[datensicherheit.de, 24.07.2019] Für Cyberkriminelle sind Webbrowser ein sehr beliebtes Einfallstor und ihre Nutzung birgt ein grundsätzliches Risiko. Damit beim Surfen im World Wide Web dennoch ein angemessenes Sicherheitsniveau herrscht, ist es unabdingbar, technische und organisatorische Maßnahmen umzusetzen. Dazu veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2017 eine erste Version ihrer Mindeststandards für sichere Webbrowser.

Nun hat das BSI diese Standards überarbeitet und Version 2.0 im Rahmen eines Community Drafts veröffentlicht. Darauf weist die PSW GROUP hin und macht auf die wesentlichen Neuerungen sowie Änderungen aufmerksam. Dazu erklärt Geschäftsführerin Patrycja Tulinska: „Webbrowser laden Daten in aller Regel auch aus nicht vertrauenswürdigen Quellen. Da diese Daten schädlichen Code wie Viren, Trojaner oder Spyware enthalten können, müssen die Risiken beim Arbeiten mit dem Webbrowser minimiert werden. Ziel ist es deshalb, die Verfügbarkeit, Vertraulichkeit und Integrität schützenswerter Daten zu erhalten.“

Foto: PSW GROUP

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

Identifikation und Authentisierung

Wenn der ausgewählte Webbrowser mit einem Kennwortmanager arbeitet, muss der Passwortmanager in der Lage sein, Websites und dafür gespeicherte Kennwörter zuverlässig zuzuordnen. Sämtliche Passwörter müssen zudem verschlüsselt gespeichert werden. „Die Umsetzung durch externe Add-ons ist laut BSI zulässig. Wichtig dabei ist, dass ein Zugriff auf gespeicherte Kennwörter nur nach Eingabe eines Master-Passworts erfolgen darf“, so Tulinska.

Updates/ Patches

Liefert die Prüfung der Integrität eines Updates ein positives Prüfergebnis, dürfen Updates eingespielt werden. Ein nicht korrektes Prüfergebnis sollte allerdings Nutzer signalisiert werden. In diesem Fall darf das Update nicht eingespielt werden. „Darüber hinaus müssen sämtliche Browser-Komponenten in die Aktualisierung einbezogen werden. Erweiterungen oder eigenständige Programme, die dafür sorgen, dass zusätzliche Elemente in den Browser eingefügt werden, sind entweder über separate Update-Prozesse aktuell zu halten oder zu untersagen“, informiert die IT-Sicherheitsexpertin. Zudem müssen Updates immer erkannt und angezeigt werden sowie das automatische Einspielen von Aktualisierungen möglich sein.

Vertrauenswürdige Kommunikation

„In den Bereichen TLS, Zertifikate und Zertifikats-Prüfung gibt es gleich einiges zu beachten. So muss das TLS-Protokoll vom Browser unterstützt werden. Leider verzichtet das BSI hier auf eine Angabe über die TLS-Version. Ideal ist die 2018 erschienene Version 1.3, auch TLS 1.2 oder 1.1 können noch Verwendung finden“, rät Tulinska, da TLS 1.0 seit Juni 2018 nicht mehr dem aktuellen Stand entspricht.

Die verwendeten Browser müssen zudem eine Liste von Zertifikaten vertrauenswürdiger Zertifizierungsstellen bereitstellen und EV-SSL-Zertifikate, sprich TLS-Zertifikate mit erweiterter Validierung, müssen vom Browser unterstützt werden. „Website-Betreiber können beispielsweise bei uns solche EV-SSL-Zertifikate erwerben, die den Anforderungen des BSI entsprechen. Moderne Webbrowser signalisieren den Website-Besuchern dann, dass die Website nicht nur sicher, sondern vertrauensvoll ist“, bemerkt Tulinska. EV-SSL-Zertifikate sind bereits in der Adressleiste deutlich erkennbar und gelten als SSL-Zertifiakte mit der höchsten Sicherheitsstufe. Im Gegensatz zu domainvalidierten SSL-Zertifikaten wird vor Ausstellung nicht nur der Besitz der Domain überprüft, sondern zusätzlich die Existenz des Unternehmens.

