[datensicherheit.de, 03.05.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur „Awareness“-Veranstaltung mit dem Titel „Informationssicherheit für Generative KI: Chancen nutzen, Risiken minimieren“ ein. Die Einführung sogenannter Generativer Künstlicher Intelligenz (GenKI / GenAI) bietet Unternehmen offensichtliche Chancen für mehr Effizienz und Innovation. Erörtert werden soll am 14. Mai 2025 die Frage, wie sich diese Potenziale ausschöpfen lassen, ohne die Informationssicherheit zu gefährden.

Abbildung: it’s.BB e.V.

Chatbot im Unternehmensumfeld als Beispiel – gemeinsam sollen Chancen und Risiken des Einsatzes Generativer KI betrachtet werden

Sicherheitsmaßnahmen für den GenKI-Einsatz

„In diesem kompakten Workshop fokussieren wir uns auf den konkreten ,Use Case’ eines Chatbots im Unternehmensumfeld. Gemeinsam erarbeiten wir die Chancen und Risiken, die mit dem Einsatz von GenAI verbunden sind.“

Dabei sollen bewährte Standards wie der „BSI IT-Grundschutz“ genutzt werden, um Sicherheitsmaßnahmen zu entwickeln, welche dem Einsatz im geschäftlichen Umfeld gerecht werden.

„Informationssicherheit für Generative KI: Chancen nutzen, Risiken minimieren“

Mittwoch, 14. Mai 2025, 16.00 bis 17.30 Uhr (Einlass ab 15.30 Uhr)
IHK Berlin (Kl. Vortragsaal, 1. UG), Fasanenstraße 85 in 10623 Berlin
Teilnahme kostenlos, Online-Anmeldung erforderlich.
Dieses Präsenz-Seminar wird in Zusammenarbeit mit der IHK Berlin organisiert.

Agenda (ohne Gewähr):

• 16.00-16.10 Uhr Begrüßung
  – Alina Bungarten, Netzwerkmanagerin it’s.BB e.V.
  – Anna Borodenko, Referentin für Digitalisierung und Cyber-Sicherheit, IHK Berlin
• 16.10-16.45 Uhr
  „Einführung in die Relevanz von GenAI und Informationssicherheit“
  „Kompakter Input zu den wesentlichen Funktionsprinzipien und Aufbau neuronaler Netze“
  „Chatbot-Use Case: Vorstellung des praktischen Einsatzszenarios, Analyse von Chancen und Risiken sowie Ableitung von Sicherheitsmaßnahmen anhand des ,BSI IT-Grundschutz’“
  – Rengbar Hardam, HiSolutions AG
• 16.45-17.30 Uhr Fragen / Diskussion / Abschluss

Zur Online-Anmeldung:

IHK BERLIN
ANMELDUNG: ItsBB: Informationssicherheit für generative KI: Chancen nutzen, Risiken minimieren

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

[datensicherheit.de, 17.05.2024] Trend Micro hat nach eigenen Angaben am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht. Demnach fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76% gegenüber weltweit 79%) von der Geschäftsleitung unter Druck gesetzt, die Cyber-Risiken im Unternehmen herunterzuspielen. „48 Prozent (weltweit 41%) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyber-Risiken vorzugehen“, berichtet Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme zu den Ergebnissen der aktuellen Trend-Micro-Studie.

Foto: Trend Micro

Richard Werner rät Unternehmen zur Einführung einer ganzheitlichen Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM)

Große Hürde für CISOs, den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen

Werner berichtet: „Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42%) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43%), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34%, weltweit 33%) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.“

Diese Ergebnisse deuteten offensichtlich auf ein gravierendes Kommunikationsproblem hin: Offenbar schafften es die IT-Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichteten fast alle (99%), dass sich ihre interne Lage verbessert habe, sobald es ihnen gelungen sei, den geschäftlichen Nutzen ihrer Cyber-Sicherheitsstrategie zu messen:

• „46 Prozent (weltweit 43%) erhielten daraufhin mehr Budget.
• 45 Prozent (weltweit 44%) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
• 42 Prozent (weltweit 41%) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
• 40 Prozent (weltweit 45%) erhielten mehr Verantwortung.
• 26 Prozent (weltweit 46%) fühlen sich als glaubwürdiger wahrgenommen.“

Zu oft wird immer noch die Cyber-Sicherheit lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt

Doch es gebe noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34%, weltweit 34%) werde Cyber-Sicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.

Nur zirka die Hälfte (51%, weltweit 54%) der Befragten seien zuversichtlich, „dass ihre Führungsebene die Cyber-Risiken, denen das Unternehmen ausgesetzt ist, vollständig versteht“. Da sich diese Zahl seit 2021 kaum verändert habe, stellten sich nun die Fragen: „Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyber-Risiken effektiv in geschäftlichen Begriffen zu kommunizieren?“

Eine große Herausforderung sei dabei die heterogene IT-Security-Landschaft. „Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyber-Risiken zu machen“, erläutert Werner.

