[datensicherheit.de, 14.07.2021] In seinem aktuellen Kommentar kritisiert Stefan Schweizer, „Vice President Sales DACH“ bei Thycotic, dass heutzutage Regierungen und Institutionen nur auf Bedrohungen reagieren – und fordert: „Es muss daher ein klares Umdenken geben: Wir benötigen ein aktives Handeln, anstatt immer nur zu reagieren!“ Cyber-Angriffe etwa auf Gesundheitseinrichtungen oder die Stromversorgung könnten ähnlich hohe Verluste an Menschenleben verursachen wie ein konventioneller Angriff, so seine eindringliche Warnung.

Foto: Thycotic

Stefan Schweizer: Wir benötigen ein aktives Handeln, anstatt immer nur zu reagieren!

Energieversorgung schützen, um Domino-Effekt nach Cyber-Attacke vorzubeugen

Die meisten Regierungen müssten dringend mehr Geld in die Hand nehmen, um ihre Kritische Infrastruktur (Kritis) besser zu schützen. Israel, aber auch die Ukraine hätten dies aufgrund ihrer akuten Sicherheitsbedrohungen durch ausländische staatliche Akteure, bereits schmerzhaft lernen müssen. Schweizer betont daher: „Es muss sichergestellt werden, dass es beispielsweise im Gebiet der Energieversorgung keinen Domino-Effekt gibt!“
Aufgrund der Lieferketten und der zahlreichen Verbindungen innerhalb des Energiesektors werde sich das als schwierig erweisen. „Es muss zugunsten der Sicherheit also ein dezentralerer Ansatz der Energieversorgung gewählt werden“, rät Schweizer. Um die Auswirkungen und Potenziale der Angriffe richtig einschätzen zu können sei es wichtig, „dass man das Motiv der Angreifer kennt“. Dies sei in den meisten Fällen Geldgier.

Beispiel Defcon: Verteidigungsstufen auch für Cyber-Kriege empfohlen

Schweizer spricht nach eigenen Angaben sogar von einem „Cyber-Krieg“ – dieser eskaliere und die Auswirkungen auf die Sicherheit im Internet nähmen zu. In den Vereinigten Staaten von Amerika gebe es verschiedene Verteidigungsstufen für verschiedene Szenarien („Defense Condition“ / DEFCON). Es sei daher wichtig, dass wir diese Verteidigungsstufen auch für Cyber-Kriege einsetzten. Darüber werde in Sicherheitskreisen bereits diskutiert, aber bis zur Umsetzung sei es noch ein langer Weg.
Die einzelnen Länder sollten sich daher gegen die unmittelbare Bedrohung von Cyber-Angriffen auf ihre Kritis wappnen, „indem sie im Vorfeld überlegen, wie diese bekämpfen oder verhindern können“. Dazu zählten auch bestimmte militärische Einrichtungen. „Man stelle sich den Schaden vor, wenn es Hackern gelingen würde, militärische Einrichtungen auszuschalten. Bei dieser Vorsorge ist es wichtig die Belastungen zu steuern und bewusst zu simulieren, um Schwachstellen in den eigenen Systemen aufzudecken“, so Schweizer. Auch Social-Engineering und physische Tests sollten dabei eingesetzt werden.

Cyber-Abwehr erfordert auch Aufklärung

Aufklärung sei einer der wichtigsten Bereiche der Cyber-Abwehr: „Dort sollte viel Zeit und Aufwand investiert werden. ,Klassische‘ menschliche Spione können dazu auch eingesetzt werden. Dies schafft oftmals auch Vertrauen in Informationen.“
Einrichtungen sollten sich auch auf den physischen Aspekt der Gefahrenabwehr konzentrieren, denn oftmals schlichen sich Angreifer in Einrichtungen ein und griffen dann von internen Möglichkeiten auf Software und sensible Daten zu. Schweizer erläutert: „Es sind oftmals minimale Fehler, welche die gesamte Sicherheit einer Einrichtung bedrohen können.“

