „Zendesk AI“ (rund 29 Prozent) gehörten zu den sicherheitskritischen Tools.

Generative KI – Einführung  erfolgt oft schneller als deren sichere Integration

Martin Zeitler, „Senior Director Technical Solutions“ bei Palo Alto Networks, kommentiert: „Die Studienergebnisse offenbaren ein fundamentales Dilemma: Die Einführung von GenAI erfolgt oft schneller als deren sichere Integration. Ohne klare Richtlinien, technische Schutzmechanismen und kontinuierliche Überwachung riskieren Unternehmen nicht nur den Verlust sensibler Daten, sondern auch regulatorische Konsequenzen und Imageschäden.“

Für eine sichere Nutzung empfiehlt Palo Alto Networks unter anderem Zero-Trust-Architekturen, granulare Zugriffskontrollen und Echtzeit-Content-Scanning, um Sicherheitsrisiken frühzeitig zu erkennen und abzuwehren. Zeitler betont abschließend: „Entscheidend ist es, Innovation und Schutz nicht als Widerspruch, sondern als gemeinsames Ziel zu verstehen!“

Weitere Informationen zum Thema:

paloalto NETWORKS, Anand Oswal, 05.06.2025
GenAI’s Impact — Surging Adoption and Rising Risks in 2025

paloalto NETWORKS, 2025
„The State of Generative AI 2025“ / GenAI traffic surged 890%, indicating this technology is increasingly fueling creativity, innovation, and productivity

datensicherheit.de, 28.05.2024
Schatten-KI und EU AI Act: Unternehmen müssen sich den Herausforderungen zeitnah stellen / Philipp Adamidis nimmt Stellung zu Aspekten der erfolgreichen KI-Transformation

datensicherheit.de, 23.05.2025
Sicherer GenAI-Einsatz: Delinea gibt Unternehmen 3 zentrale Tipps / Mittels GenAI erhalten Unternehmen immense Möglichkeit – doch neben Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken

datensicherheit.de, 29.01.2025
GenAI und Menschlicher Faktor wichtigste Datenschutzaspekte / Ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

[datensicherheit.de, 06.08.2017] Mitarbeiter gelten in vielen Fällen als das schwächste Glied bei der Verteidigung eines Unternehmens gegen Cyber-Kriminelle – doch sind sie daran meist nicht einmal selbst schuld. Reicht es zuweilen aus, bei manchen Entscheidungen an den „gesunden Menschenverstand“ appellieren, muss doch auch sichergestellt werden, dass festgelegte Sicherheitspraktiken im Bewusstsein der Mitarbeiter ankommen. Denn egal ob Mitarbeiter durch Unachtsamkeit oder aufgrund ihrer Zugangsberechtigung zu sensiblen Daten unbewusst zu Zielen werden, können deren Fehler leicht die Tür für Malware, Spionage oder Datendiebstahl öffnen. Daher gibt Palo Alto Networks Tipps zur Umsetzung von Sensibilisierungsprogrammen für erhöhte Cyber-Sicherheit im Unternehmen.

Ausnutzung der Gutgläubigkeit oder Unachtsamkeit

„Erfolgreiche Angriffe nutzen oft unzureichende Prozesse und die Gutgläubigkeit oder Unachtsamkeit von Menschen aus. Um die Angriffsfläche zu reduzieren, muss der inhaltliche Schwerpunkt regelmäßiger Sicherheitsschulungen sich von Reaktion auf Prävention verlagern“, fordert Martin Zeitler, „Senior Manager Systems Engineering“ bei Palo Alto Networks, und gibt Tipps und Hinweise, wie Unternehmen ihre Mitarbeiter „spielend“ schulen und motivieren können, um die IT-Sicherheit deutlich zu erhöhen:
Reine von Compliance getriebene Ansätze für das Training von Mitarbeitern hätten sich als unwirksam erwiesen, weil sie nicht interessant oder persönlich genug seien. Die Unternehmen sollten sich darauf konzentrieren, die Mitarbeiter darüber zu informieren, wie sie ihre persönlichen Daten schützen können, wodurch diese dazu ermutigt würden, weitere sicherheitsorientierte Praktiken am Arbeitsplatz umzusetzen.

Trockene Themen spannender und praxisnäher machen!

