[datensicherheit.de, 30.03.2017] „Paper Credential-Based Attacks: Exposing the Ecosystem and Motives Behind Credential Phishing, Theft and Abuse” – Palo Alto Networks stellt ein neues „White Paper“ vor. Darin wird auf das noch immer sehr akute Problem des Diebstahls von Zugangsdaten eingegangen – beschrieben wird demnach, wie Angreifer vorgehen, was sie mit den Anmeldedaten tun, sobald sie diese gestohlen haben und was Benutzer tun können, um derartige Angriffe zu verhindern.

Cyber-Kriminelle stehlen immer häufiger Zugangsdaten und missbrauchen diese

Gültige Anmeldeinformationen ermöglichen den Zugriff auf sensible Ressourcen. Cyber-Kriminelle stehlen immer häufiger Zugangsdaten und verwenden diese für ihre Zwecke: Indem sie die Identität von legitimen Benutzern annehmen, können sie auf die sensibelsten Informationen eines Unternehmens zugreifen, Daten auf Servern löschen und die Server so konfigurieren, dass sie nicht booten können oder andere schädliche Aktionen ausführen.
Einige der „kritischsten und schadenträchtigsten Angriffe“ gehen laut Palo Alto Networks auf gestohlene Anmeldeinformationen zurück: Sowohl die Bedrohungsakteure von „Shamoon 2“ als auch „Sofacy“ hätten sich gestohlene Zugangsdaten zunutze gemacht.

Fernzugriff auf die Cloud-Ressourcen eines Unternehmens

Der Diebstahl könne auf verschiedene Weise passieren. Gängig seien das sogenannte „Credential Phishing“ und die Verwendung von Malware wie Keyloggern sowie die Wiederverwendung von Passwörtern.
Ein erfolgreicher Diebstahl führe letztlich zum Zugang und zur Authentifizierung. Angreifer könnten die Zugangsdaten dann für den Fernzugriff auf die Cloud-Ressourcen eines Unternehmens nutzen, die möglicherweise schwächer geschützt seien als Netzwerk-Ressourcen. Ebenso könnten sie sich im Unternehmensnetz seitwärts bewegen, sobald sie sich einmal Zugang verschafft haben.
Bei den anspruchsvollsten Angriffen könnten diese Aktionen miteinander kombiniert werden. Dabei nutzten die Angreifer manchmal gestohlene Zugangsdaten gleich mehrerer Mitarbeiter, um in Netzwerke einzudringen, sich darin zu bewegen, Privilegien zu nutzen und dann auf Daten zuzugreifen und diese zu stehlen.

Arbeitskräfte sensibilisieren und weiterbilden!

Die Möglichkeit der Prävention werde in diesem Zusammenhang allzu oft übersehen. Unternehmen sollten ihre Arbeitskräfte dafür sensibilisieren und durch Weiterbildung dafür sorgen, dass die Benutzer Phishing- und Spam-Angriffe besser erkennen. Ebenso empfehle sich die Nutzung von Passwort-Managern, um einzigartige, komplexe Passwörter für jeden Bereich einfach zu verwalten.
Die Technologie für Authentifizierung sei auch dabei, aufzuholen: Die jüngsten Fortschritte in der Zwei-Faktor-/Multifaktor-Authentifizierung (2FA/MFA) und bei den Einmal-Passwörtern (OTP) stellten die besten langfristigen Ansätze zur Vermeidung von Zugangsdaten-Diebstahl dar.

Weitere Informationen zum Thema:

paloalto NETWORKS, 21.03.2017
Credential-Based Attacks: Exposing the Ecosystem and Motives Behind Credential Phishing, Theft and Abuse

datensicherheit.de, 23.03.2017
Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks

[datensicherheit.de, 17.03.2016] Große Ereignisse werfen ihre Schatten voraus – die Europäische Datenschutz-Grundverordnung kommt – und mit ihr das Instrument der „Datenschutz-Folgenabschätzung“. Für Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bergen, sollen künftig laut Artikel 33 der Grundverordnung vorab die Folgen der vorgesehenen Verarbeitungsvorgänge abgeschätzt werden. Dies gilt insbesondere für die Verwendung neuer Technologien.