Internationale Zusammenarbeit gegen Cyber-Kriminalität

Allein mit Hilfe von Technologie und Cyber-Sicherheit könne das Phänomen Cyber-Krieg nicht besiegt werden. „Diese neue Bedrohung sollte daher zukünftig in der Genfer Konvention geregelt sein“, regt Schweizer an. Dazu bedürfe es jedoch des entsprechenden politischen Willens und eines politischen Rahmens, „der sicherstellt, dass die Bemühungen zur Eindämmung von Cyber-Kriminalität länderübergreifend gebündelt werden“.
Cyber-Sicherheit sollte daher eine wichtige Rolle bei internationalen Gesprächen einnehmen. Ein Land allein könne keine ausreichende Cyber-Offensivfähigkeit aufbauen. „Die benötigt es aber, wenn es ein Akteur und kein Opfer sein will“, sagt Schweizer. Der beste Weg sich zu verteidigen ist seiner Ansicht nach, die Kritis so weit wie möglich zu dezentralisieren. Schweizer erläutert abschließend: „So werden aus einem großen Ziel, viele kleine Ziele, die einen Angriff deutlich erschweren.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2021
Globale Verteidigung gegen Ransomware erfolgsentscheidend / Opfer von Ransomware-Attacken sollten direkt mit lokalen Behörden kooperieren, um das Wissen schnell mit anderen Unternehmen zu teilen

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

[datensicherheit.de, 08.07.2019] Soziale Medienkanäle – seien es twitter, LinkedIn, facebook oder Instagram – seien ein fester Bestandteil unseres Lebens, sowohl beruflich als auch privat. Dessen seien sich jedoch auch Cyber-Kriminelle bewusst, wie eine neue Studie der University of Surrey zeige: Wie der Report „Social Media Platforms and the Cybercrime Economy“ offenbart, „bergen soziale Kanäle für Unternehmen ein ernstzunehmendes Risiko und öffnen Tür und Tor für Identitätsdiebstahl, Malware und vieles mehr“, warnt Markus Kahmen, „Regional Director CE“ bei Thycotic.

Daten-Missbrauch zur Erstellung digitaler Doppelgänger

Das wohl größte Risiko liege im Identitätsdiebstahl. Jeden Tag würden Tausende digitale Identitäten gestohlen, wobei sich die Betrüger die persönlichen, öffentlich auf Social-Media-Seiten zu findenden Daten aneigneten. Diese würden dann unter anderem für die Erstellung von sogenannten digitalen Doppelgängen missbraucht.
In einem zweiten Schritt würden die gestohlenen Identitäten dann für Finanzbetrug, Online-Käufe oder sogar zur Beschaffung von verschreibungspflichtigen Medikamenten verwendet.
Kahmen: „Für die betroffenen Personen kann dies weitreichende Folgen haben – von finanziellen Schäden bis hin zu falschen Schufa-Einträgen.“

Gezielter Zugriff auf Mitarbeiter-Konten vor allem mit weitreichenden Rechten

Ein weiteres Risiko liege in Phishing-Attacken. Dabei versuchten die Angreifer, sich gezielt Zugriff auf Mitarbeiter-Konten zu verschaffen und vor allem Accounts mit weitreichenden Rechten, um an sensible und lukrative Unternehmensdaten zu gelangen.
Darüber hinaus werde Phishing natürlich auch für Malware-Infektionen genutzt: „So ergab die oben erwähnte Studie, dass etwa 20 Prozent aller Unternehmen mit Schadsoftware infiziert wurden, die Hacker über ,Social Media‘ verbreiten, wobei vor allem Malvertising und Plug-ins oder Apps zum Einsatz kommen.“
Zudem seien „gehackte und manipulierte Accounts auch ein beliebtes Tool in sogenannten Informationskriegen“, in denen gezielt Falschinformationen verbreitet würden. Auch dies könne der Reputation eines Unternehmens enorm schaden.