Die Weiterbildung von Mitarbeitern könne in unterschiedlichen Formen erfolgen, einschließlich der zunehmenden spielerischen Praxis („Gamification“). Dabei würden Gaming-Bestandteile in einem „Nicht-Gaming-Kontext“ verwendet, was trockene Themen spannender und praxisnäher mache. Viele Unternehmen nutzten diesen Ansatz derzeit bereits in Bereichen wie Kundenengagement sowie Performance- und Motivationstraining. Die Gaming-Elemente umfassen demnach Wettbewerbe, Incentive-Programme und vieles mehr. Es gebe zwei grundlegende Möglichkeiten, wie Unternehmer die Gamifizierung zur Bewältigung der Sicherheitsherausforderungen nutzen könnten:

1. Training der Mitarbeiter spannender und attraktiver machen
   Mit „Gamification“ könnten Unternehmen dazu beitragen, ihre Cyber-Sicherheit in vielfältiger Weise zu verbessern. Mitarbeiter lernten so, wie sie Cyber-Angriffe verhindern und welche Schwachstellen es in Software gibt. Die Beratungsfirma PwC z.B. lehre Cyber-Sicherheit durch ihr „Game of Threats“ („Spiel der Bedrohungen“). Führungskräfte konkurrierten dabei gegeneinander in realen Cyber-Sicherheitssituationen, spielten als Angreifer oder Verteidiger.
   Die Angreifer wählten die Taktiken, Methoden und Fähigkeiten des Angriffs, während die Verteidiger Verteidigungsstrategien entwickeln und in die richtigen Technologien und Talente investierten, um auf den Angriff zu reagieren.
   Das Spiel gebe Führungskräften ein Verständnis dafür, „wie man sich vorbereitet und auf Bedrohungen reagiert, wie gut vorbereitet das Unternehmen ist und was ihr Cyber-Sicherheitsteam jeden Tag beobachtet“.
   So trage „Gamification“ dazu bei, dass der Trainingsprozess spannender und attraktiver für die Mitarbeiter werde, wodurch das Bewusstsein für Sicherheitspraktiken erhöht werde, einschließlich Tipps, wie man mit Angriffen korrekt umgeht.
2. Anreize und Belohnungen zur Förderung gewünschten Verhaltens
   Menschliche Fehler seien bei den meisten Sicherheitsverletzungen mitverantwortlich. Die Mitarbeiter setzten sich unter Druck, ihre Arbeit so schnell wie möglich abzuschließen, was dazu führen könne, dass sie Sicherheitsregeln übersehen oder vernachlässigen. Zum Beispiel könnten sogenannte PhishMe-Kampagnen eine gute Möglichkeit sein, Mitarbeiter auf eine bessere E-Mail-Sicherheit hin zu schulen. Dazu gehörten eigens entworfene Phishing-E-Mails, die immer wieder unternehmensweit versendet würden, um die Antwort und das Handeln des Personals zu testen. Unternehmen könnten Mitarbeiter belohnen, die Sicherheitsverfahren korrekt befolgen und sich an die Sicherheitsrichtlinien halten, was ein vorbildliches Verhalten fördere. Dies könne in der Form erfolgen, dass Mitarbeiter ein Abzeichen oder Punkte erhielten, die dann auf einer Tafel angezeigt würden, damit jeder teilnehmen könne. Wenn Mitarbeiter bestimmte Meilensteine erreichen, könnten sie belohnt werden, etwa mit einem Geschenkgutschein. Die Anerkennung und Belohnung von Mitarbeitern, wenn sie das Richtige tun, führe zu einem weiterhin positiven Verhalten, motiviere die Mitarbeiter, sichere Praktiken anzuwenden und für eine sichere Arbeitsumgebung zu sorgen.

Sensibilisierungskampagnen als fortwährender Prozess

Im Mittelpunkt jeder Sensibilisierungsmaßnahme stehe Bildung, um Mitarbeitern ein gemeinsames Verantwortungsbewusstsein für die Daten, mit denen sie arbeiten, und die Daten, die sie erstellen und verwenden, anzutrainieren.
Alle Sensibilisierungskampagnen sollten Teil eines laufenden Prozesses werden und nicht nur eine einmalige Initiative sein. Führungskräfte eines jeden Unternehmens, groß oder klein, gingen oft davon aus, dass hierfür die Ressourcen fehlten, aber es lasse sich auch mit wenig Aufwand viel erreichen:

