[datensicherheit.de, 19.03.2025] Eine neue Studie von Keyfactor zeigt, dass fast ein Fünftel der analysierten Online-Zertifikate erhebliche Sicherheitsrisiken aufweist. Die Untersuchung von 500.000 im Internet verwendeten Zertifikaten deckt schwerwiegende Schwachstellen auf, die nicht nur Compliance-Probleme verursachen, sondern auch das Risiko von Cyberangriffen und Systemausfällen erhöhen.

Unsichere Zertifikate sind ein ernsthaftes Problem für Unternehmen

Zertifikate sind essenzielle Sicherheitsbausteine für die digitale Kommunikation, Authentifizierung und Datenverschlüsselung. Fehlerhafte oder unsichere Zertifikate können deshalb weitreichende Folgen haben:

• Unterbrechung geschäftskritischer Prozesse: Abgelaufene oder fehlerhafte Zertifikate können zu Ausfällen von Websites, internen Systemen oder Anwendungen führen. Dies beeinträchtigt nicht nur den Geschäftsbetrieb, sondern kann auch Umsatzeinbußen und Reputationsschäden verursachen.
• Angriffsfläche für Cyberkriminelle: Unsichere Zertifikate können von Angreifern ausgenutzt werden, um Man-in-the-Middle-Angriffe oder Identitätsdiebstahl zu begehen. Besonders in Cloud- und IoT-Umgebungen können sie gravierende Sicherheitsrisiken mit sich bringen.
  Compliance-Verstöße und regulatorische Strafen: Viele Branchen unterliegen strengen Sicherheitsvorgaben, wie NIS2 oder PCI-DSS. Unternehmen, die diese Vorschriften nicht einhalten, riskieren hohe Geldstrafen und rechtliche Konsequenzen.

Zentrale Ergebnisse der Studie

• Negative Seriennummern: 3,7 Prozent der Zertifikate enthalten negative Seriennummern. Dies kann zu Problemen bei der Validierung führen, insbesondere bei Systemen, die solche Werte nicht korrekt verarbeiten können.
• Überlange Laufzeiten: 7,7 Prozent der Zertifikate haben eine Laufzeit von mehr als zwei Jahren – ein Risiko, da längere Laufzeiten die regelmäßige Erneuerung erschweren und veraltete Kryptographie länger im Einsatz bleibt.
• Fehlende Definition der Schlüsselverwendung: 3,4 Prozent der Zertifikate spezifizieren nicht ihre Schlüsselverwendung, was zu Fehlkonfigurationen führen kann und es Angreifern ermöglicht, ein Zertifikat zu missbrauchen.

Sicherheitsrisiken minimieren mit robuster PKI

Eine Public Key Infrastructure (PKI) ist das Rückgrat einer sicheren digitalen Identitätsverwaltung. Sie ermöglicht es Unternehmen,

• Zertifikate automatisiert zu verwalten: Durch den Einsatz einer modernen PKI können Zertifikatsprozesse automatisiert werden, um manuelle Fehler zu vermeiden und Abläufe effizienter zu gestalten.
• Die Laufzeiten von Zertifikaten zu verkürzen und sie regelmäßig zu erneuern: Eine gut verwaltete PKI sorgt dafür, dass Zertifikate regelmäßig erneuert werden, um Sicherheitsrisiken durch veraltete Verschlüsselungsmethoden zu minimieren.
• Compliance-Vorschriften einzuhalten: Unternehmen können ihre Sicherheitsrichtlinien konsequent umsetzen und Nachweise über die Einhaltung ihrer regulatorischen Vorgaben führen.
• Transparenz und Kontrolle zu erhöhen: Eine zentralisierte PKI gewährt Unternehmen die vollständige Kontrolle über die Ausstellung, Nutzung und Verwaltung von Zertifikaten in ihrer gesamten IT-Umgebung.

Unternehmen müssen handeln

Die Ergebnisse der Keyfactor-Studie zeigen, dass Unternehmen ihre Zertifikatsverwaltung dringend überdenken müssen. Ohne eine klare Strategie für das Management digitaler Zertifikate setzen sich Organisationen unnötigen Risiken aus – von operativen Störungen bis hin zu ernsthaften Sicherheitsvorfällen. Eine robuste PKI und automatisierte Prozesse helfen, die Sicherheitslage zu verbessern, Cyberbedrohungen zu reduzieren und langfristig das Vertrauen in digitale Identitäten zu stärken.

Weitere Informationen zum Thema:

Keyfactor
Vollständiger Bericht mit detaillierten Analysen

[datensicherheit.de, 09.06.2020] Laut NTT Ltd. sind 48% der Geräte in Unternehmen wegen verlängerter Wiederbeschaffungszyklen und dem Trend zu Multi-Cloud-Umgebungen veraltet oder technisch überholt. 2017 waren es nur 13%.

Trend zu Multi-Cloud-Umgebungen

Der „2020 Global Network Insights Report“ von NTT Ltd. zeigt, dass Unternehmen ihre Anwendungen zunehmend in Multi-Cloud-Umgebungen migrieren und die Cloud-Investitionen die Ausgaben für On-Premises-Infrastrukturen überholt haben. Viele Unternehmen überfordern ihre Netzwerk-Ressourcen und bremsen die Upgrade- und Investitionszyklen für On-Premises-Netzwerke und die Security-Infrastruktur. Dadurch steigt die Zahl veralteter und ungepatchter Netzwerk-Geräte mit riskanten Software-Schwachstellen und damit der Sicherheitsbedrohungen für Unternehmen.

Der Report basiert auf den Daten von über 1.000 Kunden mit insgesamt mehr als 800.000 Netzwerk-Geräten. Er zeigt, dass im gewichteten Durchschnitt rund 48% davon veraltet oder technisch überholt waren – ein enormer Zuwachs gegenüber 13% im Jahr 2017.

Die COVID-19-Krise und der damit verbundene gestiegene Bandbreitenbedarf bedeutet für Netzwerke eine starke Belastung und verschärft nochmal die bereits vorhandenen Herausforderungen. Der rapide Anstieg von Home-Office-Arbeitsplätzen mit dem damit verbundenen Bedarf an Audio- und Video-Services übt einen enormen Druck auf die Unternehmensnetze aus.

Rob Lopez, Executive Vice President, Intelligent Infrastructure, NTT Ltd.

„In dieser neuen Normalität werden viele Unternehmen veranlasst oder sogar gezwungen sein, ihre Netzwerk- und Sicherheitsstrategien samt der Betriebs- und Supportmodelle für ein besseres Risikomanagement zu überprüfen“, erklärt Rob Lopez, Executive Vice President, Intelligent Infrastructure, NTT Ltd. „Wir erwarten einen Strategiewechsel von Business Continuity hin zur Vorbereitung auf eine Zukunft mit gelockerten Lockdown-Beschränkungen. Die Netzwerk-Infrastruktur muss so konzipiert und gesteuert werden, dass sie auch bei ungeplanten Ereignissen funktionsfähig bleibt. Das erfordert einen neuen Blick auf Cloud- und On-Premises-Infrastrukturen, um die Folgen kritischer Ausfälle zu mindern und deren Häufigkeit zu reduzieren.“

Die Sicherheitsrisiken veralteter und überholter Geräte am Arbeitsplatz der Zukunft

Technisch überholte Geräte haben im Schnitt eine zweimal höhere Verwundbarkeit (42%) als veraltete (27%) oder aktuelle Geräte (19%), und verursachen damit unnötige Risiken. Sie werden weiter verschärft, wenn keine Patches oder Betriebssystem-Updates vorgenommen werden. Obwohl Patches relativ einfach durchzuführen und oft kostenloser Bestandteil von Maintainance- oder Garantievereinbarungen sind, verzichten viele Unternehmen darauf.