Cyber-Risiken indes zumeist das größte Geschäftsrisiko für Unternehmen

Er führt weiter aus: „Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62%) sagen, dass Cyber-Risiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt.“ Werner warnt in diesem Zusammenhang: „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden!“ Der erste Schritt zur Verbesserung sollte darin bestehen, eine „Single Source of Truth“ für die gesamte Angriffsfläche zu schaffen.

Über die Hälfte der Befragten (59%, weltweit 58%) glaubten, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssten. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM) könne dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefere.

Abschließend erläutert Werner: „ASRM sammelt interne und externe Security-Daten in einem zentralen ,Data Lake’, analysiert und korreliert sie KI-gestützt. Im ,Executive Dashboard’ erhalten CISOs alle Informationen zur Risiko-Exposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.“

Weitere Informationen zum Thema:

TREND MICRO
Warum werden CISOs nicht gehört? / Studie von Trend Micro zeigt: IT-Sicherheitsverantwortlichen wird von Geschäftsführungen zu wenig Vertrauen entgegengebracht

[datensicherheit.de, 21.05.2021] Datenklassifizierung ist wie ein guter Vorsatz, den man zu Silvester für das neue Jahr fasst. Man weiß, dass es irgendwie sinnvoll ist, und doch schiebt man es immer wieder auf – schließlich ging es bisher ja auch ohne. Doch spätestens, wenn die Firmendaten in die Cloud wandern, sollte man sie zuvor umfassend kategorisiert haben.

Studie zeigt: Datenklassifizierung ist auf dem Radar

Die kürzlich vorgestellte IDG Studie „Cloud Security 2021“ [1] beschäftigt sich mit dem großen Thema der Datensicherheit in der Cloud und beleuchtet viele zentrale Aspekte, wie beispielsweise Verschlüsselung, Datendiebstahl oder das geplante Security-Budget der befragten Firmen. Auch das bisweilen stiefmütterlich behandelte Thema Datenkategorisierung wird unter die Lupe genommen. Die Ergebnisse zeigen deutlich, dass die Notwendigkeit für eine Klassifizierung der firmeneigenen Daten von den meisten Studienteilnehmern erkannt wurde. Immerhin antworten 53 Prozent der Entscheider auf die Frage „Erfolgt in Ihrem Unternehmen eine Kategorisierung, welche Art von Daten bzw. Dokumenten mit welchen Cloud-Diensten verarbeitet werden darf“ mit einem entscheidenden „JA“; wichtigstes Kriterium hierbei ist die Verwendung der Daten. Elf Prozent der befragten DACH-Unternehmen planen hingegen keine Kategorisierung vor der Datenübertragung in die Cloud.

Knapp ein Drittel der Entscheider will Daten zukünftig klassifizieren

Ganze 29 Prozent – und somit knapp ein Drittel aller Entscheider – haben zumindest vor, ihre Daten zukünftig einer Klassifizierung zu unterziehen, bevor sie diese in die Cloud übermitteln. Doch damit verschieben sie die nicht unerhebliche Entscheidung einer klaren Trennung ihrer Daten auf eine ungewisse Zukunft; vielleicht passiert dies noch vor der ins Auge gefassten Cloud-Migration – vielleicht aber auch erst Monate oder gar Jahre später. Dieses zögerliche Entscheidungsverhalten birgt große Risiken. Denn spätestens, wenn unternehmenskritische Daten aufgrund einer aufgeschobenen Klassifizierung in die falschen Hände gelangen, wird den Verantwortlichen das Gewicht ihrer Versäumnisse bewusst. Dies spielt besonders bei stark regulierten Branchen, die derzeit verstärkt in die Cloud drängen, eine entscheidende Rolle [2].

Karl Altmann, CEO uniscon, Bild: uniscon

„Ein Datenleck von personenbezogenen Daten kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen.“ warnt Karl Altmann, CEO des Münchner Business-Cloud-Anbieters uniscon.

Daher sei allen IT-Verantwortlichen angeraten, sich unbedingt vor der Cloud-Migration die nötigen Gedanken über eine Unterteilung ihres Datenbestandes gemäß ihrer Kritikalität zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit

privacyblog
IDG Studie „Cloud Security 2021“: Datenklassifizierung in der Cloud

Ein Beitrag von unserem Gastautorin Nisha Amthul, Senior Product Marketing Managerin bei Thales

[datensicherheit.de, 07.11.2019] Arbeitsalltag im Jahr 2030: Genau wie heute kommt es kurz vor Feierabend zu einem wichtigen Meeting – ohne Ankündigung. Anstatt den Kaffee auszutrinken und den Laptop einzupacken, heißt es länger bleiben. Die wartende Tochter kann man aber anhand einer App mit einem selbstfahrenden Taxi abholen lassen. Per Smartphone geht ein Code an die Nachmittagsbetreuung der Schule, der den Zugang zum Abholservice erlaubt.