Datenschutzvorsorge im Interesse der Bürger

Ziel der Maßnahme sei „eine gute Datenschutzvorsorge im Interesse der Bürgerinnen und Bürger“, so das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD): Bestehende Mängel und Risiken in Verfahren und Systemen sollten frühzeitig identifiziert und vor der Inbetriebnahme behoben werden.
Nach der Verabschiedung der Datenschutz-Grundverordnung, mit der im Frühjahr 2016 gerechnet wird, bleiben laut ULD zwei Jahre Zeit, bis die Datenschutz-Folgenabschätzung für möglicherweise kritische Verarbeitungen Pflicht wird. In der Übergangszeit gelte es, die genauen Anforderungen an eine Datenschutz-Folgenabschätzung zu erarbeiten.

Entwurf zur Ausgestaltung

Zur Ausgestaltung der künftigen Datenschutz-Folgenabschätzungen hat nach ULD-Angaben nun das interdisziplinäre „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ ein „White Paper“ vorgelegt, an dem Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des ULD mitgewirkt hätten.
Die Schrift „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ enthält grundlegende Informationen für alle, die aus jeweils unterschiedlicher Perspektive mit dem neuen Instrument zu tun haben werden – im politischen Entscheidungsprozess, in der Gesetzgebung, in der Technikgestaltung, in der Anwendungskonzeption und schließlich in der Prüfung der Datenverarbeitung. Das Dokument beschreibt demnach ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.

Auch beim Datenschutz: Vorsorge besser als Nachsorge

ULD-Leiterin Marit Hansen begrüßt das „White Paper“ und betont: „Vorsorge ist besser als Nachsorge – auch beim Datenschutz. Folgenabschätzungen können helfen, Datenschutz von Anfang an in die technischen Systeme einzubauen.
Aber nicht nur in der Technik – im Gesetzgebungsprozess seien sie ebenfalls hilfreich, um Risiken für den Datenschutz zu erkennen und geeignete Gegenmaßnahmen zu treffen. Jetzt komme es darauf an, praktikable Methoden für die Datenschutz-Folgenabschätzung zu etablieren, bei denen etwaige Risiken nicht versteckt, sondern sichtbar gemacht und behandelt würden. Wesentlich sei die Dokumentation der Verarbeitungsprozesse“, so Hansen. „Wer beispielsweise die Anforderungen aus dem Landesdatenschutzgesetz Schleswig-Holstein und der schleswig-holsteinischen Datenschutzverordnung umsetzt, ist gut aufgestellt für die Folgenabschätzung.“ Außerdem stehe bei Bedarf das ULD zur Beratung zur Verfügung.

Kostenloser Download:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 17.03.2016
„Datenschutz-Folgenabschätzung – ein Werkzeug für einen besseren Datenschutz“
White Paper des Forums Privatheit und selbstbestimmtes Leben in der Digitalen Welt

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

[datensicherheit.de, 17.10.2013] Huawei veröffentlichte heute, 18.10.2013, sein Cyber Security White Paper. Damit möchte sich das Unternehmen in die anhaltende Diskussion der internationalen IKT-Branche zum Umgang mit den aktuellen Cyber-Herausforderungen einbringen. Im White Paper wird erläutert, wie Cyber Security zu einem integralen Bestandteil eines Unternehmens wird und die Forderung nach einheitlichen internationalen Cyber-Sicherheitsstandards bekräftigt .

Vor einem Jahr hat Huawei das erste White Paper zu diesem Thema veröffentlicht und damit seine Absicht und Verpflichtung bekräftigt, gemeinsam mit anderen Akteuren des öffentlichen und privaten Sektors die Vorteile von Technologie und Globalisierung zu nutzen und zugleich den damit verbundenen Herausforderungen pragmatisch zu begegnen. Seither hat sich auf globaler Ebene die Zusammenarbeit beim Thema Cyber Security verstärkt. Immer mehr Länder verfolgen einen pragmatischen Ansatz und setzen die Entwicklung von Sicherheitsgesetzen und -vorschriften auf ihre Agenda.

Das aktuelles White Paper beschreibt den ganzheitlichen Cyber Security Ansatz des Unternehmens im Detail, einschließlich eines stärker praxisbezogenen Überblicks über Huaweis Ansatz bei der Entwicklung, Herstellung und dem Einsatz von Technologien. In allen Prozessstufen sind Cyber Security Ansätze integriert. Sowohl in der übergreifenden Strategie und Organisationsstruktur, als auch in den täglichen Prozessen und Standards, im Personalmanagement, der Forschung und Entwicklung, Sicherheitsprüfungen, Lieferantenmanagement, Produktion, Lieferung, Rückverfolgung und Dienstleistung.

