[datensicherheit.de, 15.02.2019] Angesichts neuer Überwachungsskandale u.a. unter Verwendung gehackter Smartphones, angezapfter Telefone und entschlüsselten Festplatten hat Reporter ohne Grenzen (ROG) am 15. Februar 2019 gegenüber den Vereinten Nationen dafür plädiert, den Export von Spähtechnologie international zu regulieren. Hintergrund ist demnach eine Initiative des UN-Sonderberichterstatters für Meinungsfreiheit, David Kaye, der die „zwielichtige Rolle der Überwachungsindustrie“ und ihre Geschäfte mit autoritären Staaten beleuchten möchte.

Digitale Überwachung gefährdet Journalisten und deren Quellen

Nachdem die europäische Reform für strengere Exportkontrollen vorerst gescheitert sei, „ist dieser globale Ansatz ein Weckruf für Regierungen“, die das Thema seit Jahren aus vermeintlichen Sicherheits- und Wirtschaftsinteressen kleinhielten.
„Digitale Überwachung ist eine der größten Gefahren, die Journalistinnen und Journalisten, sowie ihre Quellen in physische Gefahr bringen und Berichterstattung verhindern kann“, betont ROG-Geschäftsführer Christian Mihr. Es sei wichtig, dass David Kaye dieses Thema aus der Nische auf die Weltbühne holen möchte. Die Bundesregierung müsse diese Initiative mit aller Kraft unterstützen, fordert Mihr.

Stellungnahme soll in Studie des UN-Sonderberichterstatters einfließen

Kaye habe das Thema bereits im Dezember 2018 bei einer Expertenanhörung in Bangkok diskutiert, zu der auch ROG-Referent Daniel Moßbrucker geladen gewesen sei.
Am 15. Februar 2019 habe ROG eine Stellungnahme eingereicht, die in eine Studie des UN-Sonderberichterstatters einfließen werde. Kaye plane, seine Empfehlungen für eine Regulierung der Überwachungsindustrie im Oktober 2019 der UN-Generalversammlung vorzulegen.

Enge, fragwürdige globale Verflechtung

Wie eng die globale Verflechtung zwischen Spähfirmen, demokratischen Regierungen und autokratischen Regimen sei, habe erst vor wenigen Tagen eine große Reuters-Enthüllung erneut gezeigt:
Demnach schickten US-amerikanische Unternehmen mit Billigung der NSA seit Jahren Mitarbeiter in die Vereinigten Arabischen Emirate (VAE), um dort angeblich gegen islamistische Terroristen vorzugehen. Tatsächlich hätten die Hacker im „Project Raven“ moderne Späh-Software jedoch auch gegen Journalisten, Menschenrechtsaktivistinnen und Oppositionelle eingesetzt.

Zugriff auf E-Mails, Bewegungsdaten, Textnachrichten und Fotos

Betroffenen war laut ROG etwa der Journalist Rori Donaghy, der unter anderem für den britischen „Guardian“ wiederholt Menschenrechtsverletzungen in den VAE angeprangert habe. Opfer seien auch der bekannte Menschenrechtsaktivist Ahmed Mansoor und dessen Frau geworden, die aufgrund dessen in sozialer Isolation gefangen sei.
Die Angreifer hätten dabei eine besonders perfide Methode genutzt: Es habe genügte, den Opfern eine „iMessage“ auf ihr „iPhone“ zu senden, um damit Zugriff auf E-Mails, Bewegungsdaten, Textnachrichten oder Fotos zu erhalten. Entwickelt habe diesen Trojaner mutmaßlich eine US-Firma, die eine Sicherheitslücke in Apples „iPhone“ ausgenutzt habe. Sie habe dies jedoch nicht an Apple gemeldet, sondern ihr Werkzeug auf dem zwielichtigen Überwachungsmarkt vertrieben – inklusive Personal für die digitalen Angriffe.