Während man sich also noch einen weiteren Espresso schnappt, wird der Nachwuchs sicher in die fahrerlose Mitfahrzentrale begleitet. Dort wartet der ausgewählte rote SUV. Neben Wagentyp und Farbe lassen sich auch Temperatur und die gespielte Musik aus der Ferne vom Handy aus einsehen und steuern. Als letztes Update vor dem Last-Minute-Meeting zeigt das Display des Handys noch die Information, dass das Auto samt Tochter umgeleitet wurde, um die Staus auf der Autobahn zu umfahren. Sie sollte aber rechtzeitig für ihren Klavierunterricht zu Hause sein – der Termin wurde automatisch nach dem Abgleich mit dem Kalendereintrag erkannt.

Bild: Thales

Nisha Amthul, Senior Product Marketing Managerin bei Thales

Realistische Zukunftsvorstellung

Diese Zukunftsvorstellung ist realistisch, aber ist sie auch sicher? Das nahtlose Zusammenspiel neuester IoT-Technologien definiert „Smart Cities“ und verändert die Lebens- und Arbeitsweise. Es gibt nur ein Problem: Verbundene Technologiesysteme werfen auch ernsthafte Bedenken hinsichtlich Privatsphäre und Sicherheit auf. So werden beispielsweise durch die Abfrage des Weges von der Schule nach Hause dem Automobilunternehmen personenbezogene Daten über den Zeitplan, die Präferenzen und den Aufenthaltsort der Tochter mitgeteilt. Offensichtlich ist es beunruhigend zu wissen, dass jemand Wissen darüber erlangen könnte, wann und wohin die eigenen Kinder gehen und wie man ihnen nach Hause folgen kann. Smart Cities werden bald den Sprung vom Konzept zur Realität vollendet haben, daher hat ihre Absicherung oberste Priorität, um Vertrauen und Privatsphäre zu gewährleisten.

Die Kosten eines Datenschutzvorfalls

Das potenzielle Sicherheitsproblem einer Smart City-Initiative könnte schwerwiegende Folgen haben. Ein im vergangenen Mai veröffentlichter Bericht des US- Cybersicherheitsunternehmens Recorded Future zeigte einen Anstieg der Ransomware-Angriffe auf Städte in den USA auf. Im Juni 2019 zahlte Riviera Beach 600.000 Dollar an Hacker, um ihr E-Mail-System und ihre öffentlichen Aufzeichnungen wiederherzustellen. Der Anstieg der Angriffe macht deutlich, dass viele Städte nicht auf Cybersicherheitsbedrohungen vorbereitet sind. Und laut eMazzanti Technologies „machen die Ausgaben für Informationstechnologie (IT) oft weniger als 0,1 Prozent des gesamten Budgets einer Kommune aus“.

Die Hyper-Konnektivität und Digitalisierung von Städten erhöht auch die Gefahr durch Cyber-Bedrohungen. Um die Herausforderung anzugehen, sollten Regierungsvertreter, Stadtplaner und andere wichtige Interessengruppen Best Practices für die IT-Sicherheit zu einem integralen Bestandteil ihrer Planung machen. Eine nachträgliche Implementierung ist immer schwierig.

Im Zentrum geht es dabei um Vertraulichkeit, Integrität, Verfügbarkeit, Sicherheit und Ausfallsicherheit. Das müssen die Ziele einer Sicherheitsstrategie sein. Ansätze sollten dabei traditionelle Informationstechnologie (IT) zur Datensicherung, als auch Betriebstechnik (OT) zur Gewährleistung der IT Security und Ausfallsicherheit Systemen und Prozessen umfassen.

Eine passende Strategie hilft modernen Städten, eine sicherere und widerstandsfähigere Betriebsumgebung zu erhalten. In der Vergangenheit waren IT- und OT-Netzwerke völlig getrennt, mit geteilten Schutzfunktionen sowie separaten Gruppen für deren Verwaltung und Kontrolle. Jetzt bewegen sich OT-Systeme immer stärker in Standard-Protokoll-/Internet-Protokoll-(IP)-Netzwerken.

Diese neue Umgebung erfordert einen anderen Ansatz für die Datensicherheit, einschließlich:

• Zugangskontrolle, um es Cyberkriminellen schwerzumachen, in Systeme einzudringen;
• Zugriffsprotokollierung, die eine Verbindung zu SIEM-Systemen herstellt, so dass Systemadministratoren ungewöhnliche Zugriffe erkennen können, die auf einen potenziellen Angriff hinweisen;
• Durchgehend starke Verschlüsselung, die sicherstellt, dass verletzte Daten unlesbar und nutzlos für diejenigen sind, die sie stehlen könnten.
• Zentrales Management des kryptografischen Schlüsselmaterials, um die fortlaufende Sicherheit des Systems zu gewährleisten

Alle diese Maßnahmen gelten als Best Practices für den Datenschutz. Das Ausbalancieren zwischen dem Potenzial von Smart Cities versus dem erhöhten Risiko durch umfangreiche Cyberangriffe ist die Schlüsselherausforderung der Stunde. Stadtverwaltungen sollten zunächst alle Interessengruppen und Einrichtungen des breiteren Ökosystems einbeziehen. Es ist klar, dass Smart Cities anfällig für Sicherheitsangriffe sind. Ebenso liegt es auf der Hand, dass es Instrumente zur Absicherung der Innovation gibt. Es braucht jetzt vor allem den Willen, die Herausforderung richtig anzugehen.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2019
Digitalisierung – die ersten gefährdeten Schritte im Cyberspace / Beobachtungen von der „9. Handelsblatt Jahrestagung Cybersecurity“ in Berlin