1. Visuelle Hilfsmittel funktionierten gut
   „Beginnen Sie mit einigen kleinen Videos, Plakaten und/oder Wettbewerben als Erinnerung, damit alle verstehen, dass alle für die Sicherheit verantwortlich sind“, empfiehlt Zeitler.
   Autoritäre Taktiken funktionierten dagegen nicht. Das Ziel sollte sein, eine Kultur des Risikobewusstseins aufzubauen. Dies gelinge ähnlich wie bei einer Marketingkampagne mit der Absicht, Mitarbeiter zu überzeugen und deren Verhalten zu verändern.
2. Kurze und prägnante Anweisungen geben!
   Lange E-Mails würden meist ignoriert; besser sei es, sie kurz zu halten, mit etwas Humor. Zeitler: „Stellen Sie sicher, dass es ein Top-down-Ansatz ist.“
   Die Mitarbeiter schauten zu ihren Führungskräften auf. Wenn diese keine Sicherheitskultur verkörperten, warum sollten es dann die Mitarbeiter tun? Das Ziel sei es, Mitarbeitern „Best Practices“ anzueignen, sie aber nicht zu zwingen, Cyber-Sicherheitsexperten zu sein.
3. Wiederholte Schulungen und Nacharbeiten erfolgsentscheidend
   Training sei eine Konstante: „Man lernt nie aus.“ Neue Mitarbeiter müssten grundlegend getestet werden, ebenso wie bestehende Mitarbeiter, ob sie auf eine Phishing-E-Mail hereinfallen.
   „Überprüfen Sie, wie viele Mitarbeiter immer noch nicht eine gefälschte E-Mail erkennen“, rät Zeitler: „Ermutigen Sie Nachfragen und Kommunikation, um eine Fälschung zu melden und benennen Sie Abteilungsgruppen, die hier möglicherweise zurückbleiben. Das Ziel ist nicht, einzelne Menschen bloßzustellen, sondern eine gesunde Rivalität innerhalb des Unternehmens zugunsten von besserer Sicherheit schaffen.“

Die Eindämmung von Cyber-Risiken sei in jedem Unternehmen ein andauernder Prozess. Es gelte herauszufinden, wo es noch hakt und je nach Bedarf Nachschulungen durchzuführen. „Wenn die Mitarbeiter nachdenken, bevor sie auf etwas Riskantes klicken, dann haben die Sensibilisierungsmaßnahmen Früchte getragen“, betont Zeitler.

Weitere Informationen zum Thema:

pwc
Game of Threats – A cyber threat simulation

[datensicherheit.de, 24.08.2016] Bei den jüngsten größeren Cyber-Angriffen auf Behörden seien stets bestimmte Konstanten gegeben gewesen, wie die Sicherheitsexperten von Palo Alto Networks in einer aktuellen Mitteilung aufzeigen. So habe es Schwachstellen im Betriebssystem oder in einer Anwendung auf dem Endpunkt gegeben und es sei versäumt worden, die neuesten Patches aufzuspielen. Die Angreifer hätten sich so die Schwachstellen auf dem Endpunkt zunutze machen können, um ungehinderten Zugang ins Netzwerk zu erlangen. Das Unzternehmen rät deshalb zu einen „präventiven Ansatz“, der auf mehreren Verfahren basiere und Malware intelligent an deren Verhalten frühzeitig erkenne.

Antivirus-Lösungen auf Endpunkten bei heutigen Sicherheitsbedrohungen unwirksam

Antivirus-Lösungen seien jahrelang auf Endpunkten eingesetzt worden, sie hätten sich mittlerweile jedoch für den Schutz vor heutigen Sicherheitsbedrohungen als unwirksam erwiesen. Als Gegenmaßnahmen empfiehlt Palo Alto Networks daher zunächst das regelmäßige Patchen, um Sicherheitslücken zu schließen, und eine Schwachstellenanalyse, um zu begreifen, wo die IT-Umgebung verwundbar ist.
Um Angriffe zu stoppen oder die seitliche Bewegung der Angreifer im Netzwerk zu verhindern, sei Netzwerksegmentierung wichtig. Eine moderne Next-Generation-Sicherheitsplattform liefere eine verbesserte Transparenz zur Netzwerknutzung. Zudem sei eine solche integrierte Sicherheitslösung den heutigen Bedrohungen besser gewachsen, als „punktuelle Produkte, die separat und unkoordiniert agieren“, erläutert Martin Zeitler, „Senior Manager Systems Engineering“ bei Palo Alto Networks.