Auch Überwachungssoftware „made in Germany“ sehr gefragt

Auch deutsche Unternehmen machten sich immer wieder zum „Handlager von Unrechtsregimen“. Im Mai 2018 habe die Bürgerrechtsorganisation Access Now enthüllt, dass der Trojaner „FinSpy“ gegen Oppositionelle in der Türkei, der Ukraine, Indonesien und Venezuela eingesetzt werde.
Die Bundesregierung wisse nach eigenen Angaben nicht, wie die Software trotz in Deutschland geltender Exportkontrollen in die Hände der ausländischen Regierungen fallen konnte – und mache bis heute keine Anstalten, dies wirklich zu erforschen. Das zuständige Bundeswirtschaftsministerium ziehe sich darauf zurück, dass das deutsche Unternehmen nicht nach einer Genehmigung gefragt habe.

Handel mit Überwachungstechnologie bis heute nicht ausreichend kontrolliert

Möglich sei dies alles, weil der Handel mit Überwachungssoftware bis heute nicht ausreichend kontrolliert werde. Neben der nationalen Kontrolle in Deutschland gebe es lediglich eine europäische Regulierung, die jedoch aufgrund von zahlreichen Schlupflöchern derzeit überarbeitet werden solle.
Außerdem gebe es das „Wassenaar-Abkommen“, das nur von rund 40 Staaten anerkannt werde und rechtlich nicht bindend sei.

Regierungen und Unternehmen in die Pflicht nehmen!

In der aktuellen ROG-Stellungnahme wird daher an die Vereinten Nationen appelliert, „endlich für global verbindliche Standards zu sorgen, die dann national implementiert werden“. Es gelte dabei, sowohl Staaten als auch Unternehmen in die Pflicht zu nehmen:
Während Regierungen sich vor allem untereinander besser über genehmigte Exporte austauschen müssten und gemeinsame Standards entwickeln sollten, müssten Unternehmen interne Prozesse einführen, um mögliche Menschenrechtsverletzungen durch ihre Produkte frühzeitig erkennen zu können.

Vorwurf: Industrieinteressen vor Menschenrechten

Leider täten sich bis heute auch demokratische Staaten wie Deutschland schwer, hierbei für klare Regeln zu sorgen. Im Oktober 2018 veröffentlichte ROG nach eigenen Angaben gemeinsam mit „netzpolitik.org“ eine Reihe geheimer Regierungsdokumente der Bundesregierung aus laufenden EU-Verhandlungen für eine striktere Exportkontrolle.
Die Haupterkenntnis lt. ROG: Während manche Staaten wie Finnland und Schweden eine Fundamentalopposition gegen schärfere Exportkontrolle einnähmen, habe auch die Bundesregierung, die den Prozess ursprünglich selbst angestoßen habe, schließlich in zentralen Punkten für Industrieinteressen gestimmt.

Frühestens im Herbst 2019 neue Verhandlungen auf EU-Ebene

Mittlerweile seien die Verhandlungen der EU-Mitgliedsstaaten vorerst gescheitert, weil durch eine Kehrtwende Frankreichs selbst ein Minimalkompromiss keine Mehrheit gefunden habe.
Vor den Wahlen des Europäischen Parlamentes im Mai 2019 werde es damit keine neue EU-Regulierung für Spähtechnologie geben. Die Verhandlungen würden frühestens im Herbst 2019 wieder aufgenommen werden – und in der Zwischenzeit könne der globale Technologiehandel nahezu ungestört weitergehen.

Weitere Informationen zum Thema:

REPORTERS WITHOUT BORDERS, 15.02.2019
“The Surveillance Industry and Human Rights” 15 th of February 2019

datensicherheit.de, 06.12.2017
Digitalcourage kritisiert Videoüberwachung auf Bahnhöfen und Toiletten

datensicherheit.de, 02.03.2017
Videoüberwachung: Grenzen der Zulässigkeit und Beaufsichtigung

Ein Gastbeitrag von Peter Alexander, Chief Marketing Officer, Check Point Software Technologies LTD

[datensicherheit.de, 12.06.2018] Die IT-Sicherheitsbranche ist besonders vom Fachkräftemangel betroffen. Prognosen für die nächsten Jahre sehen ein Defizit, das Millionen unbesetzte Stellen erreichen wird. Um diese Lücke besser verstehen zu können, befragte Check Point Software Technologies kürzlich 450 IT-Experten in aller Welt. Ihnen wurden Fragen zu ihren Herausforderungen bei der Verwaltung der Sicherheit ihrer Organisation gestellt.