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 19.04.2016
Sicherheitslücke bei Verkehrssensoren aufgedeckt

[datensicherheit.de, 14.09.2019] Unter dem Titel „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ richtet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, nach eigenen Angaben am 24. September 2019 in Berlin ein Symposium aus. Gemeinsam mit Vertretern aus der Zivilgesellschaft, aus Politik, Forschung und Wirtschaft, soll über die Möglichkeiten diskutiert werden, die sich durch den Einsatz Künstlicher Intelligenz (KI) eröffnen und gleichzeitig werde ein Blick auf die Herausforderungen geworfen, welche diese für alle Bereiche der Gesellschaft mit sich brächten.

Fortschritt durch Nutzung immenser Datensätze

Maschinelles Lernen etwa, beruhe vielfach auf immensen Datensätzen, deren Nutzung bereits zu beeindrucken Fortschritten z.B. im Gesundheitswesen, im Bereich Autonomer Fahrzeuge oder bei logistischen Strategien geführt habe.

Kritische Fragen sollten gestellt und beantwortet werden

Die Weiterentwicklung der KI-Anwendungen verlaufe in hohem Tempo, bringe neben den unbestrittenen Chancen aber auch eine Reihe von wichtigen kritischen Fragen mit sich, die gestellt werden müssten:

• Wie soll der Umgang mit Aspekten des Datenschutzes, der Informationssicherheit oder mit ethischen Fragestellungen aussehen?
• Wo behindern und wo befruchten sich möglicherweise wirtschaftliche Interessen, Forschungszwecke, die Grundsätze des Datenschutzes, Verbraucherinteressen und der internationale Wettbewerb?
• Kann Europa im Vergleich zu den USA oder China, deren „Vorsprung“ bei der Entwicklung von KI-Anwendungen immer wieder angeführt wird, einen eigenen „dritten Weg“ beschreiten, der technische Standards festlegt, Rechtssicherheit bei der Datennutzung schafft?
• Ist es so möglich, eine Künstliche Intelligenz „made in Europe“ zu definieren, die durch Innovation, Transparenz und Fairness als Erfolgsfaktoren punkten kann?

Breite gesellschaftliche und politische Debatte erforderlich

Eine breite gesellschaftliche und politische Debatte zum Thema Datenschutz und KI, die offen und kontrovers geführt werde, bilde die unverzichtbare Grundlage für einen innovationsorientierten und verantwortungsbewussten Umgang mit den Entwicklungen im Bereich der KI.

„Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“
Dienstag, 24. September 2019, 9.30 bis 17.00 Uhr
Max-Planck-Gesellschaft, Harnack-Haus
Ihnestraße 16-20 in 14195 Berlin
Anmeldung erforderlich!

Weitere Informationen zum Thema:

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 10.09.2019
Einladung zum BfDI Symposium „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 10.09.2019
Programm zum Symposium „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“

datensicherheit.de, 30.01.2019
Datenschutz: Ulrich Kelber betont Wichtigkeit positiver Besetzung

Ein Kommentar von Klaus Nemelka, Technical Evangelist bei Varonis Systems

[datensicherheit.de, 01.08.2019] Dass eine Konfigurationsschwachstelle bei einem Cloud-Provider zu einem Datenschutzverstoß geführt hat, überrascht heute kaum mehr. Unternehmen sehen in der Auslagerung ihrer Datenbestände (inklusive sensibler Kundendaten) in die Cloud sowohl Kosten- aber auch Komfortvorteile, unterschätzen jedoch oftmals die damit verbundenen Risiken – vor allem, wenn hier keine umfassende Überwachung stattfindet.

Bild: Varonis Systems

Klaus Nemelka, Technical Evangelist bei Varonis Systems

Erkennung des Datenschutzverstoßes überraschend

Überraschend ist jedoch, dass es einen Chat-Raum und aufmerksame Teilnehmer brauchte, um den Verstoß zu erkennen. Capital One hatte keine Ahnung, dass jemand Unbefugtes auf riesige Mengen an sensiblen Daten zugegriffen hatte, bis die mutmaßliche Angreiferin in Slack damit prahlte.

Überwachung nicht ausreichend

Kompromittierungen passieren immer wieder, sei es durch Konfigurationsfehler, einen bösartigen Angriff oder beides. So weit, so schlecht. Wirklich beunruhigend ist jedoch, dass Capital One die sensiblen Daten nicht so überwacht hat, dass der unbefugte Zugriff erkannt wurde. Das Kopieren von Millionen von Kundendaten muss als ungewöhnliches Verhalten auffallen. Hätte es entsprechende Vorkehrungen wie eine intelligente Überwachung des Nutzerverhaltens gegeben, wäre genau dies bemerkt worden und Capital One wäre in der Lage gewesen, rasch Gegenmaßnahmen zu ergreifen und den Schaden deutlich zu minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 31.07.2019
Cyberangriff auf Großbank Capital One