Laut BSI muss es zudem möglich sein, eigene Wurzelzertifikate zu ergänzen. „Im Rahmen der Zertifikatsprüfung muss der Browser in der Lage sein, die Gültigkeit des Serverzertifikats vollständig zu überprüfen. Neben dem Serverzertifikat sollte diese Prüfung alle CA-Zertifikate der Zertifikatskette bis hin zum Wurzelzertifikat beinhalten“, ergänzt die Expertin. Gemäß der überarbeiteten Mindeststandards für sichere Webbrowser soll außerdem HSTS (HTTP Strict Transport Security) künftig vom Browser gemäß RFC 6797 vom IETF unterstützt werden. Werden dieselben Sicherheitsziele erreicht, sind auch abweichende Implementierungen zum Trackingschutz zulässig.

Weitere Informationen zum Thema:

PSW GROUP
Neue BSI Community Draft fordert EV-SSL-Zertifikate

datensicherheit.de, 22.07.2019
Digitale Zertifikate sind heiße Ware im Darknet

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

[datensicherheit.de, 29.04.2019] Cloud oder keine Cloud – diese Frage stellt sich kaum noch ein Unternehmen: Laut der aktuellen Cloud Security Studie 2019 von IDG Research Services in Zusammenarbeit mit genua nutzen bereits 64,7 % der deutschen Unternehmen die Cloud, weitere 16,5 % planen dies. Durch die Cloud-Nutzung können Unternehmen Kosten senken, Abläufe effizient gestalten und attraktive Arbeitsbedingungen bieten. Um davon nachhaltig zu profitieren, müssen Firmen aber die Risiken in den Griff bekommen: 58 % der Unternehmen haben bereits Angriffe auf ihre Cloud Services festgestellt oder können diese nicht ausschließen. Folglich wird der Sicherheit beim Datenzugriff höchste Priorität eingeräumt, Zertifikate gelten dabei als Vertrauensanker. Das deutsche IT-Unternehmen genua GmbH und die Bundesdruckerei GmbH bieten Lösungen zur sicheren Cloud-Nutzung. Die Cloud Security Studie 2019 kann auf der Website von genua kostenfrei runtergeladen werden: www.genua.de/cloud-security

Zertifikate und Prüfsiegel als Vertrauensanker

Wie können Unternehmen das Sicherheitsniveau von Cloud-Diensten einschätzen? Über 90 % halten dabei laut der Studie Zertifizierungen und Prüfsiegel von unabhängigen Dritten für wichtig. Diesen Weg verfolgt auch der IT-Sicherheitshersteller genua: Wichtige Produkt-Releases werden regelmäßig dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgelegt und nach internationalen Standards zertifiziert. Vor Kurzem wurde genua vom BSI zudem als erstes Unternehmen zum „Qualifizierten Hersteller“ ernannt und kann jetzt Sicherheitslösungen für den anspruchsvollen Geheimschutzbereich schneller auf dem Markt bringen. Kunden von genua haben so die Gewähr, hochwertige IT-Sicherheitslösungen eines vertrauenswürdigen Herstellers einzusetzen. Für die Cloud Security bietet genua Gateways zur Kontrolle kritischer Schnittstellen und VPN-Systeme zur verschlüsselten Datenübertragung.

Cloud Security Gateway schützt die Schnittstelle Cloud-Internet

Das Cloud Security Gateway sorgt für Sicherheit an der Schnittstelle Cloud-Internet: Das Gateway prüft den Inhalt der empfangenen Daten, um unerwünschte Inhalte oder gefährliche Malware zu erkennen und abzublocken. Die umfassende Inhaltskontrolle unterscheidet das Cloud Security Gateway von anderen Sicherheitslösungen wie Paketfiltern und Next Generation Firewalls, die keine oder nur stichprobenartige Content-Analysen leisten. Technologisch basiert das Cloud Security Gateway auf der Firewall genugate, deren zuverlässige Sicherheitsleistung regelmäßige BSI-Zertifizierungen nach Common Criteria (CC) EAL 4+ belegen.