In der „neuen Normalität“ ist Embedded Resilience der Schlüssel für Unternehmen, die ihre Arbeitsweise neu gestalten. Die Pandemie erfordert einen permanenten Wandel in der Art, wie Unternehmen operieren. Dazu gehört die Implementierung smarter Arbeitsplätze, die die nötige Distanz im Büro ermöglichen, bei gleichzeitiger Forcierung von Home-Office-Arbeitsplätzen. Die wachsende Nutzung neuer Wireless-Infrastrukturen (mit einer jährlichen Steigerung von 13%) und die Zunahme von Home-Office und Co-Working verlangen neue Ansätze für Netzwerk-Architekturen.

Unternehmen benötigen die Tools, das Wissen und die Expertise zur Neukonzipierung von Netzwerken für die kurz-, mittel- und langfristige Evolution der „neuen Normalität“, in der Menschen jederzeit und geräteunabhängig remote arbeiten. Sie brauchen dazu strategische Partner, die ihnen einen Einblick in die Netzwerke der Zukunft vermitteln. Dazu gehört nicht nur der Umgang mit den Räumlichkeiten im Unternehmen, sondern auch mit Arealen in der Öffentlichkeit und im Handel, in denen Social Distancing nur schwer umzusetzen und einzuhalten ist. So können beispielsweise KI und Machine Learning dazu genutzt werden, die Einhaltung der Abstandsregeln zu überwachen – mit dem Netzwerk als Plattform.

Die Evolution des Netzwerks muss Hand in Hand gehen mit der Digitalen Transformation

Fortschrittliche Unternehmen nutzen Netzwerke bereits als Teil ihrer Strategien zur Digitalen Transformation für neue Business-Modelle (etwa das Internet of Things) oder zur Optimierung existierender Arbeitsabläufe (beispielsweise Asset Tracking). Zudem investieren Organisationen in Technologien wie Robotic Process Automation (RPA) zur Kostenoptimierung und zur agilen Skalierung ihrer Services. In jedem Fall hilft die Digitale Transformation dank des Netzwerks bei der Optimierung der Mitarbeiter- und Kundenerfahrungen. Diese Initiativen können nur mit Unterstützung aktueller, sicherer Infrastruktur beschleunigt werden, die sich an den technischen, betrieblichen und finanziellen Voraussetzungen orientiert.

„Das Netzwerk ist die Plattform für die Digitale Transformation im Unternehmen“, ergänzt Rob Lopez. „Es muss universell, flexibel, robust und sicher sein, um sich sowohl an den Wandel anzupassen als auch den Reifegrad der Betriebsumgebung erhöhen zu können. Unternehmen, die einen hohen Grad an Netzwerkautomatisierung und -intelligenz zur Optimierung ihrer Prozesse nutzen, erzielen signifikante Wettbewerbsvorteile und realisieren mit Sicherheit die Vorteile der Cloud-Ökonomie.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2020
DSGVO-Konformität: Drei Herausforderungen für Unternehmen

Ein Beitrag von unseren Gastautoren Amit Serper, VP Security Strategy bei Cybereason, David Kennedy, TrustedSec und Russ Handorf, PhD. Principal Threat Intelligence Hacker, WhiteOps

[datensicherheit.de, 15.04.2020] Entgegen anders lautenden Annahmen: Nein, Zoom ist keine Malware. Und ja, man kann Zoom sicher benutzen. In den letzten Tagen brodelte es in den sozialen Netzwerken (vor allem auf Zoom ist keine Malware). Hier trafen die unterschiedlichsten Meinungen und Auffassungen zu den zahlreichen Sicherheitsproblemen bei Zoom aufeinander. Einige davon sind in der Tat schwerwiegender (und werden/wurden von Zoom behoben). Einige andere sind aber nicht ursächlich Fehler von Zoom selbst, sondern sie hängen mit der Funktionsweise von Betriebssystemen zusammen.

Identifizierte Sicherheitsrisiken müssen behoben werden

Natürlich sollte man identifizierte Sicherheitsrisiken beheben, und bisher hat Zoom das auch getan. Nach Aussagen des CEO will das Unternehmen zusätzliche Schritte unternehmen, um Bedenken auszuräumen und den Datenschutz zu gewährleisten. Möglicherweise werden im Laufe der nächsten Tage, Wochen, Monate oder Jahre weitere Schwachstellen und Risiken identifiziert – wichtig ist aber zunächst, wie das Unternehmen darauf reagiert.

Bild: Cybereason

Amit Serper, VP Security Strategy bei Cybereason

Problematische Auslegung des Begriffs Ende-zu-Ende-Verschlüsselung

Ein Teil der Kritik war allerdings berechtigt. So hatte das Marketing des Unternehmens die Ende-zu-Ende-Verschlüsselung quasi neu ausgelegt: Sie war lediglich bei der Chat-Funktion aktiv, bei den Videokonferenzen kam nur die Transportverschlüsselung per TLS zum Einsatz. Das ist inzwischen geklärt und spiegelt sich in der geänderten Terminologie des letzten Updates wider. Umgekehrt unterstützt Ciscos WebEx End-to-End (E2E), beeinträchtigt dadurch jedoch die normale Funktionalität der Lösung erheblich. Sinnvoll wäre an dieser Stelle eine branchenweit einheitliche, verbindliche Terminologie. Das würde verhindern, dass Unternehmen Standards umbenennen oder neu definieren, damit sie besser zu ihren Produkten passen. Wie im seriösen Teil der Berichterstattung behandelt, sind einige Schwachstellen schwerwiegender als andere, und es besteht die Möglichkeit, sie mittels Social Engineering auszunutzen. Viele der Probleme lassen sich aber gut eindämmen, und wir empfehlen dem Unternehmen vorausschauender als bisher zu agieren.

Zero-Day-Exploits durch Eskalation lokaler Berechtigungen

Innerhalb eines Tages und nach zwei Zero-Day-Exploits (ohne Patch), veröffentlichte Zoom bereits eine neue Version. Die Angriffe resultierten zum einen aus der Eskalation lokaler Berechtigungen. War es einem Angreifer bereits gelungen, ein System zu kompromittieren, konnte er auf diesem Weg weitergehende Zugriffe erlangen. Der zweite Vorfall geht auf ein Problem innerhalb des Windows-Designs zurück, eine Schwachstelle, über die sich Remote-Dateien ausführen lassen. Das betrifft folglich nicht nur Zoom.

Zoom hat beide Probleme fast sofort behoben und die Updates an seine Kunden weitergegeben. Um das Ganze etwas zu relativieren: jede einzelne Software birgt Sicherheitsrisiken oder hat Schwachstellen. In der Regel dauert es mehrere Wochen oder Monate, bis Unternehmen eine Sicherheitslücke erkennen, offenlegen und patchen. In diesem Fall hatte Zoom dazu keine Gelegenheit mehr, denn der Exploit-Code wurde online veröffentlicht. Es sei am Rande darauf hingewiesen, dass kein anderer Anbieter von Video-Telefonkonferenzen so genau unter die Lupe genommen wurde wie Zoom. Sieht man sich die Sicherheitslücken der vergangenen Jahre an, sind einige der großen Player ebenfalls nicht verschont geblieben. Und alle diese Systeme werden weiterhin genutzt:

https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16

https://www.notebookcheck.net/GoToMeeting-ist-found-to-be-potential-susceptible-to-hacking.442684.0.html

https://www.exploit-db.com/exploits/39061

Was in den letzten Tagen passiert ist, ist insofern alarmierend, als dass die meisten der identifizierten Schwachstellen als geringes bis mittleres Risiko eingestuft würden. In der Berichterstattung wurde Zoom in die Nähe einer Malware gerückt, die jedem gefährlich wird, der die Lösung benutzt. Das ist schlicht falsch. Ein Angreifer muss bereits direkten Zugriff auf ein System haben oder eine Phishing-Kampagne mit einem klickbaren Link nutzen. Nichts, was bis zu diesem Zeitpunkt veröffentlicht wurde, würde man als substanzielles Risiko für einen Nutzer einordnen. Und welche Auswirkungen es haben kann auf bösartige Links zu klicken, das ist schon gar nicht „exklusiv“ für Zoom. Damit haben wir es seit den Anfängen des Internets zu tun. Man sollte hinsichtlich Links bewährte Sicherheitspraktiken eben auch in Zoom-Sitzungen anwenden. Das gilt besonders in der komplexen Situation, in der wir uns gerade alle befinden. Zoom ist zu einem kritischen Tool geworden, mit dem viele von uns arbeiten. Und wie fast jedes andere Tool oder Programm auf dem Markt, kann es missbraucht werden.