Von unserem Gastautor Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

[datensicherheit.de, 01.07.2019] Risiken von Maschinenidentitäten (digitale Zertifikate und kryptographische Schlüssel) sind nicht immer kritisch. IT-Verantwortliche müssen jedoch verstehen, wie wichtig sie für die IT-Sicherheitslage des Unternehmens sind. Aus diesem Grund wurde eine Liste zusammengestellt mit fünf wichtigen Risiken, an denen sich die Verantwortlichen abarbeiten können:

1. Zertifikatsbedingte Ausfälle
   Wenn Zertifikate ausgestellt werden, wird ihnen ein Verfallsdatum zugewiesen. Wenn ein Zertifikat nicht vor Ablauf ersetzt wird, kann es einen zertifikatsbedingten Ausfall auf dem von ihm unterstützten System auslösen. Dieser ungeplante Ausfall und die damit verbundenen Ausfallzeiten dauern an, bis ein neues Zertifikat ausgestellt und installiert wird. Ohne die richtige Intelligenz, wie z.B. zu wissen, wo genau ein Zertifikat installiert ist und wer dieses System besitzt, sind zertifikatsbedingte Ausfälle bekanntlich schwer zu diagnostizieren.
2. Sicherheitsverstöße
   Die meisten Sicherheitskontrollen vertrauen auf digitale Kommunikation, die über Maschinenidentitäten authentifiziert wird. Aber wenn die kryptographischen Schlüssel und digitalen Zertifikate kompromittiert oder gefälscht werden, können Cyberkriminelle sie nutzen, um legitim zu erscheinen. Sie können dann unter anderem Sicherheitskontrollen umgehen. Cyberkriminelle verwenden auch gestohlene Maschinenidentitäten, um privilegierten Zugriff auf kritische Systeme zu erhalten, damit sie tiefer in das Unternehmensnetzwerk eindringen und über einen längeren Zeitraum versteckt bleiben können.
3. Langsame Incident Response
   Je länger eine Sicherheitsbedrohung, ein Ausfall oder eine Sicherheitsverletzung andauert, desto größer ist das Potenzial für schwere Schäden. Wenn beispielsweise eine Zertifizierungsstelle (CAs) kompromittiert wurde, könnten die Verantwortlichen wirklich schnell genug alle und zwar wirklich alle Zertifikate dieser Zertifizierungsstelle ersetzen? Andere große Sicherheitsereignisse, die eine rechtzeitige Reaktion erfordern, sind die Entdeckung einer Maschinenidentität unter Verwendung eines verwundbaren Algorithmus wie SHA-1, die Ausnutzung eines kryptographischen Bibliotheksfehlers wie Heartbleed oder wenn ein führender Browser-Anbieter entscheidet, Zertifikaten dieser kompromittierten CA nicht mehr zu vertrauen. Wenn Unternehmen auf jede Art von Ereignis reagieren müssen, das sich auf die Maschinenidentität auswirkt, ist die Zeit der Reaktion zum Erhalt der IT-Sicherheit entscheidend.
4. Operative Unzulänglichkeiten
   Unternehmen verbringen in der Regel durchschnittlich vier Stunden pro Jahr damit, jedes digitale Zertifikat zu verwalten, das als Maschinenidentität dient. Bei Tausenden oder sogar Hunderttausenden von Maschinenidentitäten kann sich der daraus resultierende Aufwand schnell summieren. Die Verwaltung von Maschinenidentitäten kann durch andere Faktoren erschwert werden, wie z.B. durch Administratoren, die mit Zertifikaten oder Trust Centern nicht vertraut sind. Und wenn Ihre Maschinenidentitäts-Operationen nicht reibungslos ablaufen – was in den meisten Unternehmen der Fall ist -, kann der Zeitaufwand schnell ansteigen, insbesondere wenn es zu einem Ausfall oder einer Verletzung kommt.
5. Negative Audit-Ergebnisse
   Maschinenidentitäten unterliegen zunehmend den Richtlinien und Vorschriften von Unternehmen, Behörden oder Branchenvorgaben. Darunter befinden sich mehrere Standards, die sich speziell auf die Verwaltung und Sicherheit von kryptografischen Schlüsseln und Zertifikaten konzentrieren. Da die meisten Unternehmen keine Lösung zum Schutz der Maschinenidentität nutzen, ist es nicht ungewöhnlich, dass Auditoren feststellen, dass ein Unternehmen nicht in der Lage ist, Maschinenidentitäten zu überwachen, Richtlinien durchzusetzen oder eine effektive Verwaltung aufrechtzuerhalten. Das führt zu erheblichen Sicherheits- und Zuverlässigkeitsrisiken. Wenn Verantwortliche mit der Bearbeitung negativer Compliance-Findings beauftragt sind und kein Programm zum Schutz der Maschinenidentität installiert haben, stehen sie vor einem langwierigen, manuellen Projekt.