Multi-Methoden-Ansatz zur Prävention

Palo Alto Networks empfiehlt zudem eine „intelligente Lösung für Endpunkte“, die Malware an deren Verhalten frühzeitig erkennt. Solch ein präventiver Ansatz greife auf mehreren Verfahren zurück. Hierbei komme eine Kombination hocheffektiver Methoden zum Schutz der Endpunkte vor bekannten und unbekannten Bedrohungen zum Einsatz. Eine moderne Endpunkt-Schutzlösung setzt demnach die folgenden Techniken gegen Malware ein:

1. Statische Analyse über maschinelles Lernen
   Diese Methode beurteilt jede unbekannte ausführbare Datei, bevor diese ausgeführt werden darf. Durch die Untersuchung Hunderter von Eigenschaften im Bruchteil einer Sekunde bestimmt diese Methode, ob die Datei bösartig oder gutartig ist, ohne die Abhängigkeit von Signaturen, Scannen oder Verhaltensanalyse.
2. Quarantäne von schädlichen exe-Dateien
   Bösartige ausführbare Dateien werden in Quarantäne gestellt, um Versuche einer weiteren Ausbreitung oder Ausführung infizierter Dateien zu stoppen.
3. Inspektion und Analyse mit cloud-basiertem Dienst
   Der Endpunktschutz von Palo Alto Networks z.B. arbeitet zusammen mit einer Bedrohungsanalyse-Cloud, um zu bestimmen, ob eine ausführbare Datei gutartig oder bösartig ist. Dieser Cloud-Dienst könne die Gefahr einer unbekannten Bedrohung beseitigen, indem diese in etwa fünf Minuten in eine bekannte Bedrohung verwandelt werde. Die automatische Neuprogrammierung der Endpunktschutz-Lösung und Umwandlung von Bedrohungsanalyse in Prävention mache es für einen Angreifer unmöglich, unbekannte und fortschrittliche Malware zu verwenden, um ein System zu infizieren.
4. „Trusted-Publisher“-Identifizierung
   Diese Methode ermöglicht es Behörden, „unbekannte gutartige“ Dateien, die als seriöse Softwareherstellern eingestuft worden sind, zu identifizieren.
5. Regelbasierte Einschränkung der Ausführung
   Organisationen können auf einfache Weise Richtlinien definieren, um bestimmte Ausführungsszenarien zu beschränken, wodurch die Angriffsfläche jeder Umgebung reduziert wird. Ein Beispiel wäre, zu verhindern, dass eine bestimmte Datei direkt von einem USB-Laufwerk ausgeführt wird.
6. Administrator-Richtlinien
   Organisationen können auch Richtlinien definieren, basierend auf dem Hash einer ausführbaren Datei, um zu kontrollieren, was in einer Umgebung ausgeführt werden darf und was nicht.

Prävention gegen Exploits

Zur Prävention gegen Exploits gehe „Produkt Traps“ von Palo Alto Networks nach den folgenden Ansätzen vor:

1. Prävention gegen Speicherbeschädigung/-manipulation
   Speicherbeschädigung ist eine Kategorie von Exploit-Techniken, bei denen der Exploit die Speicherverwaltungsmechanismen des Betriebssystems manipuliert, damit die Anwendung eine „bewaffnete“ Datendatei öffnet, die den Exploit enthält. Diese Präventionsmethode erkenne und stoppe diese Exploit-Techniken, bevor diese eine Chance hätten, die Anwendung zu kompromitieren.
2. „Logic-Flaw-Prävention
   „Logic Flaw“ ist eine Kategorie von Exploit-Techniken, die dem Exploit ermöglicht, im Betriebssystem die normalen Prozesse zu manipulieren, die verwendet werden, damit die Zielanwendung die bewaffnete Datendatei öffnet und ausführt. Zum Beispiel kann der Exploit die Position verändern, an der „Dynamic Link Libraries“ (DLLs) geladen werden, so dass legitime durch schädliche DLLs ersetzt werden können. Diese Präventionsmethode erkenne diese Exploit-Techniken und stoppe sie, bevor sie erfolgreich eingesetzt werden.
3. Prävention gegen Ausführung von bösartigem Code
   In den meisten Fällen ist das Endziel eines Exploits, irgendeinen Code auszuführen, also die Befehle des Angreifers, die in der Exploit-Datendatei eingebettet sind. Diese Präventionsmethode erkenne die Exploit-Techniken, die es dem Angreifer ermöglichten, Schadcode auszuführen und blockiere sie rechtzeitig.

Zudem ermögliche ein moderner Endpunktschutz, nicht-bösartige, aber anderweitig unerwünschte Software (zum Beispiel Adware) an der Ausführung zu hindern.

