[datensicherheit.de, 01.12.2020] RSA betont in einer aktuellen Stellungnahme, dass sich heute die wenigsten Firmen Ausfallzeiten der IT-Infrastruktur und Datenverlust leisten können – und dennoch hätten laut einer aktuellen Studie 95 Prozent der Firmen schon einmal unerwartete und kostspielige, den Geschäftsbetrieb stark beeinträchtigende Ausfallzeiten erlebt. Vor allem DDoS-Attacken sind demnach eine beliebte Angriffsmethode von Cyber-Kriminellen und diese hätten in ihrer Häufigkeit, ihrem Umfang und in ihrer Komplexität in den vergangenen Monaten noch zugenommen. Nachfolgend geht Leonard Kleinman, „Chief Cyber Security Advisor“ bei RSA, auf die Frage ein, warum Unternehmen bei ihrer DDoS-Verteidigung auf Zero-Trust setzen sollten und weshalb Maßnahmen wie die Aktivierung einer „WEB Application Firewall“ (WAF) nicht mehr ausreichten.

DDoS-Verteidigung: Ohne Zero-Trust lässt sich allenfalls etwas Zeit gewinnen

Dass DDoS-Attacken nach wie vor zu den beliebtesten Angriffsmethoden von Cyber-Kriminellen zählten, liege zum großen Teil an der Einfachheit, den geringen Kosten und der Anonymität solcher Angriffe. Bei einem solchen Angriff werde versucht, ein System oder einen Server durch Überlastung – beispielsweise durch erhöhten Datenverkehr – zu verlangsamen, dessen Verfügbarkeit einzuschränken oder Stillstand zu erreichen.
Viele Organisationen hätten erkannt, dass die DDoS-Verteidigung für die Aufrechterhaltung des Betriebes und die Gewährleistung von einzigartigen Kunden-Erlebnissen von entscheidender Bedeutung sei und nähmen daher bereits einige Schritte vor, die das Risiko für solche Angriffe erheblich senkten. „Maßnahmen, die ergriffen werden können, sind beispielsweise die Implementierung von Patches und Updates, verstärktes Mitarbeiter-Training, das Hinzufügen von Regeln zur Gateway-Infrastruktur, niedrigere SYN-, ICMP- und UDP-Flood-Drop-Schwellenwerte oder die Aktivierung einer ,WEB Application Firewall‘ (WAF).“ All diese Schritte würden Unternehmen allerdings lediglich helfen Zeit zu gewinnen – „sie werden das eigentliche Problem nicht lösen“.

Zero-Trust-Konzept ermöglicht Schaffung und Aufrechterhaltung einer sicheren Arbeitsumgebung

Kleinman kommentiert: „Ich plädiere daher für ein Umdenken in der Sicherheitsbranche hin zu Zero-Trust. Lange Zeit hat man sich auf vertrauenswürdige Systeme verlassen, aber es ist genau dieses Vertrauen, das die Schwachstellen schafft, die von Cyber-Kriminellen ausgenutzt werden.“ Das Zero-Trust-Konzept ermögliche die Schaffung und Aufrechterhaltung einer sicheren Arbeitsumgebung – ganz nach dem Motto: „Vertrauen Sie nichts und behandeln Sie alles erst einmal feindlich.“
Dies schließe das Netzwerk selbst, jeden Host und alle Anwendungen und Dienste, die sich im Netzwerk befinden, mit ein. Der Zero-Trust-Ansatz beendet laut Kleinman die alte „Burggraben-Mentalität“ – eine Methode, bei der sich Organisationen darauf konzentrierten, ihre Grenzen zu verteidigen, während sie gleichzeitig davon ausgingen, dass alles im Inneren „vertrauenswürdig“ sei und daher automatisch Zugriff erhalte. Diese Mentalität schaffe keine „abgesicherte Burg“, sondern wohl eher ein „Ei“ – „also einen Sicherheitszustand, der sich durch eine harte Schale und einen weichen Kern auszeichnet“.

Zero-Trust-Ansatz kombiniert bestehende Technologien mit richtigen Governance-Prozessen

Der Zero-Trust-Ansatz kombiniere eine Reihe bestehender Technologien mit den richtigen Governance-Prozessen, um die IT-Umgebung des Unternehmens zu sichern: Technologien wie Multi-Faktor-Authentifizierung, Identity and Access Management (IAM), Dateisystem-Berechtigungen, Orchestrierungsfunktionen, Analysen, Verschlüsselung sowie Governance-Richtlinien trügen zu einem Zero-Trust-Ansatz bei.
Darüber hinaus erfordere die Zero-Trust-Verteidigung, dass Organisationen interne und Mikro-Segmentierung nutzten. Dies helfe bei der Durchsetzung eines granularen Perimeters, „der beispielsweise auf dem Standort eines Nutzers und anderen erfassten Daten basiert, um zu bestimmen, ob einem Nutzer, Gerät oder einer Anwendung vertraut werden kann“.