Foto: Venafi

Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

Fazit

Von Serviceausfällen bis hin zu Sicherheitsverletzungen können schwach verwaltete Maschinenidentitäten verheerende Auswirkungen auf Unternehmen haben. Wenn eine Maschinenidentität kompromittiert und in einem Cyberangriff verwendet wird oder einen IT-Ausfall bzw. eine Störung verursacht, können die negativen Folgen erheblich sein. Unternehmen können unter einem geschädigten Ruf, Umsatzeinbußen, kostspieligen Abhilfemaßnahmen und höheren Verwaltungskosten leiden. Dagegen schützt eine Lösung, die alle Maschinenidentitäten automatisiert an einem zentralen Ort erfasst, verwaltet und zur Not per Knopfdruck ersetzen kann, wenn einer CA das Vertrauen entzogen wird.

Weitere Informationen zum Thema:

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

Ein Kommentar von Marc Schieder, CIO von DRACOON

[datensicherheit.de, 11.03.2019] Wie am vergangenen Wochenende bekannt wurde, ist das US-amerikanische Softwareunternehmen Citrix Opfer eines verheerenden Cyberangriffs geworden. Citrix ist unter anderem für die Abwicklung sensibler IT-Projekte für die Kommunikationsagentur des Weißen Hauses, das US-Militär, das FBI und viele amerikanische Unternehmen verantwortlich. Laut einem Blogeintrag des Security-Providers gelang es den Kriminellen offenbar, sich Zugriff auf das interne Netzwerk zu verschaffen und somit Zugang zu Geschäftsdokumenten zu erlangen. Dem Konzern selbst sei der Angriff zunächst nicht aufgefallen, sondern das FBI hatte in diesem Falle Alarm geschlagen.

Cyberkriminellen nutzten wahrscheinlich dem „Passwort Spraying“

Nach aktuellem Kenntnisstand ist der IT-Sicherheitsanbieter zweimal innerhalb der letzten Monate angegriffen worden: einmal im Dezember und erneut einmal am letzten Montag – so berichtete es die Firma Resecurity. Zu den Tätern gibt es bereits erste Informationen: Der Angriff sei wahrscheinlich von der iranischen Hackergruppe Iridium durchgeführt worden, die auch hinter einer Welle jüngster Cyberangriffe gegen zahlreiche Regierungsbehörden, Öl- und Gasunternehmen und andere Ziele stand. Bezüglich der Methodik bedienten sich die Cyberkriminellen wahrscheinlich dem „Passwort Spraying“. Bei dieser Vorgehensweise handelt es sich nicht um einen klassischen Brute-Force-Angriff, sondern es werden typische, weitverbreitete Passwörter ausprobiert, bis man schließlich auf den richtigen Code stößt und Zugang erhält. Häufig werden hier besonders naheliegende und unsichere Zugangsinformationen durchprobiert, wie etwa „Password.“ Auf diese Weise konnten die Angreifer wohl mehrere Mitarbeiter-Accounts kompromittieren und somit in das Netzwerk eindringen. Insgesamt wurden vermutlich zwischen sechs und zehn Terabyte Daten entwendet. Wie Citrix in seinem Blogpost zum Vorfall betont, gebe es derzeit keine Hinweise darauf, dass der Angriff Einfluss auf die Sicherheit der Produkte oder Dienste der Firma hat. Allerdings bestehe laut NBC News aufgrund der besonderen Datensensibilität der Citrix-Kunden das potenzielle Risiko, dass Hacker schließlich ihren Weg in US-Regierungsnetzwerke finden könnten, so die Meinung von Experten.

Bild: DRACOON

Marc Schieder, CIO von DRACOON

Kein Unternehmen sicher vor Cyberangriffen

Der Hackerangriff auf Citrix zeigt, dass auch Unternehmen aus dem Bereich IT-Sicherheit nicht vor dem Umstand geschützt sind, dass betriebsintern unsichere und extrem leicht zu ermittelnde Passwörter genutzt werden. Und genau das kann zu einer Kompromittierung einer großen Menge an kritischer Geschäftsdaten führen. Dies birgt eine Gefahr für den Betrieb selbst, aber auch für seine Kunden. Gerade jetzt müssen Unternehmen, völlig unabhängig, in welcher Branche sie tätig sind, verstärkt darauf achten, dass sie die Schulung ihrer Mitarbeiter und die hohen Sicherheitsstandards bezüglich der Zugangsinformationen auf keinen Fall vernachlässigen. Ich empfehle außerdem auch die Einführung einer Zweifaktor-Authentifizierung für das Login, so wird der Zugriff auf die Accounts um eine zusätzliche „Hürde“ erweitert.