Für Behörden: Allgemeine Sicherheitsmaßnahmen

Obwohl es Anstrengungen gebe, gängige „End-of-Life“-Betriebssysteme („Windows XP“ und „Server 2003“) zu aktualisieren oder zu ersetzen, seien diese oft noch im Einsatz. Bestimmte Anwendungen, nicht nur in IT-, sondern auch OT-Netzwerken („Operational Technology“ / Informationstechnik in Produktionsumgebungen) Kritischer Infrastrukturen, könnten nur auf den alten Systemen betrieben werden. Hinzu komme, dass sich die Endpunkte veränderten und deren Anzahl im Rahmen des Aufbaus des Internets der Dinge (IoT) zunehme, was natürlich auch für öffentliche Versorgungsinfrastrukturen gelte. „Traps“ könne hier z.B. installiert werden, um die Altsysteme vor Exploits sowie bekannten und unbekannten Sicherheitslücken zu schützen.

Sicherheit: Sichtbarkeit aller Benutzer, Geräte und Anwendungen im Netzwerk

Entscheidend für mehr Sicherheit sei die Sichtbarkeit aller Benutzer, Geräte und Anwendungen im Netzwerk. Zusätzlich zur Benutzeridentifizierung und Multi-Faktor-Authentifizierung legten einige Organisationen bereits mittels „Whitelisting“ fest, welche Anwendungen für bestimmte Benutzer oder eine Benutzergruppe freigegeben werden. Dies gehe bis hinunter zur Beschränkung einzelner Funktionen in einer Anwendung, man denke an Chat oder File-Sharing innerhalb von „WebEx“ oder Datei-Downloads von „Dropbox“.
Es gebe jedoch auch die anerkannten Cyber-Sicherheitsmodelle wie den „Angriffslebenszyklus“ von Gartner oder die „Lockheed Martin Cyber Kill Chain“. Diese sollen bei der Erstellung einer aussagekräftigen Schwachstellenanalyse helfen, um genau zu wissen, wo das Netzwerk in jeder Phase des Angriffslebenszyklus verwundbar sein könnte. Dies sei entscheidend gerade für „SCADA“-Systeme, die auf „End-of-Life“-Betriebssystemen laufen und für die keine Patches mehr verfügbar sind.

Virtuelle Segmentierung des Netzwerks

Eine weitere Maßnahme sei die virtuelle Segmentierung des Netzwerks, also Zonen anzulegen, um die Benutzer pro Zone zu reglementieren und die Datenströme zwischen den Sicherheitszonen streng zu kontrollieren.
Diese Maßnahme gehe zurück auf das Modell des Cyber-Angriffslebenszyklus. Durch Segmentierung falle es leichter, ungewöhnliche Vorgänge an einer Stelle in der Angriffskette zu stoppen, um dadurch den gesamten Angriff zu vereiteln.

Endpunkt-zu-Netzwerk-Korrelation

Endpunkt-zu-Netzwerk-Korrelation sei in zeitgemäßen integrierten Sicherheitsplattformen verfügbar und verbessere den Zeitvorsprung, um einen Angriff zu verhindern.
Wenn im Netzwerk eine neue Malware erkannt wird, würden alle Indikatoren erfasst und relevante Informationen geteilt, um den Angriff auf dem Endpunkt zu verhindern.

Endgeräte- und Netzwerk-Sicherheitsfunktionen sollten sich gegenseitig ergänzen

Zu guter Letzt sollten Sicherheitsteams und Sicherheitsprodukte nicht in isolierten Strukturen agieren. Die Endgeräte- und Netzwerk-Sicherheitsfunktionen sollten sich gegenseitig ergänzen und Informationen austauschen.
Gleiches gelte für den globalen Austausch von Bedrohungsdaten im Rahmen von Sicherheitsallianzen und die Interaktion mit Interessengemeinschaften wie „SecurityRoundtable.org“ oder staatlichen Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

[datensicherheit.de, 11.08.2016] Ransomware bedroht Geschäftsabläufe und kann unter Umständen sogar ein komplettes Unternehmen zum Stillstand bringen. In letzter Zeit gab es dafür zahlreiche Beispiele. Die Angreifer dringen dabei in das Unternehmens-Netzwerk ein und verschlüsseln geschäftskritische Daten. Dann erzwingen sie die Zahlung eines „Lösegeld“, um ggf. wieder Zugriff auf die Daten zu geben. Um sich vor Ransomware zu schützen, müssten Unternehmen laut Palo Alto Networks ihre Sicherheitsarchitektur neu ausrichten.