Zero-Trust-Ansatz verringert Risiko des unbefugten Zugriffs, der Manipulation und des Entfernens von Daten

In vielen Organisationen seien Daten das höchste Gut. Der Zero-Trust-Ansatz verringere das Risiko des unbefugten Zugriffs, der Manipulation und des Entfernens von Daten – einschließlich bösartiger Software. Auf diese Weise könnten sich Unternehmen auf die Prüfung von Daten und die Applikation von geeigneten Zugangskontroll-Mechanismen konzentrieren.
Bei Zero-Trust gehe es nicht nur um Technologie, sondern auch um Prozesse und Denkweisen. Es sei vielmehr eine Philosophie als nur eine „Toolbox“. Viele Organisationen setzten bereits viele Bestandteile von Zero-Trust ein, wie beispielsweise Multi-Faktor-Authentifizierung und Identitäts- und Zugriffsmanagement. Bei der Implementierung und Entwicklung einer Zero-Trust-Umgebung gehe es jedoch nicht nur um die Implementierung dieser Technologien. Es gehe um die alles entscheidende Regel und diese durchzusetzen: „Vertraue nichts und nichts hat Zugang, bevor es nicht verifiziert wurde.“

Weitere Informationen zum Thema:

Veeam
2020 Data Protection Trends / Insights to key data challenges from business and IT leaders

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist / Laut einer aktuellen Studie befassen sich bereits 78 Prozent der befragten Unternehmen damit

datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access / Ein Hacker verkauft gefälschte und manipulierte Apple-Ladekabel, die einen WLAN-Chip beinhalten

[datensicherheit.de, 22.08.2020] RSA hat seinen aktuellen „Fraud Report“ veröffentlicht. Dieser bringt nach eigenen Angaben u.a. folgende Erkenntnis zu Tage: In der „Corona“-Krise hätten Betrüger leichtes Spiel – gegenüber dem Vorquartal sei die Anzahl der Markenmissbräuche um ganze fünf Prozent gestiegen. Das liege besonders daran, dass Betrüger mit gefälschten Domains, die jenen richtiger Websites ähnelten, besonders leicht ihre Opfer anlocken und die Angst der Bürger optimal für ihre Zwecke ausnutzen könnten.

Abbildung: RSA

RSA: „Fraud Report“ für das 1. Quartal 2020 publiziert

RSA warnt – in der Corona-Krise haben Betrüger leichtes Spiel

Hinsichtlich der aktuelle Erkenntnisse warnt RSA: „In Zeiten von ,COVID-19‘ haben Betrüger leichtes Spiel: Gegenüber dem Vorquartal ist die Anzahl der Markenmissbräuche um ganze fünf Prozent gestiegen. Das liegt besonders daran, dass Betrüger mit gefälschten Domains, die richtigen Websites ähneln, besonders leicht ihre Opfer anlocken und die Angst der Bürger optimal für ihre Zwecke ausnutzen.“

Mobile-Apps laut RSA-Erkenntnis Hauptkanal bei Online-Betrug

Ferner seien Mobile-Apps „Hauptkanal bei Online-Betrug“: Im ersten Quartal 2020 hätten mobile Browser und Anwendungen 54 Prozent der von RSA beobachteten Gesamttransaktionen ausgemacht, wobei 26 Prozent der Betrugstransaktionen eben von mobilen Anwendungen stammten. „Das macht doppelt so viele Betrugstransaktionen über diesen Kanal gegenüber dem vorherigen Quartal aus.“

RSA: Deutschland hostet gar mehr Angriffe als Russland oder Indien

Über Deutschland gingen die drittmeisten Phishing-Angriffe weltweit: „Ob falsche Gesundheitsportale, trügerische Produkt-Mails oder Gewinnspiele – Betrüger entlockten Nutzern 2020 auf zahlreichen Wegen die Personendaten und begingen Identitätsdiebstahl.“ Deutschland sei eines der Hauptdrehkreuze dieser Cyber-Attacken – „und hostet gar mehr Angriffe als Russland oder Indien“.