Korrelation zwischen Mangel an richtigem Personal und der Abwehrfähigkeit von Cyberattacken

Es zeigt sich ein Zusammenhang zwischen dem Mangel an richtigem Personal und der Abwehrfähigkeit von Cyberattacken. 77 Prozent aller Befragten sind über die Fähigkeiten ihrer Sicherheitsteams im Umgang mit aktuellen und künftigen Cybersicherheitsproblemen besorgt. Auf die Frage nach den Gründen für diese Besorgnis, gaben 67 Prozent an, dass ihren Teams die Kenntnisse und die Expertise in puncto Cybersicherheit fehlten, um das derzeitige Niveau der Cyberangriffe bewältigen zu können.

Bild. Check Point Software Technologies Ltd.

Peter Alexander, Chief Marketing Officer, Check Point Software Technologies Ltd

Alle Unternehmensgrößen und Organisationen betroffen

Die Schwachstelle „Humanressourcen“ betrifft alle, von den größten multinationalen Unternehmen bis hin zu kleinen und gemeinnützigen Unternehmen. Kleinunternehmen sind besonders anfällig, beispielsweise geben 86 Prozent der dreißig Millionen Kleinunternehmen in den Vereinigten Staaten an, dass sie kein spezielles Cybersicherheitspersonal haben. Den Kriminellen ist diese Lücke wohl bekannt – sie ist ein wichtiger Grund, warum 70 Prozent ihrer Angriffsversuche auf kleine Unternehmen im erfolgreichen Zugriff auf vertrauliche Unternehmensdaten enden.

Handelt es sich um ein Mitarbeiterproblem?

Die Cybersicherheitsbranche boomt und immer Innovation gelangt auf dem Markt. Die Technologien lassen sich dabei in zwei Bereiche unterscheiden: Einerseits gibt es Tools, die das Risiko- und Schwachstellenniveau eines Unternehmens bewerten und die eine aktuelle Angriffsfläche überwachen und analysieren und ein Feedback geben, wenn sie angegriffen werden. Anderseits gibt es andere Produkten, die Angriffe so schnell wie möglich entschärfen, bekämpfen oder verhindern.

Die Erfahrung zeigt, dass aus jeder Gruppe meistens gleich mehrere Lösungen eingesetzt werden. CISOs (Chief Informtion and Security Officers) neigen dazu, für ihren Schutz rund zehn bis fünfzehn völlig verschiedene Lösungen zu verwalten. Angesichts der riesigen Anzahl an Technologien, die die einzelnen Experten zu bewältigen haben, ist es keine Überraschung, dass in der Studie 64 Prozent der Teams der befragten Unternehmen angaben, Schwierigkeiten bei der Bewältigung ihrer Arbeitslast im Sicherheitsbereich zu haben.

Der Versuch, zu viele nicht integrierte und unterschiedliche Einzelprodukte zu verwalten, verwirrt Teams und erfordert Talent und Erfahrung, die über das hinausgehen, was der Arbeitsmarkt derzeit zu bieten hat. Dieser Produkt-Wirrwarr ist ineffizient, kontraproduktiv und ein Faktor, der entscheidend zur Talentlücke bei den Cybersicherheitsexperten beiträgt.

Vereinfachung durch Konsolidierung

Wenn man diesen Verwaltungsaufwand bedenkt, sollte man IT-Fachleute zu ihren Erfahrungen im Umgang mit Mehrfachsicherheitslösungen im Vergleich zur Anwendung einer konsolidierten Lösung von einem einzigen Anbieter befragen.

Ist es besser, eine Vielzahl an Produkten auszuwählen oder der Einfachheit halber bei einem einzelnen, umfassenden und konsolidierten Produkt eines Anbieters zu bleiben? Die Umfrageergebnisse zeigten, dass ein konsolidiertes Sicherheitskonzept zu erheblich weniger Personalproblemen führt. Nur 38 Prozent der Befragten aus der „Einzellösungsgruppe“ waren der Meinung, sie hätten genügend Ressourcen zur Bewältigung ihres Arbeitspensums, während sich über die Hälfte aus der Gruppe der konsolidierten Sicherheitsstrategie vorbereitet fühlte.