Zusätzlich wurde über „Zoom Bombing“ berichtet. Darunter versteht man, wenn jemand einen Link oder eine persönliche Meeting-ID (PMI) öffentlich zugänglich macht. Eines der Hauptprobleme von Zoom besteht darin, dass es einfach zu nutzen IST. Es ist so konzipiert, damit Benutzer mit unterschiedlichen Vorkenntnissen problemlos zusammenarbeiten können. Bleiben solche Konfigurationen offen, werden sie zum Risiko, wenn anonyme Teilnehmer an den Meetings teilnehmen.

Was Sie tun können, um Zoom-Sitzungen zu schützen:

•  Schützen Sie eine persönlichen Meeting-ID (PMI) mit einer PIN oder einem Passcode

  https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-Webinar-Passwords

• Nutzen Sie nur geplante Meetings. Diese generieren eindeutige IDs, die schwieriger zu erraten sind. Stellen Sie außerdem sicher, dass die Meeting-ID einen Passcode enthält.

  https://support.zoom.us/hc/en-us/articles/360033331271-Account-Setting-Update-Password-Default-for-Meeting-and-Webinar

• Wenn Sie der Meeting-Host oder Moderator sind, verwenden Sie die Webinar-Funktion, um ein Zoom-Meeting zu erstellen, nicht das Meeting selbst. Dann ist eingeschränkt, wer den Bildschirm teilen kann, was ein „Zoom Bombing“ verhindert.

  https://support.zoom.us/hc/en-us/articles/200917029-Getting-Started-With-Webinar

• Verwenden Sie für das Zoom-Konto eine Multi-Faktor-Authentifizierung (MFA). Falls ein Passwort kompromittiert wird, hat der Angreifer keinen Zugriff auf das Zoom-Konto.

  https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication

• Sperren Sie virtuelle Klassenzimmer für Schüler.

  https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/

• Aktivieren Sie eine Wartezimmerfunktion, um die Teilnehmer zu überprüfen, die in Ihren Meeting-Raum kommen. So verhindern Sie, dass ihnen unbekannte Personen am Meeting teilnehmen.

  https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/

In vielen Programmen gibt es Sicherheitslücken, und kein Code ist immun. Nicht jede Sicherheitslücke oder Exposition ist kritisch und birgt ein hohes Risiko. Das Wissen um die eigene Bedrohungslage und ein sorgfältiges Threat Modeling sind ein entscheidender Teil, wenn man Probleme und ihre möglichen Auswirkungen wirklich verstehen will. Zudem sollte man Informationen genau und verständlich vermitteln, statt unbegründete Ängste zu schüren. Zoom unterscheidet sich nicht grundsätzlich von anderen Unternehmen, und hat bereits gezeigt, dass es für Verbesserungen offen ist. Zoom lässt sich privat und im geschäftlichen Umfeld sicher einsetzen, gerade in einer Zeit der erschwerten Arbeitsbedingungen.

In diesem Zusammenhang sollte man auch einen Gedanken an diejenigen verschwenden, die dieses und andere Systeme trollen (zum Beispiel durch „Zoom Bombing“). Unter allen anderen Umständen werden Trolle ignoriert, sie bekommen für einen Moment das, was sie wollen und 15-Sekunden zweifelhaften Online-Ruhm, dann ziehen sie weiter zur nächsten Plattform. Aber in Zeiten wie diesen wirken sich solche Aktivitäten stärker auf die legitimen Nutzer eines Systems aus und führen unter Umständen zu Störungen. Wer in einem Unternehmen mit massiven Code-Pushs und Systemänderungen umgehen muss, wird daran nicht viel Freude haben. Vor jedem Computer sitzt ein Mensch, der den Betrieb aufrechterhält. Diese Einsicht sollte man beherzigen und sich entsprechend verhalten.

Sonstige Quellen:

https://www.theverge.com/interface/2020/4/3/21203720/zoom-backlash-apology-zoom-bombings-eric-yuan

https://www.wired.com/story/zoom-backlash-zero-days/

https://www.forbes.com/sites/kateoflahertyuk/2020/04/03/use-zoom-here-are-7-essential-steps-you-can-take-to-secure-it/#2f6fe5387ae1

Weitere Informationen zum Thema:

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

[datensicherheit.de, 23.03.2020] Mit der Einführung seines Managed Detection & Response-Services (MDR) bietet Digital Guardian eine nach eigenen Angaben umfassende Datensicherheitslösung mit 24/7-Zugriff auf qualifizierte Sicherheitsexperten, die aktiv externe und interne Bedrohungen suchen, erkennen und eindämmen, bevor sensible Unternehmensdaten gefährdet werden.

IT-Teams häufig unterbesetzt und überlastet

Aufgrund des grassierenden Fachkräftemangels und der Flut an Cyberangriffen sind IT-Teams häufig unterbesetzt und überlastet. In Konsequenz wenden sich Unternehmen zunehmend Managed Security Services zu. Mit dem neuen Managed Detection & Response-Service, der eine Turnkey-Lösung für Threat Detection-Herausforderungen bietet, können Unternehmen Lücken in ihren internen Security Operations Centers (SOC) schließen, die sie anfällig für Sicherheitsrisiken machen.

Der neue MDR-Service beinhaltet die Unterstützung durch das Digital Guardian Advanced Threat & Analysis Center (ATAC)-Team, einer Gruppe erfahrener Sicherheitsexperten, die sich auf Threat Detection, Incident Response und proaktives Threat Hunting spezialisiert hat. Das Team nutzt hierfür die eigene Digital Guardian Endpoint Detection And Response-Technologie. Durch die aus der Cloud bereitgestellte Sicherheitstechnologie soll der neue MDR-Service sensibelste Daten und kritische Vermögenswerte von Unternehmen vor externen Angreifern und Insider-Bedrohungen schützen.

Der MDR-Service im Überblick:

• Analyse aktueller Sicherheitslücken: Erste tiefgehende Analyse durch das Digital Guardian MDR-Team, die mit einer Präsentation der identifizierten Bedrohungen und Empfehlungen zur Problemlösung abschließt.
• Aus der Cloud bereitgestellte EDR-Plattform: Implementierung der Digital Guardian Endpoint Detection And Response-Technologie, die kontinuierlich System-, Benutzer- und Datentelemetrie sammelt und in Echtzeit Verhaltensindikatoren eines Angriffs blockieren kann.
• Incident-Response-Services: Der MDR-Service beinhaltet die umfassende Unterstützung bei der Reaktion auf Sicherheitsvorfälle und Neutralisierung von Bedrohungen. Unternehmen erhalten Berichte auf Führungsebene, Ursachenanalysen, Indikatoren für die Verfolgung von Sicherheitsverstößen und vieles mehr.
• Aktive Threat Intelligence: Verwendung externer und interner Intelligence Feeds zur sofortigen Threat Detection auf Grundlage bekannter Bedrohungsaktivitäten.
• 24/7-Cybersicherheits-Experten-Service: Sichtung von Alerts, hochgradig zuverlässige Alarm-Benachrichtigung und proaktive Bedrohungsjagd.
• Cyber-Bedrohungsalarmierung und Berichterstattung: Reporting auf Führungsebene über Cyber-Threat-Aktivitäten sowie Berichte über die Nutzung von Prozessen, Bedrohungs-Scans und Warnmeldungen.