Cloud Edge Gateway GS.Gate für sichere Cloud-Anbindung von Maschinen

Das Cloud Edge Gateway GS.Gate lässt sich herstellerunabhängig an Maschinen in Produktionsbereichen anbinden, um Betriebsdaten zu erfassen, zu analysieren und über verschlüsselte Verbindungen an die Cloud weiterzuleiten. Das zentrale Merkmal des GS.Gate ist das Security by Design. Von einem Microkernel-Betriebssystem werden strikt getrennte Bereiche für Analyseanwendungen und Sicherheitssysteme erzeugt. Der Sicherheitsgewinn: Richtung Internet sind nur die gehärteten Sicherheitssysteme sichtbar, die durch Updates gegen aktuelle Bedrohungen gewappnet sind. Dahinter können die Analyseanwendungen ohne ständige Updates betrieben und somit Störungen vermieden werden. Das Security by Design hat genua für Lösungen entwickelt, die für den anspruchsvollen Geheimschutzbereich zugelassen sind.

Firewall & VPN-Appliance genuscreen für verschlüsselte Datentransfers

Die Firewall & VPN-Appliance genuscreen ermöglicht den verschlüsselten Datenaustausch zwischen Firmennetz- oder Behördennetz und der Cloud. Starke Verschlüsselungsverfahren, die auch mit größtem Aufwand nicht geknackt werden können, gewährleisten die Vertraulichkeit der übertragenen Daten. genuscreen ist vom BSI zertifiziert nach CC EAL 4+ sowie zugelassen für den Einsatz bis zum Geheimhaltungsgrad VS-NfD (Verschlusssache – Nur für den Dienstgebrauch). Somit können Behörden und Firmen mit Aufgaben im Geheimschutzbereich mit genuscreen eingestufte Daten austauschen.

Cloud-Lösung Bdrive erfüllt hohe Sicherheitsanforderungen

Die Cloud-Lösung Bdrive der Bundesdruckerei ermöglicht eine sichere Zusammenarbeit in Organisationen und über Organisationsgrenzen hinaus. Dabei schützt sie zuverlässig vor Datendiebstahl: Bdrive verschlüsselt und fragmentiert Daten bereits auf der Workstation des Anwenders. Anschließend werden die Daten redundant verteilt bei unabhängigen Cloud-Providern in Deutschland gespeichert. Eine Ende-zu-Ende-Verschlüsselung und Mehrfaktor-Authentifizierung gewährleisten, dass nur Befugte Zugriff auf die Daten haben. Nicht einmal die Bundesdruckerei als Anbieter von Bdrive kann auf die Daten der Anwender zugreifen oder sie einsehen. Das hohe Sicherheitsniveau der Cloud-Lösung wird mit einer Zertifizierung nach CC EAL 4+ belegt, das Verfahren läuft derzeit beim BSI.

Weitere Informationen zum Thema:

genua GmbH
Studie Cloud Security 2019

datensicherheit.de, 28.04.2019
Herausforderungen bei Cloud-First-Strategie meistern

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

Von unserem Gastautor Falk Schwendike, Threat Intel Engineer Central Europe bei ThreatQuotient

[datensicherheit.de, 13.04.2019] Seit Jahrzehnten agieren Sicherheitsexperten immer nach dem gleichen Muster: sie beschaffen neueste Technologien oder Threat Feeds in der Hoffnung das Sicherheitsniveau verbessern zu können. Offensichtlich funktioniert dieser Ansatz jedoch nicht. Die Anzahl der Angriffe nimmt ständig zu und die durchschnittlichen Kosten einer Datensicherheitsverletzung steigen weiter an – laut der neuesten Ponemon-Studie von 3,62 Millionen USD in 2017 auf 3,86 Millionen USD in 2018. Was steckt also hinter diesen steigenden Kosten? Ein wesentlicher Faktor ist die Verweildauer, die ebenfalls gestiegen ist – von 191 Tagen in 2017 auf 197 – sowie die längere Zeit bis zur Eindämmung einer Bedrohung, die jetzt bei 69 Tagen gegenüber 66 Tagen in 2017 liegt.