Die RSA-Momentaufnahme der Cyber-Betrugsumgebung soll effektiveres digitales Risikomanagement ermöglichen

Der gesamte Report steht in englischer Originalfassung zum Download bereit. Das „RSA Fraud and Risk Intelligence Team“ ermittele dessen Daten und stelle diese in regelmäßigen Abständen zur Verfügung. „Die Analyse stellt eine Momentaufnahme der Cyber-Betrugsumgebung dar und bietet Unternehmen aller Größen und Typen, die sich mit dem Thema Cyber-Betrug auseinandersetzen, verwertbare Informationen, um ein effektiveres digitales Risikomanagement zu ermöglichen.“

Weitere Informationen zum Thema:

RSA
RSA Quarterly Fraud Report: Q1 2020

datensicherheit.de, 21.01.2020
RSA Quarterly Fraud Report: Betrug und Markenmissbrauch 17 Prozent aller Vorfälle

[datensicherheit.de, 21.01.2020] RSA hat seinen aktuellen „Fraud Report Q319“ veröffentlicht. Demnach machen Betrug und Markenmissbrauch im „Social Web“ mittlerweile 17 Prozent aller Vorfälle aus. Das sind laut RSA 75 Prozent mehr als zur gleichen Zeit im Jahr 2018 – Tendenz steigend.

RSA

Aktueller „RSA Fraud Report Q319“: Betrug und Markenmissbrauch im „Social Web“ mittlerweile 17 Prozent aller Vorfälle

Betrug abgewehrt: 5,1 Millionen kompromittierte Kreditkarten wiederhergestellt

RSA hat im dritten Quartal 2019 nach eigenen Angaben über 5,1 Millionen kompromittierte Kreditkarten wiederhergestellt. Insgesamt seien es über 26 Millionen seit Anfang 2019 gewesen.

Vor allem 15 Länder stark von betrug heimgesucht

Über 90 Prozent der kompromittierten Zahlungen hätten Banken bzw. Verbrauchern aus nur 15 Länder (darunter auch Deutschland) zugeschrieben werden können.

Betrug per Phishing macht 43 Prozent aller Angriffe aus

Phishing mache 43 Prozent aller von der RSA im dritten Quartal 2019 beobachteten Betrugsangriffe aus. Insgesamt sei das Volumen im Vergleich zur gleichen Zeit des letzten Jahres um 57 Prozent gestiegen – Kanada bleibe das Hauptzielland und Deutschland rangiere auf Platz 7 der Liste der „Top Phishing-Hosting“-Länder.

Momentaufnahme der Cyber-Betrugs-Umgebung

Das „RSA Fraud and Risk Intelligence Team“ ermittelt nach eigenen Angaben die Daten für den „RSA Fraud Report“ und stellt diese in regelmäßigen Abständen zur Verfügung. Die Analyse soll eine Momentaufnahme der Cyber-Betrugs-Umgebung darstellen und Unternehmen aller Größen und Typen, die sich mit dem Thema Cyberbetrug auseinandersetzen, verwertbare Informationen bieten , um ein effektiveres digitales Risikomanagement zu ermöglichen.

Weitere Informationen zum Thema:

RSA, Q3 2019
RSA QUARTERLY FRAUD REPORT Volume 2, Issue 3

datensicherheit.de, 26.02.2019
RSA: Fraud Report für viertes Quartal 2018 veröffentlicht

[datensicherheit.de, 26.02.2019] RSA hat seinen vierteljährlichen „Fraud Report“ für das vierte Quartal 2018 veröffentlicht. Dieser soll einen Einblick in die weltweite Cyber-Kriminalität und Betrugstrends von Oktober bis Dezember 2018 geben. Insgesamt seien im vierten Quartal 2018 weltweit 48.148 Betrugsangriffe aufgedeckt worden.

Phishing-Angriffe knapp die Hälfte aller Betrugsangriffe

Phishing-Angriffe machten im letzten Quartal 2018 weiterhin knapp die Hälfte aller von RSA verzeichneten Betrugsangriffe aus. Insbesondere Verbraucher aus Kanada, Spanien und den Niederlanden seien betroffen gewesen. Auf der iberischen Halbinsel sei im Vergleich zum dritten Quartal 2018 ein Anstieg der Phishing-Angriffe um 178 Prozent zu verzeichnen gewesen.
Grund hierfür sei die Einführung neuer Sofortüberweisungsdienste bei vielen der führenden spanischen Banken. Das gesamte Phishing-Volumen sei gegenüber dem dritten Quartal um ein Viertel angesteigen.

Weiter im Visier: Bank- und Finanzsektor sowie e-Commerce

Im vierten Quartal 2018 sei die Zahl an betrügerischen Finanztransaktionen um 28 Prozent angestiegen – davon seien 70 Prozent über mobile Applikationen abgewickelt worden.
Auch der e-Commerce werde 2019 ein beliebtes Ziel von Cyber-Kriminellen sein. Im letzten Quartal 2018 hat RSA nach eigenen Angaben einen Anstieg um zwölf Prozent bei betrügerischen Online-Zahlungen verzeichnet – 80 Prozent davon stammten dabei von einem neuen Gerät, Tendenz steigend.