Bild: Digital Guardian

EDR-Technologie aus der Cloud, unterstützt durch Digital Guardians Sicherheitsexperten

Christoph Kumpa, Director DACH & EE bei Digital Guardian

„Der Aufbau und die Verwaltung eines Security Operations Center ist komplex, teuer und ressourcenintensiv“, so Christoph Kumpa, Director DACH & EE bei Digital Guardian. „Der Digital Guardian MDR-Service kann hier Unternehmen entlasten, indem unser erfahrenes ATAC-Team proaktiv Bedrohungen sucht, erkennt und in Echtzeit auf sie reagiert. So können sich Unternehmen auf die Abwicklung ihrer eigentlichen Geschäfte konzentrieren.“

Weitere Informationen zum Thema:

Digital Guardian
Digital Guardian MDR-Service

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 06.06.2019] Ralph Kreter, securonix, erörtert die Frage, ob eine ganzheitliche Sicht wie sie das „Security Information and Event Management“ (SIEM) verspricht, tatsächlich helfen kann, den zunehmenden Sicherheitsrisiken im Gesundheitswesen zu begegnen.

Personal Health Information – so sensibel wie begehrt

Kreter: „Patientendaten sind extrem vertrauliche Informationen. Sie besonders zu schützen ist nur konsequent, und die Institutionen im Gesundheitswesen sind sich der Tragweite bewusst. Die hier anfallenden Daten, die sogenannten PII-Daten, ,Personal Health Information‘, sind so sensibel wie begehrt. Das führt schon seit einigen Jahren dazu, dass Institutionen im Gesundheitswesen kontinuierlich mit Angriffen von Innentätern als auch von externen Cyber-Kriminellen zu kämpfen haben.“
Die Beispiele erfolgreicher Attacken seien „Legion“. Auch hierzulande habe es bereits spektakuläre Vorfälle mit schwerwiegenden Folgen gegeben. PII-Daten gehörten zu den Daten, die sich besonders gut verkaufen ließen, und die finanzielle Motivation spiele bei externen Angreifern eine entscheidende Rolle. Es verwundere also nicht, dass die Zahl der Angriffe steige und die verwendeten Vektoren zunehmend ausgefeilter würden.

PHI-Aufzeichnungen: Zugriff und Schutz zugleich gewährleisten

Ziel der Cyber-Kriminellen sei es, illegitim auf alle Arten von medizinischen Daten und Patienteninformationen zuzugreifen und dabei möglichst lange unentdeckt zu Werke zu gehen. Gleichzeitig gehöre die Gesundheitsbranche zu den besonders stark regulierten Industriezweigen. Regulatorischer Druck und mögliche Strafen stellten die Verantwortlichen vor nicht zu unterschätzende Herausforderungen. Die Herausforderung sei es, so Kreter, Zugriff auf PHI-Aufzeichnungen zu gewährleisten und sie gleichzeitig zu schützen.
„Im Zuge der Digitalisierung und der damit einhergehenden technischen und organisatorischen Veränderungen entwickelt sich auch das Gesundheitswesen ständig weiter. Das macht es nicht unbedingt einfacher, für die Sicherheit einer komplexen und hoch vernetzten Infrastruktur zu sorgen, innerhalb derer eine Vielzahl von sensiblen Daten verarbeitet, geteilt und gespeichert werden.“

Tiefgreifende Veränderungen des Gesundheitswesens

Zu diesen tiefgreifenden Veränderungen zählen laut Kreter:

• Die Einführung elektronischer Patientendatensysteme.
• Das Gesundheitswesen verlasse sich zunehmend auf immer intelligenter werdende und internetfähige medizinische Geräte.
• Die Branche stehe unter hohem regulatorischen Druck mit wachsenden Herausforderungen – HIPAA und HITECH, um nur zwei zu nennen.

Angriffsszenarien ebenfalls verändert

Parallel dazu hätten sich die Angriffsszenarien ebenfalls verändert und weiterentwickelt. Je attraktiver das Ziel desto ausgefeilter die Angriffe. Das gelte auch und gerade für Systeme im Gesundheitswesen. Patientendaten gehörten zu den Informationen, die auf dem Schwarzmarkt regelmäßig Höchstpreise erzielten. Zu den gängigsten Angriffsmethoden und Szenarien gehören:

• Ransomware.
• Sicherheitsschwachstellen im Internet of Things (IoT).
• Innentäter, einschließlich bestechlicher Mitarbeiter.
• „Social Engineering“ entweder über Soziale Medien oder (zum Teil hoch spezialisierte) Phishing-Angriffe

Herkömmliche SIEM-Systeme aber ungeeignet

Das Gesundheitswesen sei bisher eher selten durch besonders aktuelle Sicherheitstechnologien und Prozesse aufgefallen. Ausnahmen bestätigten auch hier die Regel, allerdings meistens erst dann, „wenn das Kind schon in den Brunnen gefallen ist und eine Datenschutzverletzung den nötigen Handlungsdruck erzeugt hat“.
Viele der bestehenden Sicherheitssysteme seien nicht mehr aktuell oder gar in der Lage, mit den Innovationen der Medizintechnologie Schritt zu halten. Die existierenden Signatur- und Regelbasierten Security-Information-and-Event-Management-Lösungen (SIEM) bildeten da hinsichtlich neuer Bedrohungsszenarien keine Ausnahme. Zudem produzierten sie Unmengen von Alarmen, übersähen Anzeichen auf einen potenziellen Angriff und überschwemmten die ohnehin überlastete IT mit Falsch-Positiv-Meldungen. Die sorgten im schlimmsten Fall dafür, dass relevante Benachrichtigungen übersehen würden und die Effektivität der Sicherheitsmaßnahmen gefährlich nach unten gehe.

Moderne SIEM-Systeme integrieren zusätzliche Schlüsselattribute

Das Gesundheitswesen sei in einem hohen Maße von medizinischer Hard- und Software und digitalen Daten abhängig, während sich gleichzeitig die Bedrohungslandschaft ununterbrochen wandele. Traditionelle SIEM-Lösungen erfüllten dieses Anforderungsprofil kaum mehr. Dem SIEM-System liege das Prinzip zugrunde, dass relevante Daten über die Sicherheit einer Firma an verschiedenen Stellen anfielen und es wesentlich einfacher sei, Trends und Muster zu erkennen, „die vom gewohnten Schema abweichen, wenn man alle diese Daten an einer zentralen Stelle betrachten kann“.
SIEM fasse Funktionen von „Security Information Management“ (SIM) und „Security Event Management“ (SEM) in einem Sicherheits-Management-System zusammen. Moderne SIEM-Systeme integrierten aber zusätzliche Schlüsselattribute, „die helfen die beschriebenen Risiken zu senken, im Idealfall zentral gesteuert“, so Kreter.

Automatisiertes maschinelles Lernen und Big-Data-Analysen

Moderne SIEM-Systeme nutzten Technologien auf Basis von Künstlicher Intelligenz (KI) und maschinellem Lernen. Für Angreifer sei es mit üblichen Techniken sonst relativ problemlos möglich, traditionelle Regel- und Signatur-basierte SIEM-Lösungen zu umgehen. Gegen bislang unbekannte Bedrohungen seien sie ohnehin machtlos. Deshalb nutzten moderne SIEM-Lösungen automatisiertes maschinelles Lernen und Big-Data-Analysen. „Ein System, das auf maschinellem Lernen basiert, kann sich zügig anpassen und auch solche Bedrohungen erkennen, auf die traditionelle Systeme nicht schnell genug reagieren können.“
Ferner nutzen sie die Analyse des Benutzerverhaltens, um potenzielle Insider-Bedrohungen und unbefugtes „Herumschnüffeln“ zu erkennen. Solche Systeme verwalteten eine Liste der Benutzer und der ihnen zugewiesenen Berechtigungen. Kreter: „Das stellt sicher, dass die Nutzer nur auf solche Patientendaten zugreifen, auf die sie auch Zugriff haben sollten.“ Das Benutzerverhalten sowohl auf der individuellen Ebene als auch auf Gruppen-Level zu verstehen, sei eines der Schlüsselelemente, um Anomalien zu entdecken, welche Anzeichen für eine Insider-Bedrohung sein könnten: „Sie basieren auf dem Missbrauch von Zugriffsberechtigungen, die entweder fälschlich zugewiesen wurden und es dem Betreffenden erlauben, außerhalb des autorisierten Bereichs zu agieren. Oder ein externer Angreifer benutzt einen illegitimen Kontozugriff und bedient sich der mit diesem Konto verbundenen Rechte.“

Eindeutig definierte Prozesse zur Störungsbeseitigung

Wird ein Cyber-Angriff entdeckt, komme es darauf an, Art und Umfang schnellstmöglich zu analysieren und Gegenmaßnahmen einzuleiten, um den Schaden zu begrenzen. Werden Bedrohungen nicht innerhalb einer bestimmten Zeitspanne erkannt und beseitigt, seien die Folgen oft weitreichend.
„Wie sich wer im Falle eines Angriffs zu verhalten hat, wie die Kommunikationsabläufe definiert sind und welche Schulungen jetzt greifen sollten, all das sind Prozesse, die helfen den Schaden einzugrenzen“, berichtet Kreter.