MITRE ATT&CK Framework: Werkzeug zur Beschleunigung der Erkennung von und Reaktion auf Sicherheitsvorfälle

Eines der neuesten Werkzeuge um die Erkennung von und Reaktion auf Sicherheitsvorfälle zu beschleunigen ist das MITRE ATT&CK Framework. Dieses Framework findet derzeit hohe Beachtung und beschäftigt sich tiefgreifend mit der Vorgehensweise bekannter Angreifergruppen. Das ermöglicht den Sicherheitsanalysten bei Anwendung dieser Informationen wiederum einen Wissensvorsprung. Es ist ein großer Schritt nach vorn in dem Bemühen, eine Wissensdatenbank über Kriminelle und die ihnen zuzuordnenden Taktiken, Techniken und Verfahren (TTPs) zu schaffen. Eine der Herausforderungen bei der Nutzung dieses Frameworks ist jedoch, dass Sicherheitsteams bereits mit einer massiven Menge an Protokoll- und Ereignisdaten aus einzelnen Security-Produkten und/oder ihrem SIEM bombardiert werden. Ganz zu schweigen von den Millionen Indicators of Compromise (IoC), die kommerzielle und Open-Source-Quellen, Sicherheits- und andere Branchenanbieter liefern und die zur Kontextualisierung und Priorisierung der Warnmeldungen verwendet werden können.

Es stellt sich an dieser Stelle also die Frage, wie das Framework ideal genutzt werden kann. Das Interesse der Unternehmen und Organisationen ist groß – so gut wie jeder möchte es nutzen – allerdings herrscht kein Konsens darüber, wie das Framework in Abhängigkeit der Qualität der SecOps- Prozesse in den einzelnen Unternehmen am effektivsten eingesetzt werden sollte. Es muss sichergestellt werden, dass das MITRE ATT&CK Framework nicht zu einer weiteren, nur halbherzig genutzten Quelle von Bedrohungsdaten wird, zu einer vorübergehenden Modeerscheinung degeneriert oder zu einem Werkzeug wird, das nur die erfahrensten SecOps- Teams effektiv einsetzen können. Nachfolgend einige Anwendungsbeispiele, wie das Framework – je nach Reifegrad – genutzt werden kann.

Stufe 1: Referenz- und Datenanreicherung

Das MITRE ATT&CK Framework enthält eine enorme Menge an Daten, die für jedes Unternehmen wertvoll sein können. Der MITRE ATT&CK Navigator bietet eine Matrixansicht sämtlicher Techniken, die dem Sicherheitsanalysten zeigt, welche Methoden ein Angreifer anwenden könnte, um in deren Unternehmen einzudringen. Um diese Daten einfacher nutzen zu können empfiehlt es sich mit Werkzeugen zu beginnen, die den Zugriff auf diese Daten und den Austausch zwischen den Teams erleichtern. Dies kann über ein Anreicherungstool oder eine Plattform mit einer zentralen Bedrohungsbibliothek geschehen, mit deren Hilfe ein Anwender die Daten aggregieren und leicht nach Angreiferprofilen suchen kann. Fragen wie „Wer ist dieser Gegner? Welche Techniken und Taktiken setzt er ein? Welche Gegenmaßnahmen kann ich anwenden?“ werden so geklärt. Sicherheitsanalysten können die Daten aus dem Framework als detaillierte Informationsquelle nutzen, um ihre Analyse von Vorkommnissen und Warnmeldungen manuell anzureichern. Es wird ermöglicht Untersuchungen zu unterstützen und geeignete Maßnahmen zu bestimmen, die je nach Relevanz und spezifischer Bedrohung in ihrer Umgebung zu ergreifen sind.

Stufe 2: Indikator- oder ereignisgesteuerte Reaktionen

Aufbauend auf der Fähigkeit, die MITRE ATT&CK-Daten zu referenzieren und zu verstehen, integrieren die Sicherheitsteams in Stufe 2 Ressourcen der Plattform in ihre operativen Arbeitsabläufe, um bestimmte Aktionen effektiver auf die Daten anwenden zu können. Wenn die Daten beispielsweise in eine zentrale Bedrohungsbibliothek aufgenommen werden, können die Teams automatisch Beziehungen zwischen diesen Daten aufbauen, ohne dass der einzelne Anwender diese Beziehungen mühsam manuell herstellen muss. Durch die automatische Korrelation von Ereignissen und zugehörigen Indikatoren aus der Umgebung (aus Quellen wie dem SIEM-System, dem Log Management Repository, dem Case-Management-System und der Sicherheitsinfrastruktur) mit Indikatoren aus dem MITRE ATT&CK-Framework erhalten Analysten den Kontext, um sofort das Wer?, Was?, Wo?, Wann?, Warum? und Wie? eines Angriffs zu verstehen. Sie können dann automatisch nach Relevanz für ihr Unternehmen priorisieren und risikoreiche IoCs festlegen, die in ihrer Umgebung untersucht werden müssen. Durch die Möglichkeit, ATT&CK- Daten einfacher und automatisierter zu nutzen, können die Sicherheitsteams Vorfälle untersuchen, entschärfen und Bedrohungsinformationen an Sensoren weiterleiten, um Bedrohungen effektiver zu erkennen und aufzuspüren.