Weitere Informationen zum Thema:

RSA
RSA QUARTERLY FRAUD REPORT: Q4 2018

datensicherheit.de, 07.02.2019
Thema Datenschutz: Verbraucherreaktion kulturabhängig

datensicherheit.de, 06.02.2019
Digitale Transformation: Ethik erfolgsentscheidend / Notizen und Eindrücke aus London von ds-herausgeber Dirk C. Pinnow

[datensicherheit.de, 07.02.2019] RSA hat nach eigenen Angaben eine Umfrage zur Erhebung und Verwendung von Kundendaten unter Verbrauchern in Deutschland, Frankreich, Großbritannien und den USA durchgeführt, welche offensichtlich eine zunehmende Diskrepanz zwischen Unternehmen, die Kundendaten nutzen und vermarkten, und den Kunden selbst aufdeckt, die wiederum den höchsten Schutz gerade dieser Daten erwarten.

Schutz der Privatsphäre der Kunden mehr Aufmerksamkeit schenken!

Die zahlreichen Datenskandale der letzten Jahre haben laut RSA deutlich gezeigt: Die Digitale Revolution birgt Risiken und stellt das Vertrauen der Kunden auf eine harte Probe.
„Die Verbraucher wollen zunehmend wissen, wie ihre Daten erfasst, verwaltet und weitergegeben werden“, kommentiert Nigel Ng, „President RSA International (APJ & EMEA)“ bei RSA. Es sei an der Zeit, „dass Unternehmen Datenlecks schließen und dem Schutz der Privatsphäre ihrer Kunden mehr Aufmerksamkeit schenken“, denn das Vertrauen der Kunden hänge maßgeblich davon ab.

Abbildung: RSA

 Bei Hacker-Angriffen sehen 57 Prozent aller Befragten die Schuld bei den Unternehmen…

Zentrale Erkenntnisse aus der RAS-Umfrage

Folgende zentrale Erkenntnisse können laut RSA aus der Umfrage gezogen werden:

• Weniger als die Hälfte (43 %) der Befragten aus Deutschland glaubt demnach, dass es ethisch-moralisch vertretbare Möglichkeiten gibt, wie Unternehmen mit ihren Daten umgehen können. Bei Hacker-Angriffen sehen sogar 57 Prozent aller Befragten die Schuld bei den Unternehmen. 73 Prozent würden ein Unternehmen in der Folge sogar boykottieren.
• Zwar haben Verbraucher erhöhte Bedenken hinsichtlich ihrer Privatsphäre, dennoch weisen sie nach wie vor einen schlechten Umgang mit ihren eigenen Daten auf: 73 Prozent der Befragten gaben zu, dass sie dieselben Passwörter für viele verschiedene Webseiten verwenden.
• Die Erwartungen an den Datenschutz sind kulturell bedingt: Die Verbraucher reagieren auf das Thema Datenschutz je nach Nationalität unterschiedlich – bedingt durch kulturelle Faktoren, aktuelle Ereignisse vor Ort und Datenschutzverletzungen in ihren jeweiligen Herkunftsländern.
• Daneben hat die DSGVO die Stimmung in Richtung mehr Datenschutz verschoben: 42 Prozent sprechen sich beispielsweise für mehr Schutz bei Standortdaten aus (2017 waren es nur 29 Prozent).
• Zahlreiche Studien haben gezeigt, dass personalisierte Werbung die Kaufbereitschaft steigern soll. Die RSA-Umfrageergebnisse hingegen weisen jedoch darauf hin, dass die Befragten keine personalisierten Dienste auf Kosten ihrer Privatsphäre nutzen würden. Tatsächlich halten nur 17 Prozent der Befragten maßgeschneiderte Werbung für ethisch-moralisch vertretbar.

Weitere Informationen zum Thema:

RSA
RSA DATA PRIVACY & SECURITY SURVEY 2019: The Growing Data Disconnect Between Consumers and Businesses

datensicherheit.de, 06.02.2019
Digitale Transformation: Ethik erfolgsentscheidend

[datensicherheit.de, 06.02.2019] Am 5. Februar 2019 lud RSA Security zu einer Vortrags- und Diskussionsveranstaltung mit dem Titel „The New Reality – Management digitaler Risiken und ein ethischer Umgang mit Daten“ in London ein. Eingeladen waren Daten- bzw. Cyber-Sicherheits- und Risikoexperten, um sich über die Herausforderungen der Nutzung, Verwaltung und des adäquaten Schutzes von Daten im Digitalen Zeitalter auszutauschen. Für „datensicherheit.de“ nahm Herausgeber Dirk C. Pinnow teil und gibt nachfolgend seine persönlichen Eindrücke und Gedanken wieder.