Vertraulichkeit der Patientendaten gewährleisten

„Nur wenn man EMR-Applikationen kontinuierlich überwacht, entdeckt man Anzeichen für verdächtige Aktivitäten. Das ist aber nur eine Seite“, so Kreter. Wenn diese Aufzeichnungen Patientendaten enthalten, sei es wichtig sicherzustellen, dass diese auch vertraulich bleiben. Einer der Nachteile bei traditionellen SIEM-Lösungen liege darin, dass man gezwungen sei, sensible Patientendaten mit anderen IT-Daten zu vermischen, und so riskiere, gegen Compliance-Anforderungen zu verstoßen.
Fortschrittliche SIEM-Lösungen integrierten eine Reihe von Funktionen, die vertrauliche Daten schützten. Dazu diene das Anonymisieren von Daten (etwa über Datenmaskierung), die Rollen-basierte Kontrolle von Zugriffsberechtigungen, das Filtern oder Löschen von Daten und ein vollständig nachvollziehbarer Audit-Trail.

Kombination: Bedrohungserkennung und -abwehr

Vereinfachtes Compliance-Reporting willkommen: Unternehmen und Organisationen innerhalb des Gesundheitswesens seien stark reguliert. Entsprechend aufwändig seien die Berichtsanforderungen. Funktionen, die es erlauben Berichte sofort abzurufen, erleichterten die Compliance mit HIPAA, HITRUST, DSGVO/GDPR und anderen Richtlinien.
„Aktuelle Lösungen kombinieren Bedrohungserkennung und Bedrohungsabwehr über eine zentrale Stelle und integrieren EMR-Anwendungen, Sicherheit und Netzwerkgeräte sowie ,Identity Stores‘. Auf diese Weise sammelt das System Daten zu Sicherheitsvorkommnissen und ergänzt sie um hilfreiche Kontextinformationen“, so Kreter. Die Befunde würden auf der Basis von maschinellem Lernen analysiert, so dass der Algorithmus auf ein in diesem Umfeld als „normal“ definiertes Verhalten trainiert werde und abweichendes Verhalten und Anomalien identifizieren könne. Weiterhin ließen sich zwischen bestimmten Anomalien Muster und Schemata erkennen, die in nachvollziehbare Bedrohungsketten mündeten. Diese wiederum erlaubten es, Vorkommnisse und Risiken zu priorisieren und entsprechend zu handeln.

Weitere Informationen zum Thema:

SECURONIX
WHITEPAPER / Next-Gen SIEM for Healthcare

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 14.08.2018] Digital Guardian fügt seiner Data Protection Platform neue Funktionen für User and Entity Behaviour Analytics (UEBA) hinzu. Die erweiterten Analysefunktionen der Machine Learning-basierten Technologie ermöglichen Kunden ab sofort ein effektiveres Management von Daten-Sicherheitsrisiken.

Ergänzend zu Datenklassifizierung und Richtlinienmanagement bietet die datenzentrierte Security-Plattform nun erweiterte Analysefunktionen und Anomalien-Erkennung auf Basis von Machine Learning. Die UEBA-Funktionen optimieren die Plattform-Anwendungen für Data Loss Prevention (DLP) und Endpoint Detection and Response (EDR) durch verbesserte Identifizierung und Reduzierung von Daten-Sicherheitsrisiken.

Die Data Protection Platform nutzt Machine Learning, um das Verhalten von Nutzern und Anwendungen zu erlernen und zu analysieren. Indem die Lösung zunächst Richtlinien für normale Aktivitäten festlegt, kann sie Anomalien unter enormen Datensätzen identifizieren und Alarm auslösen, sobald verdächtige Ereignisse in Benutzer- und System-Workflows, Anwendungsausführungen und beim Zugriff auf sensible Daten auftreten. So lässt sich in kurzer Zeit eine genaue Risikoeinschätzung vornehmen.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Risikosituationen besser bewerten

Die UEBA-Funktionen werden durch ein übersichtlich angeordnetes Executive Risk Dashboard visualisiert, das Sicherheitsteams die Möglichkeit bietet, verdächtige Verhaltensweisen und die vollständigen Details von Anomalien, Datenverlusten und ungewöhnlichen Endpunktaktivitäten einzusehen. Auf diese Weise können Unternehmen ihre Risikosituation besser bewerten und dementsprechend geeignete Kontrollmechanismen für den Schutz sensibler Daten einrichten.

„Wir entwickeln unsere Cloud-basierte Data Protection Platform ständig weiter, und unsere neuen UEBA-Funktionen bieten Unternehmen ein effektiveres Risikomanagement und einen besseren Einblick in verdächtige Aktivitäten“, so Christoph Kumpa, Director DACH & EE bei Digital Guardian. „Wir haben die drei Schlüsselfunktionen von Verhaltensanalyse, Data Loss Prevention und Endpoint-Detection und -Response abgerundet und bieten dadurch umfangreichen Bedrohungsschutz – ob vor böswilligen Insidern oder externen Angreifern – für sensible Unternehmensdaten und Geschäftsgeheimnisse.“

Die UEBA-Funktionen auf der DG Data Protection Platform nach Unternehmensangaben auf einen Blick:

• Priorisierung und Untersuchung der schwerwiegendsten Risiken: Mit der Digital Guardian Plattform können ungewöhnliche Verhaltensweisen in Verbindung mit Systemen, Benutzern und Daten überwacht und Anomalien unmittelbar identifiziert werden. Forensische Beweise wie Capture-Dateien, Systemartefakte, Screenshots und Tastatureingaben können gesammelt und aufbewahrt werden, so dass Vorfälle in ihrem vollen Kontext rekonstruiert werden können. Für die bedeutendsten Vertraulichkeitsindikatoren, die eine zusätzliche Untersuchung rechtfertigen, wird ein Alarm ausgelöst.
• Schnellere Erkennung von Bedrohungen: Die Benutzer- und Instanz-Analysen erkennen in Echtzeit riskante Verhaltensweisen. Die automatische Datenklassifizierung von Digital Guardian gibt diesen Aktionen einen Kontext, indem sie die Verhaltensweisen kennzeichnet, die auf die sensibelsten Assets abzielen.
• Verkürzte Reaktionszeit: Die Daten zum Verhalten von Nutzern und Instanzen werden aggregiert, um Risiko-Scores zu erstellen. Diese ermitteln Aktivitäten, die auf potentielle Bedrohungen hindeuten. Einmal bestätigt, können Sicherheitsteams die Prozesse unternehmensweit auf eine Blacklist setzen. Auf diese Art können Unternehmen frühzeitig und präzise potentiellen Bedrohungen entgegenwirken.
• Dashboards und Workspaces für Guided Responses: Die von Experten entwickelten Workspaces geben Sicherheitsverantwortlichen Hilfestellung bei der Identifizierung von Ereignissen, die mit anomalen und verdächtigen Insider-Aktivitäten in Verbindung stehen. Das Executive Risk Dashboard von Digital Guardian aggregiert Risiko-Scores und bietet granularen Zugriff auf die spezifischen Verhaltensweisen und Ereignisse, um gezielt Richtlinien zum Schutz vertraulicher Informationen erstellen und anwenden zu können.