Stufe 3: Proaktive Taktik oder technikgesteuerte Bedrohungssuche

In diesem Stadium können die Threat-Hunting-Teams von der simplen Suche nach relevanten Indikatoren dazu übergehen, die gesamte Bandbreite des ATT&CK- Frameworks zu nutzen. Anstatt sich strikt auf bestimmte, verdächtig erscheinende Daten zu konzentrieren, kann die Plattform dazu verwendet werden, die Geschehnisse von einer höheren Perspektive aus zu betrachten und bei Informationen über Angreifer und den zugehörigen TTPs ansetzen. Sie können einen proaktiven Ansatz wählen – beginnend beim Risikoprofil ihres Unternehmens, über die Zuordnung der identifizierten Risiken zu bestimmten Angreifergruppen und deren Taktiken, bis hin zu Techniken, die diese Angreifer verwenden – und dann untersuchen, ob entsprechende Daten im internen Netz identifiziert wurden. So könnte sich ein Team beispielsweise mit der Gruppe APT28 beschäftigen und dabei Fragen zu Techniken, potenziellen IoCs im Unternehmen, damit verbundenen Systemereignissen, beziehungsweise deren Erkennung durch Endpunkt-Technologien beantworten.

Der Erfolg von MITRE ATT&CK wird davon abhängen, wie einfach es ist, dieses Framework effektiv in die Praxis umzusetzen. Mit einem Verständnis für die entsprechenden Reifegrade der einzelnen SecOps-Prozesse und den daraus abzuleitenden Anwendungsfällen sowie der Fähigkeit von Technologien SecOps-Teams in jeder Phase zu unterstützen, können Unternehmen das Framework zu ihrem Vorteil nutzen. Unternehmen werden in der Lage sein, das MITRE ATT&CK-Framework intensiver zu nutzen und einen noch höheren Mehrwert zu generieren.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit

[datensicherheit.de, 10.01.2020] Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) und das Deutsche Institut für Normung e.V. (DIN) haben in einer gemeinsamen Publikation die verschiedenen Standards für IT-Sicherheit dargestellt und bewertet, um Geschäftsführer und IT-Verantwortlichen bei der Beantwortung der Frage zu helfen, welches Sicherheitsniveau für ihr Unternehmen angemessen ist und wie viel sie in die IT-Sicherheit investieren müssen:
IT-Sicherheitsstandards verbesserten das Sicherheitsniveau im Unternehmen und orientierten sich dabei am Stand der Technik und Wissenschaft. Beachteten Unternehmen Standards, hielten sie zudem gesetzliche Vorgaben wie das Bundesdatenschutzgesetz ein und dokumentierten Verlässlichkeit gegenüber Geschäftspartnern, sage Prof. Dieter Kempf, Präsidiumsmitglied des BITKOM. Mit praxiserprobten Vorgehensmodellen und einer methodischen Vereinheitlichung könnten zudem Ressourcen gespart und Kosten gesenkt werden.
Der neue Leitfaden ermöglicht es, die Sicherheit der eigenen IT-Systeme zu überprüfen und an die gängigen Standards anzupassen. Auch technische Laien können anhand einer Übersichtsmatrix den für sie geeigneten Standard schnell und unkompliziert finden.

© BITKOM & DIN

Kompass der IT-Sicherheitsstandards, Leitfaden und Nachschlagewerk, 4. Auflage

Der Kompass der IT-Sicherheitsstandards kann kostenlos heruntergeladen werden.

Weitere Informationen zum Thema:

BITKOM, 04.01.2010
Neuer Leitfaden zu IT-Sicherheitsstandards / „Kompass der IT-Sicherheitsstandards“ von BITKOM und DIN / Nachschlagewerk und Hilfe für IT-Anwender

DIN, Januar 2010
BITKOM- und DIN-Kompass der IT-Sicherheitsstandards