Wandel der IT-Sicherheitsansätze in Richtung Prävention

Martin Zeitler, „Senior Manager Systems Engineering“ von Palo Alto Networks, empfiehlt „einen grundlegenden Wandel der IT-Sicherheitsansätze in Richtung Prävention“. Herkömmliche Sicherheitstechnologie, die sich auf die Erfassung eines Sicherheitsvorfalls und die Sanierung nach der Infektion beschränke, sei nicht mehr effektiv genug gegen moderne Bedrohungen wie Ransomware, so Zeitler.

Checkliste zur Umsetzung einer präventionsbasierten Sicherheitsstrategie

Palo Alto Networks hat für die Umsetzung einer präventionsbasierten Sicherheitsstrategie eine Checkliste zusammengestellt:

1. Schritt: Reduzieren der Angriffsfläche
   • Gewinnen Sie einen vollständigen Überblick und identifizieren sie den gesamten Datenverkehr im Netzwerk. Blockieren Sie unbekannten, potenziell hochriskanten Verkehr.
   • Setzen Sie anwendungs- und benutzerbasierte Kontrollen durch. Beschränken Sie die Nutzung SaaS-basierter Anwendungen auf die Mitarbeiter, die diese für geschäftliche Zwecke benötigen.
   • Stoppen Sie alle gefährlichen Dateitypen. Nicht alle Dateitypen sind bösartig, aber diejenigen, die bekanntermaßen ein höheres Risiko darstellen oder bei den jüngsten Angriffen zum Einsatz kamen, sollten kontrolliert werden.
   • Etablieren Sie ein Regelwerk für die Nutzung von Endpunktgeräten. Beschränken Sie für Benutzer nicht-konformer Endpunkte die Verbindung zu kritischen Netzwerkressourcen.
2. Schritt: Vermeiden bekannter Bedrohungen
   • Stoppen Sie bekannte Exploits, Malware und Command-and-Control-Datenverkehr. Das Blockieren bekannter Bedrohungen erhöht die Kosten eines Angriffs für den Gegner und reduziert letztlich die Wahrscheinlichkeit eines Versuchs, ins Netzwerk einzudringen.
   • Blockieren Sie den Zugriff auf bösartige URLs und Phishing-URLs. Verhindern Sie so, dass Benutzer versehentlich eine bösartige Nutzlast herunterladen oder ihre Anmeldedaten gestohlen werden.
   • Scannen Sie SaaS-basierte Anwendungen nach bekannter Malware. SaaS-basierte Anwendungen stellen einen neuen Weg für die Malwareverbreitung dar und müssen sorgfältig geschützt werden.
   • Blockieren Sie bekannte Malware und Exploits auf den Endpunkten. Dadurch stellen Sie sicher, dass Ihre Endpunkte geschützt sind.
3. Schritt: Erkennen und vermeiden unbekannter Risiken
   • Erkennen und analysieren Sie unbekannte Bedrohungen in Dateien und URLs. Wenn neue Dateien eintreffen, analysieren und untersuchen Sie diese auf schädliches Verhalten.
   • Aktualisieren Sie die unternehmensweiten Schutzmaßnahmen und verhindern Sie bisher unbekannte Bedrohungen. Verteilen Sie automatisch Schutzmaßnahmen auf die verschiedenen Teile der Sicherheitsinfrastruktur des Unternehmens.
   • Fügen Sie Kontext zu Bedrohungen hinzu und sorgen Sie für proaktiven Schutz und Schadenreduzierung. Der Kontext notwendig, um die Angreifer, die Malware und die Indikatoren für eine Kompromittierung besser zu verstehen.
   • Blockieren Sie unbekannte Malware und Exploits auf dem Endpunkt. Sobald etwas auf unbekannte Bedrohungen hindeutet oder verdächtiges Verhalten identifiziert wurde, müssen die zuvor unbekannte Malware und Exploits auf dem Endpunkt sofort gestoppt werden.

Mehr gezielte Angriffe erwartet

Zeitler erwartet vor allem im Unternehmensumfeld eine „zunehmende Spezialisierung und Individualisierung von Ransomware-Attacken“.
Bisher seien die meisten Attacken „mit der Schrotflinte“ ausgeführt und fast wahllos Unternehmen aber auch Privatpersonen attackiert worden. Zukünftig würden wir mehr Attacken sehen, die sich gezielt gegen einzelne Unternehmen richteten, warnt Zeitler. Auch deshalb sei professionelle Prävention unverzichtbar.