Weitere Informationen zum Thema:

Digital Guardian
Informationen zu den Digital Guardian UEBA-Funktionen

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

[datensicherheit.de, 28.04.2014] Vor allem mobile Endgeräte und das Internet stellen immer höhere Anforderungen an die Sicherheit im Bereich der Informations- und Datenverarbeitung. Unternehmen müssen ihre Netzwerke und Daten verstärkt vor unerwünschtem Datenabfluss, Insiderattacken oder Angriffen schützen. Nach den Enthüllungen um die NSA steigt auch die Bedeutung des Datenschutzes. Dabei sind die stets professioneller werdende Computerkriminalität und die Wirtschaftsspionage eine große Gefahr für die Unternehmen. Informationssicherheit ist daher ein besonders wichtiges Thema für Geschäftsführer und IT-Entscheider in den Unternehmen aller Branchen.

Die Schwerpunkte der 10. IT-Trends Sicherheit: Information, Beratung und Vorstellung von konkreten Sicherheitslösungen. Die Experten greifen aktuelle Sicherheitsprobleme auf und stellen in ihren Vorträgen Lösungen vor. Beispiele aus der Praxis zeigen, wie Informationssicherheit auch im Mittelstand erfolgreich umgesetzt werden kann. Führende Anbieter von IT-Sicherheitslösungen präsentieren sich im Rahmen der Begleitausstellung. Sie informieren, beraten und entwickeln Ansätze für auf die verschiedenen Anforderungen eines Unternehmens zugeschnittenen Sicherheitslösungen.

Den Auftakt zur 10. IT-Trends Sicherheit macht Mirko Manske, Teamleiter Cybercrime Intelligence Operations des  Bundeskriminalamtes. Er gibt einen aktuellen Überblick über das Thema.

Die IT-Trends Sicherheit 2014 steht wieder unter der Schirmherrschaft von Minister Garrelt Duin vom Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk des Landes Nordrhein-Westfalen.

Der Fachkongress mit Begleitausstellung wird vom networker NRW veranstaltet. Mitveranstalter sind die IHK Mittleres Ruhrgebiet, die Stadt Bochum und eurobits. Hauptsponsoren und Partner des Fachkongress sind dieses Jahr die G Data Software AG, die Sophos GmbH, die Stadt Bochum, die TMR Telekommunikation Mittleres Ruhrgebiet GmbH und die unique projects GmbH. Weiterhin stellt der eco Verband der deutschen Internetwirtschaft e.V. im Auftrag des Bundeswirtschaftsministeriums die Initiative-S vor, nrw.units informiert mit einem Stand über die verschiedenen IT-Sicherheitsaktivitäten in Nordrhein-Westfalen.

 Weitere Informationen zum Thema:

10. IT-Trends Sicherheit
Tagungsprogramm

Anmeldung

Der networker NRW e.V. ist ein Netzwerk für Unternehmer aus dem Bereich IT und Medien in Nordrhein-Westfalen. Er steht für Information, Kooperation, Partnerschaft und persönlichen Kontakt. Der Verein wurde von Unternehmern aus der IT-Branche gegründet und hat aktuell mehr als 160 Mitglieder. Ziel des Vereins ist es Geschäfte für seine Mitglieder zu generieren. Schwerpunkte der Arbeit liegen u.a. in der Fachkräftegewinnung und dem Themenfeld IT-Sicherheit.

Von unserem Gastautor Paul van Brouwershaven, Director Business Development bei GlobalSign

[datensicherheit.de, 08.04.2014] “The new Snowden revelations are explosive. Basically, the NSA is able to decrypt most of the Internet.” („Die Snowden-Enthüllungen sind explosiv. Im Grunde ist die NSA in der Lage ein Gr0ßteil des Internets zu entschlüsseln.“), “They’re doing it primarily by cheating, not by mathematics” („Sie tun dies vor allem durch schummeln und nicht mit Hilfe der Mathematik“)
Diese erst vor einigen Wochen von Bruce Schneier (us-amerikanischer Kryptologe) ausgesprochenen Zitate und der Eindruck monatelanger Enthüllungen in der NSA-Spähaffäre legen nahe, sich neu mit SSL zu beschäftigen. Immerhin eine Technologie, die bereits 20 Jahre auf dem Buckel und einige nicht ganz unbekannte Sicherheitsrisiken im Gepäck hat.

Was genau ist SSL?

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die beiden heutzutage meistgenutzten Sicherheitsprotokolle. Im Wesentlichen stellt das Protokoll einen sicheren Kanal zwischen zwei Computern bereit, die über das Internet oder ein internes Netzwerk miteinander kommunizieren. Typischerweise wird das SSL-Protokoll eingesetzt, wenn ein Webbrowser sich sicher mit einem Webserver über das inhärent unsichere Internet verbinden will.
Technisch betrachtet ist SSL ein transparentes Protokoll. Um eine sichere Sitzung aufzubauen, benötigt es nur wenig direkte Interaktion mit dem Endnutzer. Denkt man beispielsweise an einem Browser, weist ein Icon in Form eines Sicherheitsschlosses darauf hin, dass SSL eingesetzt wird, oder im Falle von Extended Validation SSL werden sowohl die Adresszeile als auch ein Sicherheitsschloss innerhalb einer grünen Zeile angezeigt.

Ein solches EV SSL-Zertifikat ist durch visuelle Indikatoren leicht erkennbar und einfach zu interpretieren:

© Globalsign

Standard SSL-Zertifikate zeigen:

© Globalsign

Im Gegensatz zu HTTP-URL-ADRESSEN, die mit „http://“ beginnen und standardmäßig Port 80 verwenden, beginnen HTTPS-URL-ADRESSEN mit „https://“ und verwenden standardmäßig Port 443.
HTTP ist unsicher und kann leicht belauscht werden, wenn sensible Daten wie Kreditkarteninformationen, Anmeldedaten zu Online-Konten oder andere vertrau-liche Informationen übermittelt werden. Um die Daten zu schützen, die mit HTTPs über den Browser gepostet oder gesendet werden, werden diese Informationen deshalb verschlüsselt.

Allen Anwendungen dieser Art ist eines gemeinsam: Daten, die über das Internet oder in einem Netzwerk versendet werden, sollen und müssen vertraulich bleiben. Kreditkartennummern, Kontoanmeldedaten, Passwörter und persönliche Daten dürfen nicht im Internet offengelegt werden. Konkret bedeutet das beispielsweise, dass sobald die Kreditkartendetails und der Betrag, mit dem die Kreditkarte belastet werden soll, gesendet werden, ein Cyberkrimineller nicht mit einer Man-in-the-Middle-Attacke in der Lage ist, den Betrag oder den Adressaten der Zahlung zu ändern. Unternehmen und Institutionen müssen wiederum ihren Kunden und den Nutzern des Extranets versichern, dass Sie tatsächlich derjenige sind, für den Sie sich ausgeben. Das ist ein essentieller Bestandteil des regionalen, nationalen und internationalen Datenschutzes.

In der Praxis sollte ein SSL-Zertifikat in allen nachfolgenden Fälle verwendet werden:

• Bei Online-Kreditkartentransaktionen
• Bei Online-Systemanmeldungen, wenn sensible Informationen über Webformulare übertragen werden oder um geschützte Bereiche von Websites zu sichern
• Um Webmail, Outlook Web Access, Exchange und Office Communications Server zu sichern
• Um Tools für die Abwicklung von Geschäftsprozessen und virtualisierte Anwendungen wie Citrix Delivery- oder Cloud-basierte Rechnerplattformen zu sichern
• Um die Verbindung zwischen einem E-Mail-Client wie Microsoft Outlook und einem E-Mail-Server wie Microsoft Exchange zu schützen
• Um die Übertragung von Dateien über https- und FTP(s)-Dienste zu sichern, wenn zum Beispiel Inhaber einer Website neue Seiten hinzufügen oder große Dateien transferieren
• Um Anmeldungen an Hosting Control Panels und Aktivitäten wie Parallels, cPanel und andere zu sichern
• Bei jeglichem Intranet-basierten Datenverkehr (interne Netzwerke, Filesharing, Extranets und Datenbankverbindungen)
• Um Netzwerkanmeldungen und Netzwerkverkehr mit SSL VPNs wie VPN Access Server oder Anwendungen wie Citrix Access Gateway zu sichern

Aber Achtung: Die in digitalen Zertifikaten verwendeten Algorithmen werden weltweit kryptoanalytisch eingeordnet, und inzwischen als deutlich schwächer bewertet als das noch vor wenigen Jahren der Fall war, allerdings immer noch als ausgesprochen solide. Moderne Algorithmen zu entwickeln ist die eine Seite der Medaille. Die andere, dass alle Beteiligten schneller als in der Vergangenheit die zur Verfügung stehenden Algorithmen auch tatsächlich einsetzen.