„Wenn wir bei Huawei den Sicherheitsaspekt berücksichtigen, sprechen wir nicht nur über die Probleme von gestern oder die aktuellen Herausforderungen. Wir legen unseren Fokus vor allem auf eine sichere Zukunft, in der unsere Welt sich dramatisch verändern wird“, sagte John Suffolk, Global Cyber Security Officer von Huawei. „Mit Blick auf die Zukunft wird die Notwendigkeit internationaler Industriestandards für Cyber Sicherheit deutlich.“

Je wichtiger IKT-Lösungen für unser Leben und unsere Geschäfte werden, desto mehr müssen die damit verbundenen Herausforderungen für die Branche gemeinsam auf nationaler und internationaler Ebene angegangen werden. Die aktuelle Veröffentlichung ist Teil der Bestrebungen von Huawei, einen Beitrag zu diesem zunehmend wichtigen Thema zu leisten.

„Wir hoffen, dass dieses White Paper als Katalysator für einen breiten, partnerschaftlichen und verantwortungsbewussten Dialog zwischen dem öffentlichen und privaten Sektor wirkt und damit den gemeinsamen Cyber Security Zielen dient“, so John Suffolk.

John Suffolk auf der Seoul Conference on Cyberspace 2013

Auf einer Podiumsdiskussion während der Konferenz zum Cyberspace in Seoul am 17. Oktober teilte John Suffolk seine Ansichten zum Umgang mit den Bedrohungen und Herausforderungen von Cyber Security. Er sagte: „Es ist Zeit, beim Thema Sicherheit den Reset-Knopf zu drücken und uns zu fragen, inwieweit wir uns für die Zukunft einen neuen Umgang mit Sicherheitsfragen wünschen und wie wir kooperieren können, um neue Verhaltensnormen, Standards und Gesetze zu definieren, mit denen ein Ausgleich zwischen Privatsphäre und Sicherheit hergestellt werden kann.“

„Das Problem mit Standards heutzutage ist, dass sie nicht standardisiert sind. Je mehr Regierungen, Unternehmen und Technologieanbieter gemeinsame Standards erarbeiten, ihren Zweck und ihre positive Wirkungen sehen und sich für eine effektive Umsetzung  -auch durch die Kaufkraft der Abnehmer – einsetzen, umso mehr wird die Welt beginnen, den Unterschied zu realisieren. Hierbei geht es nicht darum, alle Probleme zu lösen, sondern ein gemeinsames Verständnis zu entwickeln, welche Probleme wir lösen wollen und wie dies geschehen soll.“

„Wir wissen, dass wir noch viel tun müssen, um unseren Ansatz kontinuierlich weiter zu verbessern. Wir haben uns jedoch zur Offenheit und Transparenz verpflichtet und sind der Ansicht, dass unsere Fähigkeit, bessere und qualitativ hochwertige Produkte und Dienstleistungen anzubieten, wächst, je mehr Menschen unsere Richtlinien und Verfahren überprüfen, bewerten und in Frage stellen.“

John Suffolk schloss seine Ausführungen mit der Bemerkung ab: „Huawei wird weiterhin mit Regierungen, Kunden und anderen Akteuren daran arbeiten, die notwendigen Sicherheitsanforderungen auf offene, partnerschaftliche und transparente Weise zu erfüllen. Wir sind der Ansicht, dass wir nur durch eine internationale Zusammenarbeit von Technologieanbietern, Kunden und Gesetzgebern signifikante Fortschritte im Umgang mit Cyber-Herausforderungen erzielen können.“

In Deutschland stellten heute Ulf Feger, neuer Cyber Security Officer der Huawei Technologies Deutschland GmbH, und Olaf Reus, Mitglied der Geschäftsleitung von Huawei Deutschland, die aktuelle Cyber Security Strategie des Unternehmens vor.

Weitere Informationen zum Thema:

HUAWEI
Huaweis Cyber Security White Paper (Oktober 2013)

können Sie unter  herunterladen.