Ethik, Datenschutz und Kundenorientierung als Wettbewerbsvorteile

Im Fokus standen vor allem der ethische Umgang mit Daten und der damit im Zusammenhang stehende Datenschutz: Im Auftakt-Panel diskutierten Führungskräfte, wie Unternehmen im Zeitalter der Digitalen Transformation Daten so sichern und nutzen können, dass dies auch von Kunden goutiert wird. Trotz der Erkenntnis, dass Verbesserungen beim Datenschutz notwendig sind, insbesondere bei der Erhebung und Verwendung von Kundendaten in Unternehmen, wurde die Einführung der Datenschutzgrundverordnung (DSGVO) kritisch gesehen.
Deutlich wurde indes, dass ein hohes Maß an Datenschutz und kundenorientierter Kommunikation im Kontext hoher Verantwortung Wettbewerbsvorteile für Unternehmen bringen – im Extremfall sogar das Überleben am Markt sichern können.

Gemeinschaftliche Anstrengungen erforderlich!

Bei der Begrüßung wurde zugleich die für den dauerhaften Erfolg entscheidende Frage nach dem Vertrauen in Anbieter und deren Dienste aufgeworfen: Für die Kunden bzw. Nutzer müsse klar sein, was mit den eigenen Daten passiert und wer Zugriff auf diese hat. Die Verantwortungsübernahme des Risikos sei eine gemeinschaftliche Aufgabe – insbesondere auf Seiten der Anbieter und Behörden.
Sodann stellte für den Gastgeber RSA-Präsident Rohit Ghai in seiner Einleitung fest, dass wir in „interessanten Zeiten“ leben. Er erläuterte, dass digitales Risikomanagement eine viel umfassendere Ausgabe als bloßes Cyber-Risikomanagement sei, wenngleich letzteres hierbei die größte Komponente darstelle.

Vertrauen im Prinzip ein Vermögenswert

Laut Ghai führt die umfassende Vernetzung eben auch zu einer Verknüpfung der Risiken – deshalb sei ein ganzheitlicher Ansatz gefragt. Dafür notwendige Kompetenzen seien Kenntnisse auf den Gebieten Integriertes Risikomanagement (IRM) und Cyber-Sicherheit. Es gehe darum, die Angriffsoberfläche zu verkleinern – und dies sei eine Team-Aufgabe.
Der RSA-Präsident stellte das Vertrauen als zentralen Erfolgsfaktor der Digitalen Transformation dar: Vertrauen sei im Prinzip ein Vermögenswert und bedeutender noch als reine Anwendungen oder selbst Daten. Internationale Geschäftsbeziehungen – und damit auch der Erfolg digitaler Geschäftsmodelle – beruhten auf dem Vertrauen zu völlig fremden Personen.

Daten als Treibstoff der Digitalen Transformation

Daten würden im Zuge der umfassenden Digitalisierung und Vernetzung immer „flüssiger“: Sie seien gewissermaßen „Treibstoff“ für Künstliche Intelligenz (KI) und „Big Data“-Analysen. Ghai unterstrich, dass hierzu die Daten-Qualität zu einer großen Herausforderung wird. Auch müssten die von der Datenverarbeitung und -speicherung Betroffenen über deren Verwendung informiert werden. Dabei gelte der Grundsatz: „Vertrauen kommt von Transparenz – nicht von Perfektion!“
Zur DSGVO meinte der RSA-Präsident, dass diese ein eher abgehobenes Regelwerk sei, und setzte seine Überzeugung gegen formalistische Herangehensweisen: Ethischer Umgang mit Daten sei dagegen genau dann das Richtige zu tun, wenn gerade niemand aufpasst. Es sei übrigens keine Schande, einen Hacker-Angriff zuzugeben – entscheidend seien die betriebswirtschaftlichen Auswirkungen einer solchen Attacke. Es gelte die digitalen „Kronjuwelen“ zu schützen, was viel weniger eine technische Frage als eine zentrale Aufgabe der Geschäftsführung sei.