Bild: Check Point Software Technologies Ltd.

Bild 1:  Herausforderungen bei der Erhöhung der Sicherheitseffizienz

Dennoch, und damit noch bemerkenswerter, machen 61 Prozent der „Einzellösungsgruppe” mangelnde Sicherheitskenntnisse ihrer Mitarbeiter als Hauptursache aus. Indes waren fast zwei Drittel der „konsolidierten“ Gruppe der Meinung, ihr Personal verfüge über die Kenntnisse zur Verwaltung ihrer Sicherheitslösungen.

Auf den ersten Blick hat die Einzellösungsstrategie einen gewissen Reiz – durch Mischen und Anpassen ihrer Lieblingsprodukte verschiedener Anbieter können IT-Verantwortliche eine vielseitige, vielfältige Sicherheitsstrategie anwenden. Bei näherer Betrachtung allerdings erzählen die Daten eine andere Geschichte: Alle Vorteile dieser Lösungsvielfalt werden von den erhöhten Kosten der Lösungskomplexität überschattet. Quantität überlastet die Teams und führt zu einem Arbeitskräftemangel, während Qualität den Teams ermöglicht, ihre Unternehmen erfolgreich zu schützen.

Komplexe Bedrohungen mit einfachen Produkten bewältigen:

Die Cybersicherheitsbranche, muss ihre Bemühungen neu ausrichten, und zwar weg von der Komplexität, hin zur Einfachheit. Ausbildungsprogramme und -initiativen, um hochqualifizierte Arbeitskräfte bereitzustellen, sind willkommen und nötig, aber gleichzeitig sollte man Anwendung und Nutzung von Technologien, die wir auf den Markt bringen, untersuchen.

Das heutige Zeitalter der Cyberangriffe hat eine ganz andere Dimension. Moderne Angriffe sind hochkomplex, entwickeln sich schnell weiter und greifen dabei viele Vektoren an – Netzwerke, virtuelle Operationen, Cloud, externe Büros und mobile Anwendungen sind alle Freiwild. Diese Generation der Cyberangriffe erfordert ausgefeilte, innovative Produkte, die schnell reagieren und Angriffe, sobald sie auftreten, verhindern oder blockieren.

Allerdings darf diese zunehmende Raffinesse nicht zu Lasten der Einfachheit und Effizienz gehen. Man muss den den Fokus viel stärker auf die Konsolidierung unserer Lösungen richten, um ein konsistentes und einheitliches Management zu liefern, durch das Lernkurven minimiert werden.

Produkte müssen einfach nutzbar sein, so dass ausführliche Analysen ihrer Ergebnisse durch technisches Führungspersonal nicht mehr erforderlich sind.

Es gilt den „den Stier bei den Hörnern packen“ und eine aktive Rolle übernehmen, wenn es darum geht, die Produkte, für fachfremdeNutzer zugänglicher, intuitiver und konsolidierter zu gestalten. Das eigene Unternehmen vor modernen Bedrohungen zu schützen, ist eine komplexe Aufgabe. Die Verwaltung von Sicherheitslösungen sollte es nicht sein.

Weitere Informationenzum Thema:

datensicherheit.de, 17.07.2017
Automatisierte IT-Standardprozesse: Freisetzung von IT-Ressourcen statt IT-Mitarbeitern

[datensicherheit.de, 17.12.2017] Forscher von Airbus CyberSecurity, einer Geschäftseinheit von Airbus Defence and Space, haben eine Liste der wichtigsten Technologieprognosen für 2018 erstellt. Die Übersicht basiert demnach auf Trends, die 2017 in den „Security Operations Centers“ (SOCs) des Unternehmens in Deutschland, Frankreich und Großbritannien ermittelt wurden.