Privileged-Account-Management empfohlen

Das entscheidende Problem sei nach wie vor eine schlechte Cyber-Hygiene in den Unternehmen und „hier speziell ein schlechter Umgang mit Passwörtern und Zugangsdaten“, so Kahmen. In vielen Fällen nutzten Mitarbeiter dasselbe Passwort für ihre Social-Media-Konten wie für andere wichtige Unternehmens-Accounts. „Das bedeutet, dass sobald ein Passwort gehackt wurde, Angreifer sich auch zu anderen vielleicht deutlich sensibleren Accounts oder Netzwerken Zugang verschaffen können.“
Neben einer Sensibilisierung der Mitarbeiter auf allen Ebenen sollten Sicherheitsverantwortliche in den Unternehmen deshalb vor allem ihre technische Security-Ausstattung auf dem neuesten Stand halten und die richtigen Lösungen fokussieren. Anstatt mit großer Bemühung immer weiter in Perimeter-Schutz zu investieren, müssten IT-Abteilungen endlich anfangen, Technologien einzusetzen, mit denen die wichtigsten Unternehmenswerte, d.h. vor allem geschäftskritische Informationen, Kundendaten und Geistiges Eigentum, gründlich abgesichert werden können.
„Eine der wichtigsten Maßnahmen, die von rund 75 Prozent der Unternehmen aber immer noch vernachlässigt wird, ist etwa die sichere Verwaltung und Absicherung von privilegierten Accounts mit Hilfe von Privileged-Account-Management“, berichtet Kahmen. Solche PAM-Lösungen ermöglichten es, privilegierte Passwörter in einer sicheren Umgebung zu generieren, regelmäßig zu kontrollieren, umfassende Nutzerprotokolle zu erstellen und automatisch Passwortwechsel durchzuführen. Darüber unterstützten sie Unternehmen bei der Umsetzung einer Least-Privilege-Policy, „d.h. einem sinnvollen, die Produktivität nicht behinderndem Einschränken von Zugriffen auf kritische Konten und Applikationen“.

Bild: Thycotic

Markus Kahmen: Sichere Verwaltung und Absicherung von privilegierten Accounts mit Hilfe von Privileged-Account-Management!

Weitere Informationen zum Thema:

Bromium, 2019
SOCIAL MEDIA PLATFORMS AND THE CYBERCRIME ECONOMY

datensicherheit.de, 07.05.2019
Thycotic-Umfrage: PAM wandert in die Cloud

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 18.09.2018
Black Hat-Umfrage von Thycotic enthüllt die beliebtesten Einfallstore der Hacker

[datensicherheit.de, 30.11.2018] Die Hotelkette Marriott ist laut Medienberichten von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen – bis zu 500 Millionen Kunden könnten Opfer dieses Angriffs sein. Joseph Carson von Thycotic kommentiert, dass schockierend an dieser Datenschutzverletzung sei, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind.

Offenbar versäumt, persönliche und sensible Daten der Gäste angemessen zu schützen

Joseph Carson, „Chief Security Scientist“ von Thycotic, führt aus: „Die Marriott-Hotelkette ist von einem riesigen, weltweit wohl einzigartigen Datenschutzverstoß betroffen, bei dem bis zu 500 Millionen Kunden Opfer von Cyber-Kriminellen wurden. Berichten zufolge wurden rund 327 Millionen Datensätze gestohlen, einschließlich Zahlungsinformationen und Passdaten, was einen jahrelangen Identitätsdiebstahl und Cyber-Angriffe auf die Opfer nach sich ziehen könnte.“
Schockierend an dieser Datenschutzverletzung sei, dass die Cyber-Kriminellen möglicherweise sowohl mit den verschlüsselten Daten als auch mit den Methoden zur Entschlüsselung der Daten davongekommen sind. „Denn Marriott hat es offenbar versäumt, die persönlichen und sensiblen Daten ihrer Kunden mit ausreichenden Cyber-Sicherheitsmaßnahmen zu schützen“, sagt Carson.

Foto: Thycotic

Joseph Carson: Zu fragen ist, seit wann Marriott über diese Datenschutzverletzung Bescheid wusste…

Kostenübernahme für Ersatzbeschaffung kompromittierter Dokumente gefordert

In der Vergangenheit habe das Hauptproblem bei solchen Datenschutzverletzungen oft darin gelegen, dass die Unternehmen, in deren Hände die Sicherheit der Kundendaten gelegt wurde, einen Schutz vor Identitätsdiebstahl nur für einen Zeitraum von bis zu einem Jahr angeboten hätten. Viele der gestohlenen Identitätsinformationen hätten in der Regel aber eine Laufzeit zwischen fünf und zehn Jahren – man denke etwa an Kreditkarten oder Reisepässe.
Carson: „Die Opfer sind also jahrelang ernsthaften Risiken ausgesetzt, solange sie kompromittierte Karten oder Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist.“ Unternehmen, die ihre Kunden nicht vor Datendiebstahl schützen, sollten zumindest für die Kosten der Ersatzbeschaffung kompromittierter Dokumente in die Verantwortung gezogen werden können, anstatt jegliche Verantwortlichkeit von sich abzuwenden.