Das Problem endet nicht bei den Zertifikaten

Es ist wichtig zu verstehen, dass das Problem leider nicht bei der in den Zertifikaten verwendeten Kryptografie endet. Die in den Zertifikaten verwendeten Cipher Suites sind ein zusätzlicher Angriffsvektor. Laut einer Datenerhebung des Trustworthy Internet Movement verwenden nahezu 33% der Top 200.000 Sites schwache Cipher Suites.
Perfect Forward Secrecy (PFS) ist eine spezielle Eigenschaft von Verschlüsselungs-verfahren, die als besonders sicher gilt, aber noch wenig verwendet wird. Das gilt für Cipher Suites ebenso wie für die Top 200.000 Sites. Bei PFS ist der Schlüsseltausch zwischen Server und Browser so gestaltet, dass der Schlüssel vor einer späteren Entschlüsselung geschützt ist. Der geheime Sitzungsschlüssel wird nicht zwischen den Sitzungspartnern übertragen. Das funktioniert aber nur, wenn Browser und Server PFS einsetzen. Gerade bei der Konfiguration von letzteren hapert es.
Auch OCSP (Online Certificate Status Protocol)  Stapling, das Performance-Vorteile für sichere Seiten bringt, und HTTP Strict Transport Security (HSTS) werden vergleichsweise wenig verwendet. Und: immer noch setzen zahlreiche Websites veraltete SSL-Versionen ein. Man sollte also durchaus Websites mit einem entsprechenden Tool  (wie beispielsweise kostenlos unter https://sslcheck.globalsign.com/de) überprüfen.

Und dann ist da noch die Schlüsselverwaltung

Was bleibt, ist das Problem der Schlüsselverwaltung. Durch die aktuellen Leaks wissen wir nun definitiv, dass Nachrichtendienste Datenbanken mit kompromittierten Schlüsseln pflegen. An sich ist das keine große Überraschung, Sicherheitsexperten tun ähnliches. Aus Sicht eines potenziellen Angreifers ist die aktuelle Praxis der Schlüsselverwaltung äußerst hilfreich. Einer der Hauptschwachpunkte: Websites nutzen die gleichen Schlüssel viel zu lange und immer wieder. Das macht ihn für einen potentiellen Lauscher umso wertvoller.
Man sollte sich an dieser Stelle auf eine CA verlassen, die explizit unbegrenzte Neuausstellungen erlaubt, und nicht zulässt, dass der gleiche Schlüssel mehrfach verwendet wird. Wer vor dem Verwaltungsaufwand zurück scheut, kann in der Regel auf APIs und Plug-ins zurückgreifen, die solche Änderungen automatisiert vornehmen.

Welche Verschlüsselungsstärke? (Schlüsselanforderung: 2048 Bit für 2014)

In Einklang mit der Leitlinie des National Institute of Standards and Technology (NIST) hat man Zertifizierungsstellen (CAs) geraten, den zunächst in der NIST Special Publication 800-57 und später den in 800-131A veröffentlichen Empfehlungen zu folgen.
Darin wurden CAs angewiesen, die Signierung von digitalen Zertifikaten mit öffentlichen 1024-Bit-RSA-Schlüsseln nach dem 31. Dezember 2010 ausdrücklich zu missbilligen und die Signierung zum 31. Dezember 2013 vollständig einzustellen (Tabelle 2, Abschnitt 3 der 800-131A).

Es bestand allerdings ein allgemeiner Konsens darüber diese besonders langlebigen Zertifikate gesondert zu behandeln. Einzelne CAs haben bereits deutlich vor dem Ablauf der Frist eine stärkere als die von der NIST-Leitlinie empfohlene Schlüssellänge verpflichtend eingeführt. So akzeptiert auch GlobalSign bereits seit dem 1. Januar 2011 keine Signaturanforderung für ein Zertifikat (CSR) mit einer Schlüssellänge von 1024 Bit.

Erst 2012 wurden die NIST-Empfehlungen vom CA/Browser-Forum übernommen. Danach wurden Zertifizierungsstellen von Browser-Root-Programmen wie zum Beispiel der Mozilla CA Certificate Policy angewiesen, die Signatur von Zertifikaten mit 1024 Bit RSA-Schlüsseln bis zum Stichtag komplett einzustellen.

Die Migration zu längeren Schlüsseln schützt korrekt ausgebrachte SSL-Lösungen auch vor ausgereiften Attacken. Denn: In den kommenden Jahren, nehmen die Chancen für die Faktorisierung von 1024 RSA-Primzahlen zu und damit das Potenzial für erfolgreiche MITM-Attacken auf langlebige Zertifikate, die noch für Live-Transaktionen eingesetzt werden.

Was man tun sollte

• Achten Sie beim Kauf von Zertifikaten darauf, was ein Anbieter verspricht und welche tatsächlichen Verpflichtungen er Ihnen gegenüber hat
• Pflegen Sie eine Sicherheitsrichtlinie, die folgende Fragen beantwortet:
• Welche kryptografischen Algorithmen können verwendet werden?
• Wie oft müssen die Schlüssel geändert werden?
• Wie stark muss zwingend verschlüsselt werden?
• Wie werden die Schlüssel generiert und wie werden sie gesichert?
• Erstellen Sie eine Bestandsliste aller kryptografischen Schlüssel, mit Altersangabe und Stärke der Verschlüsselung
• Stellen Sie sicher, dass jeder Schlüssel richtlinienkonform verwaltet wird
• Achten Sie neben einem Zertifikat mit ausreichend großem Schlüssel darauf die aktuellste Version von Webserver und SSL/TLS-Bibliotheken zu verwenden
• Verwenden Sie nach Möglichkeit Chiffren mit PFS
• Betreiben Sie ausnahmslos alle SSL-Konfigurationen nach diesem Schema
• Sorgen Sie zusätzlich dafür, dass alle Rechner, die Zugang zum Schlüsselmaterial haben entsprechend gepatched und gehärtet sind sowie über strukturierte Zugriffsrechte verfügen
• Wenn Sie zwischenzeitlich unsicher sind, welche Verschlüsselungsstärke Ihr vorhandenes Zertifikat hat, überprüfen Sie es mit einem SSL Configuration Checker

© GlobalSign

Paul van Brouwershaven ist Director Business Development bei GlobalSign

Weitere Informationen zum Thema:

GlobalSign®
SSL-Informationszentrum

[datensicherheit.de, 22.05.2013] Trotz des bekannt hohen Sicherheitsrisikos, das die missbräuchliche Nutzung privilegierter Benutzerkonten darstellt, verzichtet die Mehrheit der Unternehmen immer noch auf geeignete Schutzmaßnahmen. So lautet das Ergebnis einer neuen Untersuchung von Cyber-Ark. Nur 18 Prozent setzen eine Lösung im Bereich Privileged Identity Management ein, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können.

Im Rahmen der „Privileged Account Security and Compliance Survey“ hat Cyber-Ark im vergangenen April 236 IT-Manager aus Unternehmen in der Region EMEA und in Nordamerika zum Thema Passwortmanagement befragt. Erschreckendes Ergebnis: 86 Prozent der Befragten kennen nicht einmal die Anzahl ihrer privilegierten Accounts beziehungsweise unterschätzen sie deutlich. So gehen beispielsweise 30 Prozent der Unternehmen mit mindestens 5.000 Mitarbeitern davon aus, dass sie maximal 250 privilegierte Accounts haben. Das steht aber eklatant im Widerspruch zur Realität. Cyber-Ark-Erfahrungswerte mit über 1.200 Kunden belegen, dass die Anzahl der privilegierten Konten in der Regel deutlich höher ist als die Beschäftigtenzahl.