Reiner Pragmatismus: Transparenz fürs Überleben

Natürlich, so Ghai, hätten Datenschutz-Verletzungen immer Folgen für die Reputation: Aber beim Verheimlichen eines Vorfalls und der anschließenden Aufdeckung sei der Schaden dann um so größer. Der Moderator des Auftakt-Panels, Nigel Ng, „President International Sales (APJ & EMEA)“ bei RSA, ergänzte die empirische Erfahrung, dass bei einer angemessenen Reaktion auf eine Datenschutzverletzung gegenüber der Öffentlichkeit das Interesse der Presse nach etwa einer Woche deutlich nachlasse, während es bei ignorantem Verhalten über viele Wochen erhalten bleibe.
Gábor Varjas, ebenfalls auf dem Podium, „CISO“ des ungarischen, international agierenden Öl- und Gas-Unternehmens MOL Group, unterstrich den pragmatischen Ansatz: Es gehe nicht darum, bloß „für Papier“ zu arbeiten. Ein Beispiel, wie Transparenz sogar im Extremfall zu einem Wettbewerbsvorteil werden kann, brachte Kevin Akeroyd, „CEO“ bei Cision: Eine weltbekannte Suchmaschine sei noch viel schlimmer als ein ebenfalls global agierendes Soziales Netzwerk, denn diese verknüpfe Surf-Verhalten mit Stammdaten, aber kommuniziere dies ganz offen und werde nicht bestraft – und: „Niemand liest wirklich deren seitenlangen Allgemeinen Geschäftsbedingungen…“ Ghai stellte zum Ende des Auftakt-Panels fest: „Daten sind das wertvollste Vermögen!“

Illegaler Datenhandel inzwischen bedeutender als Drogenhandel

Im Anschluss-Panel wurde das Spannungsfeld zwischen Daten und Privatsphäre rege diskutiert – insbesondere wie betrügerische Aktivitäten das Vertrauen der Konsumenten belastet. Moderator Ng führte aus, dass der illegale Datenhandel inzwischen zu einem Milliarden-Markt geworden sei und mehr Bedeutung als der Drogenhandel erlangt habe.
Mit dabei auf dem Podium war Andrew Gould, „Detective Superintendent National Cybercrime Programme Lead“ im National Police Chiefs‘ Council. Er stand Dirk Pinnow im Anschluss zu einem Hintergrundgespräch zur Verfügung. Nach der größten Herausforderung angesichts der Bedrohung durch Cyber-Kriminalität und -Terrorismus gefragt, nannte er den angemessenen Schutz sowie die gezielte Begegnung des mangelnden Verständnisses für die eigenen geschäftliche Prozesse. Er unterstrich, dass dies kein reines Technikproblem sei – anstatt also Produkte nach vorne zu stellen (es gebe eben kein „goldenes Geschoss“), sollten die „richtigen Fragen“ gestellt werden. Ihm sei bewusst, das IT-Sicherheit ein eher langweiliges Thema sei. Aber sie sei eine zentrale Aufgabe des Managements. Zu den möglichen „BrExit“-Folgen befragt, äußerte Gould die Ansicht, dass es auf die Art und Weise des Austritts ankomme, er aber hoffe, dass seine Arbeit und die Kooperation mit europäische Kollegen in bewährter Weise fortgesetzt werden könnten.

Foto: Dirk Pinnow

Phishing in Variationen eine beliebte Angriffsmethode

Milliardenmarkt: Fast jede Attacke heute „as-a-service“ zu haben

Im Abschluss-Panel gab Daniel Cohen, „Director, Product Management Fraud & Risk Intelligence“ bei RSA, im Gespräch mit David Strom, Präsident der David Strom Inc., einen exklusiven Einblick in die Ergebnisse des „RSA Fraud Report aus Q4/2018“, der eine Woche nach dieser Veranstaltung offiziell veröffentlicht werden soll. In einem Vorabgespräch mit Dirk Pinnow hatte er den Schutz der Kunden bei Finanztransaktionen als zentrale Motivation genannt. Auf dem Podium führte er aus, dass es um eine Anomalie-Erkennung im Datenstrom der globalen Finanztransaktionen geht. So haben sich nach RSA-Erkenntnissen im Jahr 2018 die Anzahl der Angriffe vom ersten zum vierten Quartal etwa verdoppelt: Darunter die sich ebenfalls auf das Zweifache gestiegenen Phishing-Angriffe. Cohen erläuterte, dass es heute mit Verwendung eines „Phishing Kit“ fast jedem gelingen könne, solche Attacken zu starten.
Er berichtete, dass es neben dem schon bekannten „Voice Phishing“, also z.B. fingierten Anrufen von Banken oder Service-Centern nun auch ein „Reverse Voice Phishing“ gebe: Hierbei suche das Opfer selbst im Internet nach Hilfe und vertraue seriös erscheinenden Kontaktdaten, welche dann zu einer „Fraud“-Website umleiteten. Betrügerische Aktionen hätten inzwischen einen gewaltigen Markt eröffnet – fast jede Attacke sei heute „as-a-service“ zu haben, z.B. DDoS-Angriffe. Neben Phishing sei auch Skimming weiterhin eine ernstzunehmende Bedrohung: Die Aufsätze auf Tastaturen von Geldautomaten oder an SB-Tanksäulen seien inzwischen so klein, dass sie von Laien kaum zu bemerken seien – die Übertragung der abgefangenen Daten von Bank- bzw. Kreditkarten, welche an stark frequentierten Orten schnell in die Tausende gehen könnten, erfolge schnell und einfach per Bluetooth.