Kunden müssen jetzt wissen, ob und welche ihrer Daten gefährdet sind!

„Der aktuelle Vorfall wirft nun einige Fragen auf, etwa seit wann Marriott über die Datenschutzverletzung Bescheid wusste und ob das Unternehmen weltweite Vorschriften und Regularien wie die Datenschutz-Grundverordnung der EU erfüllt hat.“
Letztere sehe bei Nichteinhaltung immerhin Geldstrafen in Höhe von 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. „Für potenziell betroffene Marriott-Kunde zählt nun vor allem eines: Sie müssen wissen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können“, betont Carson.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2018
Kritik am Umgang mit Datenleck bei Cathay Pacific

[datensicherheit.de, 28.06.2018] In eigener Sache hat das Ticket-Portal „Ticketmaster“ kürzlich bekanntgegeben, dass in einem Kundendienst-Tool des externen Drittanbieters Inbenta Technologies eine bösartige Software entdeckt worden sei. Dies habe Unbekannten den Zugriff auf persönliche Informationen der Kunden wie Kontaktdaten, Zahlungsdetails und Log-in-Daten ermöglicht. Das betroffene, auf Inbentas Künstlicher Intelligenz (KI) basierende Tool soll den Kunden eigentlich einen besseren Support beim Online-Kauf bieten – mittlerweile sei es auf allen Websites abgeschaltet worden. Joseph Carson, „Chief Security Scientist“ bei Thycotic, kommentiert diesen Vorfall in einer aktuellen Stellungnahme:

Angriffe oft über Drittanbieter

„Dieser jüngste Datenverstoß bei Ticketmaster zeigt wieder einmal, dass Cyber-Kriminelle ihre Opfer gerne über Drittanbieter angreifen und dabei immer öfter auch Technologien wie Künstliche Intelligenz nutzen“, erläutert Carson.
Unternehmen müssten sich dessen bewusst sein und sollten deshalb nicht länger blind darauf vertrauen, dass alle Partner ihre Produkte und Lösungen auch angemessen absichern. Carson: „Cyber-Kriminelle nehmen schließlich immer das schwächste Glied der Kette ins Visier.“

Foto: Thycotic

Joseph Carson zum ersten großen Datenschutzverstoß seit endgültigem DSGVO-Inkrafttreten

Vorfall wohl schlimmer als angenommen

In diesem speziellen Fall glaubt Carson sogar, dass die Datenschutzverletzung „schlimmer sein könnte, als wir bisher annehmen“. Sicherlich seien persönliche Daten, Finanzinformationen und Passwörter abgegriffen worden, die nun im sogenannten Darknet für Cyber-Kriminelle zur Verfügung stünden. Doch viel interessanter wäre es jedoch zu erfahren, ob die Cyber-Kriminellen auch auf die KI-Informationen zugegriffen haben, und diese nun für einen weiteren gezielteren Angriff verwenden.
Auch die vielen anderen Kunden, die Inbenta Technologies einsetzen, würden sich nun fragen, ob sie in irgendeiner Weise betroffen sind. Viele würden wahrscheinlich vorsorglich eine Vorfallsreaktion zur Validierung starten.

Erster großer Datenschutzverstoß seit DSGVO-Inkrafttreten

Dies sei auch der erste große Datenschutzverstoß seit dem Inkrafttreten der EU-DSGVO am 25. Mai 2018. Hierbei werde also genau geprüft werden, ob Ticketmaster die Meldepflichten und Sicherheitsvorschriften eingehalten hat.
„Könnte Ticketmaster das erste Unternehmen sein, das die Sanktionen der DSGVO zu spüren bekommt?“, fragt Carson.

Weitere Informationen zum Thema:

Ticketmaster
INFORMATIONEN ÜBER EINEN SICHERHEITSVORFALL BEI EINEM DRITTANBIETER

datensicherheit.de, 10.04.2016
Ungesicherte Drittanbieterzugriffe als idealer Nährboden für Cyberattacken