Ernsthaftes Risiko für Unternehmen: Fehlende Social-Media-Sicherheitsrichtlinien

2017 sei eine regelmäßige Nutzung der Social-Media-Plattformen für die Verbreitung gefälschter Nachrichten oder die Manipulation der öffentlichen Meinung zu beobachten gewesen. Soziale Medien ließen sich zur Manipulierung von Personen („Social Engineering“) und für das Ausspionieren von Informationen nutzen und seien damit ein Einfallstor für diverse hochentwickelte Angriffe auf Unternehmen. Kriminelle und Hacker nutzten diese Plattformen bekanntermaßen für betrügerische Antiviren- und Phishing-Kampagnen oder die Verbreitung von Malware zum Schaden ihrer Opfer.
„Soziale Medien verbinden Menschen weltweit und bieten in unserer digitalen Welt eine Plattform für Diskussionen und den schnellen Austausch von Ideen. Aus Sicht der Angreifer sind Soziale Medien jedoch ein leichtes Ziel geworden. Gründe dafür sind die hohe Zahl von Nutzern, die sich nicht um Cyber-Sicherheit kümmern, und die einfache und kostengünstige Zugänglichkeit dieser Plattformen“, erläutert Markus Brändle, Head of Airbus CyberSecurity.
Zum Schutz gegen Social-Media-Angriffe müssten Organisationen unternehmensweite Sicherheitsrichtlinien für Soziale Medien implementieren. Dazu gehöre die Entwicklung von Mitarbeiter-Schulungsprogrammen zur Nutzung von Sozialen Medien sowie die Erstellung von Reaktionsplänen, die im Falle einer Sicherheitsverletzung die Aktivitäten der Rechts-, Personal-, Marketing- und IT-Abteilungen koordinierten.

Dramatische Zunahme: Angriffe auf Drahtlos-Netzwerke

Die Zahl der Angriffe auf Drahtlos-Netzwerke werde ansteigen, da Angreifer versuchten, die im Oktober 2017 öffentlich gemachte „KRACK“-Sicherheitslücke (Key Reinstallation Attack) auszunutzen. Diese ermögliche es Angreifern, den WiFi-Datenverkehr zwischen Geräten und einem WiFi-Router abzufangen, auszulesen und schlimmstenfalls sogar schädliche Daten in Websites einzubringen. Angreifer könnten über die betroffenen Geräte möglicherweise auch vertrauliche Informationen abrufen, wie beispielsweise Kreditkartendetails, Passwörter, Chat-Nachrichten oder E-Mails.
„Es ist ein Anstieg der Angriffe auf öffentliche oder offene WiFi-Verbindungen zu erwarten“, warnt Brändle. Als Reaktion darauf müssten Organisationen, die ihren Kunden solche Dienste anbieten, erhöhte Sicherheitsvorkehrungen bieten. Angriffe dieser Art seien insbesondere gefährlich für Nutzer alter Geräte, die von den Anbietern nicht mehr unterstützt würden und sie so zu einem attraktiven Ziel für Cyber-Kriminelle mache. Diese Bedrohungen könnten auch eine verstärkte Nutzung von Virtual Private Networks (VPN) durch sicherheitsbewusste Nutzer zur Folge haben.

End-to-End-Verschlüsselung als Herausforderung für Strafverfolgungsorgane

Bedenken hinsichtlich des Datenschutzes, die verstärkte Nutzung von Cloud-Computing, die zunehmende Zahl von Datenschutzverletzungen und die Einführung der EU-Datenschutzgrundverordnung (EU-DSGVO) würden dazu beitragen, dass Unternehmen künftig die End-to-End-Verschlüsselung (E2EE) als effektivste Möglichkeit der Datensicherung nutzen. Andererseits werde E2EE die Strafverfolgungsorgane vor Herausforderungen stellen, da auch Kriminelle diese Technik für Spionage und andere subversive Zwecke nutzen würden.
Brändle dazu: „Bei der Bewertung der Kosten für eine Sicherheitslösung ist es wichtig, die finanziellen Auswirkungen eines Sicherheitsvorfalls zu berücksichtigen.“ Nach der Einführung der EU-DSGVO könnten Organisationen im Falle einer Datenschutzverletzung mit Strafen in Höhe von bis zu vier Prozent ihres weltweiten Umsatzes belegt werden – die Kosten für eine Lösung seien daher immer in Relation zu den bestehenden Risiken betrachten.

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2017
Krack: WiFi-Schwachstelle unterstreicht Bedeutung von Netzwerktransparenz