Foto: Dirk Pinnow

Daniel Cohen: „Keep the world a safer place!“

Schamloser Missbrauch Sozialer Netzwerke für kriminelle Taten

Die Intention der Angreifer sei aber der „quick buck“, also das schnell und einfach verdiente Geld. Die Cyber-Kriminellen würden eher geringe Investitionen in ihre Angriffe tätigen wollen und nutzten daher die Angebote frei verfügbarer Websites für ihre Taten.
Cohen nannte einige Beispiel, wie unter aller Augen mit Kreditkarten-Daten gehandelt wird. So werden Angebote bei Eingabe eines gewissen Codes in dem bereits erwähnten Sozialen Netzwerk unterbreitet – dieses sei somit nicht DSGVO-konform. Er warnte davor, die darüber aufzufindenden und filterbaren Treffer-Links zu externen Webseiten anzuklicken. Ein anderes bekanntes Soziales Netzwerk, ein Onlinedienst zum Teilen von Fotos und Videos, böte einen Tummelplatz für Käufer von Waren beim einem großen Versender unter Verwendung gestohlener Kreditkarten-Daten. Auf einer ebenso sehr bekannten Video-Webplattform seien sogar Anleitungen für solche Machenschaften zu finden…
Aus dem Auditorium wurde die Frage aufgeworfen, wie es denn angesichts dieser Beispiele um die Durchsetzung der Gesetze bestellt sei: Cohen erwiderte, dass es in den westlichen Ländern vor allem Personalprobleme bei den Ermittlungsbehörden gebe, ansonsten aber zumeist sogenannte Drittwelt-Länder eine Rolle spielten. Von Gesprächspartner Strom abschließend gefragt, ob er angesichts dieser kriminellen Herausforderungen nicht abgeschreckt werde, machte Cohen seine Intention deutlich: Die Welt zu einem sichereren Ort zu machen!

Weitere Informationen zum Thema:

datensicherheit.de, 05.07.2016
75 Prozent der Unternehmen laut RSA-Studie mit erhöhten IT-Risiken

[datensicherheit.de, 05.07.2016] Rund drei Viertel der IT-Sicherheitsprogramme in Unternehmen und Behörden weisen laut dem jüngsten, in dieser Woche von RSA veröffentlichten „Cybersecurity Poverty Index Report“ nach wie vor kritische Lücken auf. Diesem Bericht der EMC-Tochter zufolge fehlt es vor allem an der Fähigkeit, schnell auf Sicherheits-Vorfälle zu reagieren – rund die Hälfte der untersuchten Organisationen beschrieben die eigene „Incident-Response“ als „ad-hoc“ oder sogar „nicht existent“. Darunter seien auch viele Betreiber Kritischer Infrastrukturen (KRITIS).

Gezielte Sicherheitsinvestitionen zur Erkennung und Eingrenzung!

Ein weiteres Schlüsselresultat des Reports sei die Erkenntnis, dass IT-Organisationen, die gezielt in Technologien zur Erkennung und Begrenzung von Angriffen investieren, damit oft mehr Schutzwirkung als jene erreichen, welche ihr Geld überwiegend für Präventions-Technologien ausgeben (z.B. für Firewalls). Viele Unternehmen investierten allerdings erst nach einem geschäftsschädigenden Angriff vermehrt in IT-Sicherheit. Jedoch scheiterten viele schon deshalb beim Verbessern der eigenen Schutzprogramme, weil sie nicht genau die Wirkung der IT-Risiken auf ihr Geschäft verstünden.

Nur 7,4 Prozent der Unternehmen haben „sehr guten Schutz“

Der Bericht zeige einen klaren Zusammenhang zwischen der Fähigkeit zum Bemerken von Angriffen und dem IT-Sicherheits-Reifegrad auf: Firmen, die häufig Unregelmäßigkeiten in oder Angriffe auf ihre IT-Umgebung verzeichnen, verfügten mit 65-prozentiger Wahrscheinlichkeit über fortschrittliche oder sogar sehr fortschrittliche IT-Sicherheitsstrategien und -technologien.
Doch die Zahl dieser Unternehmen sei weiterhin niedrig, wenn sie auch zu wachsen scheine – der Anteil der sehr gut geschützten IT-Umgebungen an der Gesamtstichprobe habe 7,4 Prozent gegenüber 4,9 Prozent im Vorjahr betragen. Die Zahl der Befragten, die den eigenen Betrieb als von IT-Risiken betroffen betrachtet, bleibe dagegen weiterhin hoch: Rund 75 Prozent der Umfrageteilnehmer hätten eine entsprechende Einschätzung abgegeben.