Risiken für die IT-Sicherheit nicht vernachlässigen

Kein Unternehmen, egal ob Weltkonzern oder mittelständischer Betrieb, darf die Risiken für die IT-Sicherheit vernachlässigen – eine gute Absicherung ist keine einmalige Angelegenheit, sondern bedarf dem konstanten Monitoring der aktuellen Gefahren und Schulungen der Mitarbeiter über den Umgang damit. Abgesehen von internen Maßnahmen zum sicheren Passwortmanagement und anderen Sicherheitsstrategien können auch Softwarelösungen dabei helfen, das Security-Niveau zu erhöhen, beziehungsweise auf einem hohen Niveau zu halten. Bei der Implementierung einer neuen Lösung, etwa einer Lösung zum Dateiaustausch – aber auch anderen Arten von Software – sollte darauf geachtet werden, dass diese bereits mit besonders datenschutzfreundlichen Voreinstellungen versehen sind und die Themen Datensicherheit und -Schutz in die Entwicklung miteingeflossen sind. Die Konzepte „Privacy by design“ und „Privacy by default“ gehören seit einiger Zeit zu den am häufigsten diskutierten Themen, wenn es um den Schutz von Informationen geht. Sie bedeuten konkret nichts anderes als „Datenschutz durch Technikgestaltung“ sowie „Datenschutz durch datenschutzfreundliche Voreinstellungen.“ Spätestens seit diese Grundsätze sogar in der EU-DSGVO verankert wurden (Artikel 25), sind die Begriffe zurecht in aller Munde und bei der Wahl der richtigen Softwarelösungen sollten, beziehungsweise müssen, diese Kriterien unbedingt berücksichtigt werden.

Schutzniveau amheben

Insgesamt sorgen also sowohl organisatorische Maßnahmen, etwa zum sicheren Umgang mit Passwörtern, als auch ein besonderes Augenmerk auf Datensicherheit und -Schutz bei der Wahl von verwendeten Softwarelösungen dafür, das Schutzniveau im Unternehmen auf ein Maximum zu heben. Dabei ist es egal, ob es sich um einen Betrieb aus dem Bereich IT-Sicherheit handelt oder einer anderen Branche. Unterschätzen sollten Firmen die Gefahr auf ihre IT-Infrastruktur in keinem Fall.

Weitere Informationen zum Thema:

datensicherheit.de, 24.01.2019
Doxing: Einschätzung der Situation und Konsequenzen

datensicherheit.de, 08.09.2018
Datensicherheit: Filesharing mit Virenschutz

[datensicherheit.de, 22.10.2018] Wir befinden uns erst am Anfang der Digitalisierung, die Gesellschaft und Wirtschaft nachhaltig verändern wird. Gleichzeitig beobachten wir eine neue Qualität von Cyber-Angriffen und IT-Sicherheitsvorfällen, die die Grundfesten der Informationstechnologie erschüttert. VieleWirtschaftsakteure sehen und nutzen die Vorteile der Digitalisierung, ignorieren aber mögliche Risiken. Dabei ist die Informationssicherheit die notwendige Voraussetzung für den Geschäftserfolg eines Unternehmens.

Cyber-Risiken kennen und bewerten

Am Anfang der Informationssicherheit steht eine Risikoanalyse bezüglich Cyber-Bedrohungen: Welche IT-basierten Prozesse gehören zu meinem Kerngeschäft? Kann ich den Schutz sensibler Kundendaten gewährleisten? Und welche Bedrohungen aus dem Cyber-Raum gibt es aktuell?
Hilfreich sind hier die Warnmeldungen und Lagebilder der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sind die Sicherheitsrisiken erkannt, heißt es, ein geeignetes Risikomanagement zu implementieren, Zuständigkeiten zu klären und passende Maßnahmen zu ergreifen.

Schutzmaßnahmen umsetzen

Oft helfen schon einfache, mit kleinem Aufwand umsetzbare Maßnahmen, die Cyber-Sicherheit im eigenen Betrieb deutlich zu verbessern:

• Programme auf dem neuesten Stand halten
• Sorgfältig mit Passwörtern umgehen
• Daten regelmäßig sichern
• Alle Beschäftigten schulen
• Den Ernstfall üben

Diese Maßnahmen lassen sich Schritt für Schritt weiter ausbauen. Eine bewährte Herangehensweise bietet dabei etwa der modernisierte IT-Grundschutz des BSI.

Dran bleiben!

Angesichts der dynamischen Bedrohungslage ist Cyber-Sicherheit als Prozess zu denken und erfordert eine kontinuierliche Überprüfung der Risikobewertung und eine Nachjustierung der Maßnahmen. Dabei können Sie von der Expertise anderer profitieren:
Mit der Allianz für Cyber-Sicherheit (ACS) hat das BSI eine Plattform für den Austausch von Informationen und Erfahrungen rund um das Thema Informationssicherheit für die Wirtschaft geschaffen. Als Teilnehmer der mittlerweile über 3.000 Mitglieder zählenden Initiative sind Unternehmen Teil eines starken Netzwerks. Der Erfahrungsschatz ist reich und kann oftmals die entscheidende Hilfestellung bieten. Die kostenlose Teilnahme an der Allianz für Cyber-Sicherheit ist daher für jeden Betrieb eine sinnvolle, unkomplizierte Maßnahme für mehr Informationssicherheit.

Interesse an guten Beispielen aus der Praxis? Im aktuellen Video „Cyber-Risiken erkennen, Schutzmaßnahmen etablieren“ der ACS geben ein Geschäftsführer aus dem Handwerk, die Geschäftsführerin eines Familienunternehmens in der Industrie und ein Aufsichtsratsvorsitzender aus einem Dienstleistungsunternehmen Einblicke, warum und wie sie Informationssicherheit in ihren Betrieben umsetzen.