Grund hierfür ist, dass zu den privilegierten Accounts nicht nur administrative Passwörter, sondern auch Default- oder in Skripten, Konfigurationsdateien und Applikationen eingebettete Passwörter zählen. Auch darüber sind sich viele der in der Untersuchung Befragten nicht im Klaren. So konnten 37 Prozent die Frage „Wo sind überall privilegierte Accounts vorhanden?“ nicht richtig beantworten.

Bild: Cyber-Ark

Antworten auf die Frage: „Gibt es definierte Prozesse für die Änderung von Default-Passwörtern?“

Zentrale Untersuchungsergebnisse im Überblick:

• Nur 18 Prozent der Befragten nutzen eine Lösung im Bereich Privileged Identity Management (PIM), mit der eine zuverlässige Sicherung und Überwachung privilegierter Zugriffe erfolgen kann.
• 82 Prozent vertrauen auf fehlerbehaftete beziehungsweise unzureichende Lösungsansätze wie manuelles Passwortmanagement oder Security-Tools in den Bereichen Identitätsmanagement (IdM), Database Activity Monitoring (DAM) oder Security Information and Event Management (SIEM), mit denen ein sicheres Passwortmanagement nicht realisierbar ist.
• Fast ein Drittel der Befragten (28 Prozent) nutzt keine Lösung zur Überwachung und Aufzeichnung privilegierter Aktivitäten.
• Über die Hälfte der Befragten gibt privilegierte und administrative Account-Passwörter auch intern an „verlässliche“ Mitarbeiter weiter.
• 22 Prozent der Befragten haben keine durchgängigen Prozesse für das Ändern von Default-Passwörtern definiert.
• 49 Prozent der Unternehmen ändern privilegierte Passwörter frühestens nach 90 Tagen.

„Dass nur 18 Prozent der Befragten eine Lösung im Bereich Privileged Identity Management nutzen, ist in der heutigen Zeit mehr als überraschend“, sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. „Gerade die zunehmende Anzahl von Attacken, die über privilegierte Benutzerkonten erfolgen, macht ein striktes Passwortmanagement zwingend erforderlich. Automatisiert – und damit völlig unkompliziert und ohne jeglichen manuellen Aufwand – kann das nur mit einer Lösung im Bereich Privileged Identity Management erfolgen, die darüber hinaus auch eine Überwachung der konkreten Aktivitäten in privilegierten Sessions ermöglicht.“

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark’s Privileged Account Security & Compliance Survey

[datensicherheit.de, 30.11.2012] Das Information Security Forum (ISF), eine unabhängige Non-Profit-Organisationen für Informationssicherheit, Cybersicherheit und Risikomanagement, benennt in seiner aktuellen Prognose für 2013 die fünf größten Sicherheitsrisiken, die Unternehmen im kommenden Jahr beschäftigen werden. Diese sind Cybersicherheit, Sicherheit in der Supply Chain, Big Data, Datensicherheit in der Cloud und der Einsatz privater, mobiler Endgeräte im Unternehmensumfeld (Consumerization). Das ISF betrachtet die einzelnen Disziplinen dabei nicht unabhängig voneinander: Gerade in der Kombination liegt ein hohes Bedrohungspotenzial. Unternehmen müssen sich und ihr Risikomanagement, so die Empfehlung des ISF, außerdem auf unvorhersehbare Szenarien vorbereiten.

Die Top 5 Sicherheitsbedrohungen 2013

1. Cybersicherheit
   Die höhere Aktivität und Präsenz von Staaten und staatlichen Einrichtungen im Cyberspace wird einen starken Einfluss auf die Informationssicherheit haben. Jeder, mit dessen geistigem Eigentum sich ein Gewinn oder Vorteil erzielen lässt, stellt ein potenzielles Angriffsziel dar. Weiterhin wird der Schutz kritischer nationaler Infrastrukturen (zum Beispiel Energie, Telekommunikation, Verkehr, Öffentliche Sicherheit und Verteidigung) einer der wichtigen Aspekte von Cybersicherheit bleiben.
2. Sicherheit in der Supply Chain
   Die immer stärkere internationale Verflechtung von Unternehmen wird 2013 das Thema Sicherheit in der Supply Chain weiter in den Fokus rücken. Da die Lieferkette auch eine Risikokette darstellt, werden Unternehmen zunehmend von Informationssicherheitsvorfällen ihrer Kunden, Partner oder Lieferanten betroffen sein. Sie tauschen heute immer mehr kritische Daten mit Dritten aus, von Mitarbeiter- und Lohndaten mit externen HR-Dienstleitern bis hin zu Produktionsplänen mit Entwicklungspartnern. Die IT-Abteilung kann dabei zwar den Überblick über alle innerhalb des Unternehmens gespeicherten Daten behalten, entlang der gesamten Lieferkette ist dies jedoch nahezu unmöglich.
3. Big Data
   Big Data werden das Unternehmensumfeld weiterhin grundlegend verändern und die Sicherheitsrisiken erhöhen. Von strukturierten und unstrukturierten Daten innerhalb des Unternehmensnetzes bis zu mobilen Endgeräten und Speicherlösungen: Das Datenmanagement wird neue Ansätze und Methoden erfordern. Eine der größten Herausforderungen wird dabei die Sicherung sowohl eingehender als auch ausgehender Geschäftsdaten sein, wobei unter Umständen spezifische rechtliche Vorgaben und Rahmenbedingungen beachtet werden müssen.
4. Datensicherheit in der Cloud
   Die Kosten durch Angriffe auf die Cloud und für Compliance-Nachweise in der Cloud werden 2013 weiter steigen. Zwar implementieren Unternehmen zunehmend Strategien für mehr Sicherheit in der Cloud, in vielen Bereichen besteht jedoch noch großer Handlungsbedarf. Insbesondere, weil viele Organisationen überhaupt nicht wissen, wo im Unternehmen bereits Cloud-Services genutzt werden.
5. Consumerization und Absicherung privater Endgeräte
   Durch die Nutzung privater mobiler Endgeräte am Arbeitsplatz (Consumerization) verschwimmen die Grenzen zwischen Privat- und Geschäftsdaten zunehmend. Dies birgt das Risiko von – auch unbeabsichtigten – Datenverlusten. Dieses Risiko wird sich mit der weiteren Verbreitung mobiler Endgeräte und der Bereitstellung von immer mehr Business-Anwendungen über den mobilen Kanal weiter erhöhen. Die Implementierung von wirksamen Consumerization-Strategien ist derzeit noch mangelhaft. Ein weiteres Sicherheitsproblem stellen Standortinformationen dar, die sich für kriminelle Zwecke nutzen lassen. Da Benutzer zunehmend ihre Standortdaten im Internet preisgeben und immer mehr GPS-fähige Geräte einsetzen, wird eine Zunahme aller Arten von kriminellen Aktivitäten zu verzeichnen sein, bei denen Standortinformationen eine Rolle spielen.

„Unser Ausblick kann eine Hilfestellung zur Einschätzung der eigenen Bedrohungs- und Sicherheitslage geben, Unternehmen müssen sich aber vor allem auf das Unvorhersehbare vorbereiten, um unberechenbare Ereignisse mit schwerwiegenden Auswirkungen überstehen zu können“, sagt Steve Durbin, Global Vice President des ISF. „Wir empfehlen ihnen, Risikoszenarien im Hinblick auf ihre tatsächliche Auswirkung auf den Geschäftsbetrieb zu prüfen, die Wahrscheinlichkeit zu bewerten und anschließend zu priorisieren. Diese Ergebnisse müssen dann die Grundlage für die Anpassung der Strategie sein.“

Weitere Informationen zum Thema:

Information Security Forum
the world’s leading independent authority on information security