Einleiten vorausschauender Sicherheitsmaßnahmen als Herausforderung

Oft fehle den Unternehmen die Fähigkeit zum Priorisieren: Vielen falle das Einleiten vorausschauender Sicherheitsmaßnahmen schwer – 45 Prozent der Befragten hätten angegeben, ihre Organisationen seien überhaupt nicht oder nur fallbezogen in der Lage, IT-Risiken zu katalogisieren, zu bewerten oder zu reduzieren. Nur 24 Prozent der Umfrageteilnehmer schätzten die entsprechenden Fähigkeiten ihrer IT als fortschrittlich ein.
Vor allem die Unfähigkeit, genaue Toleranzwerte und -schwellen für bestimmte Risiken vorzugeben, erschwere den Verantwortlichen das Priorisieren von Investitionen oder Gegenmaßnahmen – dabei sei das eine der wichtigsten Voraussetzungen für das Steigern der IT-Sicherheit im Unternehmen.

Luft-, Raumfahrt- und Rüstungsindustrie führend

Wie schon die Vorjahresausgabe zeige auch der aktuelle Bericht, dass die beschriebenen Schwierigkeiten auch und gerade die KRITIS-Betreiber beträfen. Behörden und andere öffentliche Betriebe sowie Energieversorger schnitten im Vergleich der IT-Sicherheits-Reifegrade sogar am schlechtesten ab: Nur 18 Prozent der Betriebe dieser Gruppe schätzten die eigenen Sicherheitsprogramme als fortschrittlich oder sehr fortschrittlich ein.
Nicht viel besser gerüstet erschienen die Unternehmen der Finanzbranche: Obwohl häufig als führend in Sachen IT-Sicherheit beschrieben, erreichten nur 26 Prozent der befragten Finanz-Dienstleister von den fünf Reifegraden einen der beiden oberen – ein erheblicher Rückgang gegenüber dem Vorjahreswert von 33 Prozent.
Zum Vergleich: Von den untersuchten Unternehmen der Luft-, Raumfahrt- und Rüstungsindustrie verfügten immerhin 39 Prozent über fortschrittliche oder sehr fortschrittliche Sicherheitsprogramme.

EMEA-Region setzt sich an die Spitze

Den Regionen-Vergleich des Reports führten die Länder der sogenannten EMEA-Region an (Europa, Mittlerer Osten und Afrika), wo 29 Prozent der Unternehmen und Behörden einen fortschrittlichen oder sehr fortschrittlichen IT-Sicherheits-Reifegrad erreichten.
Auf Platz 2 folgten die Staaten der APJ-Region (Asien-Pazifik einschließlich Japan) mit 26 Prozent; das Schlusslicht habe die Americas-Region mit 23 Prozent. Auffällig hierbei sei, dass sich die EMEA-Region im Vergleich zum Vorjahr um drei Prozentpunkte und einen Platz habe verbessern können.

Umfrage in 878 Unternehmen aus 24 Branchen in 81 Ländern

Für den „Cybersecurity Poverty Index Report“ seien IT- und Sicherheitsfachleute aus 878 Unternehmen, 24 Branchen und 81 Ländern gebeten worden, den IT-Sicherheits-Reifegrad ihrer Organisation zu bewerten. Die Selbstbewertung sei entlang der im „NIST Cybersecurity Framework“ (CSF) festgehaltenen Grundfähigkeiten „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ erfolgt. Die Teilnehmer hätten den Reifegrad jeder Fähigkeit ihrer Organisation mittels einer Fünf-Punkte-Skala bewertet (1 = „Fähigkeit nicht vorhanden“, …, 5 = „Fähigkeit auf sehr fortschrittlichem Niveau“).

Sicherheit: Nur über Vorbeugung nachzudenken unzureichend!

Diese zweite Ausgabe ihres „Cybersecurity Poverty Index“ zeige erneut, dass in Unternehmen jeder Größe, Industrie und Nationalität der Eindruck vorherrsche, man sei auf Cyber-Risiken nicht vorbereitet, sagt RSA-Präsident Armit Yoran. „Wir müssen die Art und Weise verändern, auf die diese Unternehmen über Sicherheit nachdenken – statt nur über Vorbeugung nachzudenken, sollten sie auch Strategien für die Reaktion auf Angriffe und andere Gefahren nachdenken.“
Zudem sollte jede Organisation so schnell wie möglich eine Vorgehensweise festlegen und umfangreiche Strategien entwickeln, „statt zu warten, bis der Schadensfall tatsächlich eintritt“, betont Yoran.

Weitere Informationen zum Thema:

RSA
RSA Cybersecurity Poverty Index 2016