Weitere Informationen zum Thema:

Reyno Thormählen, Geschäftsführer der HANS THORMÄHLEN GmbH & Co. KG in Großenmeer, Kirsten Schoder-Steinmüller, Geschäftsführerin der SCHODER GmbH in Langen und Klemens Gutmann, Vorsitzender des Aufsichtsrats der regiocom AG in Magdeburg, alle drei Partner der Allianz für Cyber-Sicherheit des BSI, geben Einblicke, warum und wie sie Informationssicherheit in ihren Betrieben umsetzen.

Zum Video durch Klick auf das Bild!

[datensicherheit.de, 28.08.2018] Eltern laden gerne Bilder ihrer Liebsten hoch, jedoch in den meisten Fällen (56 Prozent), ohne sie vorher um Erlaubnis zu fragen. Das hat eine aktuelle Umfrage von McAfee ergeben, in der 1.000 Eltern zu ihrem Verhalten im Internet befragt wurden. Die Ergebnisse zeigen, dass obwohl sich die Eltern der Risiken bewusst sind, die das Hochladen von Bildern ihrer Kinder ins Internet bedeuten, die Mehrheit nicht um die Erlaubnis ihrer Kinder fragt, bevor sie Bilder von ihren Schützlingen online stellen. Als Grund gaben 22 Prozent an, ihre Kinder seien zu jung, um vorher gefragt werden zu müssen. Weitere 24 Prozent denken, dass sie grundsätzlich das Recht haben, die Bilder von ihren Kindern auf soziale Netzwerke zu stellen.

Bilder in „falschen“ Händen

Fast zwei Drittel der Eltern (64 Prozent) bekundeten, sich Sorgen zu machen, dass die Bilder ihrer Kinder auf sozialen Netzwerken in die falschen Hände geraten könnten. Dabei sahen die Eltern die größten Risiken bei der Veröffentlichung von Bildern ihrer Kinder in Form von Missbrauch durch Pädophile (42 Prozent), Bildbearbeitung (41 Prozent) und Identitätsdiebstahl (40 Prozent). Aber auch Cybermobbing und Kidnapping gaben Eltern als Gründe an, vorsichtig mit den Bildern ihrer Kinder umzugehen.

Unter den Eltern, die angaben, Bilder in sozialen Netzwerken zu teilen, gaben Männer an, tendenziell häufiger Bilder von ihren Kindern hochzuladen, sie dabei aber auch manchmal um Erlaubnis zu fragen. Frauen hingegen fragten seltener um die Erlaubnis der Kinder, veröffentlichten aber weniger häufig und nur ausgewählte Bilder von ihren Kindern.

Eltern können sich an diesen Tipps orientieren, um die Gefahren der Online-Welt für ihre Kinder zu vermeiden:

1. Erst nachdenken, dann hochladen. Bevor man ein Bild auf Sozialen Netzwerken teilt, sollte man sichergehen, dass nichts in dem Foto als ein Identifizierungsmerkmal verwendet werden kann, wie Geburtstage, sichtbare Adressen, Schuluniformen, finanzielle Daten oder erkennbare Passwörter. Eltern sollten sich immer fragen, ob das was sie hochladen etwas ist, was sie auch ohne Bedenken einem Fremden zeigen würden.
2. Vorsicht bei Ortserkennung. Sozialen Netzwerke geben den Ort an, an dem ein Foto hochgeladen worden ist an. Eltern sollten sichergehen, dass diese Funktion ausgeschaltet ist, um nicht ihre aktuelle Position zu verraten. Das hat besondere Priorität, wenn man Bilder außerhalb der eigenen vier Wände hochlädt.
3. Die Einstellungen zur Privatsphäre kontrollieren. Eltern sollten Fotos und andere Online-Beiträge nur mit einer erwünschten Zielgruppe teilen. Dienste wie Facebook oder Instagram haben Funktionen, die es erlauben, Beiträge nur mit Leuten zu teilen, mit denen man vernetzt ist.
4. Onlineregeln für Freunde und Familie aufstellen. Freunde und Familie sollten über bestimmte Regeln im Umgang mit Bildern von den eigenen Kindern Bescheid wissen. Solche Regeln können ungewollte Situationen verhindern, bei denen ein Familienmitglied Bilder teilt, ohne die Erlaubnis dafür bekommen zu haben.
5. Software zum Schutz der Identität verwenden. Je mehr sich die Anzahl der gemeldeten Datendiebstähle häuft, desto größer wird die Gefahr selbst ein Opfer von Identitätsdiebstahl zu werden. Mithilfe geeigneter Software, kann man diese Gefahr jedoch vermeiden und aktiv den Missbrauch und Diebstahl der eigenen Identität verhindern.

Weitere Informationen zu Thema:

datensicherheit.de, 16.08.2018
Instagram-Hacking-Welle: Phishing möglicher Angriffsvektor

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 07.12.2012
Warnung an Jugendliche: Bilder von Ausweisen haben in Sozialen Netzwerken nichts verloren

datensicherheit.de, 20.11.2012
Soziale Netzwerke als Sicherheitsrisiko im Unternehmen