[datensicherheit.de, 25.11.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ als vierte Edition den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ herausgegeben. Das BSI fordert von den Anbietern, dass diese wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionieren und einen elementaren Sicherheitsgewinn darstellen sollen.

Abbildung: BSI

E-Mail-Dienste seien ein zentraler Baustein digitaler Kommunikation und Identitätsverwaltung – doch der Schutz der Verbraucher vor Sicherheitsrisiken wie Phishing und Identitätsdiebstahl sei bei Webmail-Anbietern teilweise noch lückenhaft umgesetzt…

BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern

E-Mail-Dienste – vor allem sogenannte Webmailer, über einen Webbrowser genutzte E-Mail-Dienste – gelten inzwischen als integraler Bestandteil des Alltagslebens. Diese ermöglichen das Erstellen von E-Mails, ihren Versand an beliebige Kontakte sowie die Verwaltung eines Postfachs. Zu beachten ist, dass E-Mail-Adressen auch als Zugang für viele weitere Dienste genutzt werden.

• Somit sind sie eine wesentliche Schnittstelle digitaler Kommunikation und Identitätsverwaltung. Der Schutz der Verbraucher vor Sicherheitsrisiken wie zum Beispiel unsicheren Authentisierungsverfahren und Identitätsdiebstahl ist bei Webmail-Anbietern laut BSI „jedoch mitunter lückenhaft umgesetzt“.

Das neue BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern, um die Sicherheit der Verbraucher systematisch und zukunftsorientiert zu erhöhen.

BSI-Marktbeobachtung: Zahlreiche E-Mail-Dienste setzen noch in ihrer Standardkonfiguration allein auf Passwörter

„Das Whitepaper betrachtet dabei nicht nur technische Sicherheitsfunktionen, sondern auch ,Usability’, Transparenz und Vertrauen als wesentliche Bestandteile Digitaler Souveränität.“

• Marktsichtungen des BSI hätten ergeben, dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzten, um die Zugänge ihrer Kunden zu schützen – zumeist eben ohne Zwei-Faktor-Authentisierung (2FA). Eine solche müssten Nutzer dann oftmals erst in den „Einstellungen“ aktivieren.

Auch seien nachweislich sichere und praktische Alternativen zum Passwort – wie etwa die passwortlose Authentisierung mittels Passkey – immer noch wenig verbreitet oder würden nicht proaktiv angeboten.

BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“ fordert alltagstaugliche Schutzmaßnahmen

Die BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“, Caroline Krohn, kommentiert: „Ein elementarer Teil der E-Mail-Sicherheit lastet derzeit noch auf den Schultern der Anwenderinnen und Anwender. Sie sollen sich mit Zwei-Faktor-Authentisierung, Passkey und Verschlüsselung auskennen. Wir sehen die Verantwortung bei den Anbietern!“

• Diese müssten wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionierten und einen elementaren Sicherheitsgewinn darstellten. „Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich sind, entfalten sie ihre volle Wirkung“, betont Krohn.

Das nun publizierte Whitepaper „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienst“ sei zugleich Ansporn für E-Mail-Dienste und eine Einladung zur Zusammenarbeit: Seit Jahresbeginn 2025 habe das BSI den Dialog mit den E-Mail-Anbietern intensiviert – dieser Austausch solle nun ausgebaut werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Dialog für Cybersicherheit
Dialogteam des BSI / Caroline Krohn

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
Whitepaper des Digitalen Verbraucherschutzes #4: Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
WHITEPAPER #04:Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste / DIGITALER VERBRAUCHERSCHUTZ

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen

datensicherheit.de, 13.02.2025
Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand / Bundesamt für Sicherheit in der Informationstechnik und Deutschland sicher im Netz klären gemeinsam Verbraucher über Sicherheitsaspekte der E-Mails-Nutzung auf

[datensicherheit.de, 16.11.2025] Künstliche Intelligenz (KI) gilt inzwischen offenbar für eine Mehrheit der Befragten im industriellen Bereich als entscheidend für die eigene Wettbewerbsfähigkeit – ein neues Whitepaper des Digitalverbands Bitkom e.V. zur „Industrial AI“ zeigt hierzu den Status quo, Praxisbeispiele und politische Hebel auf.

Abbildung: Bitkom

Bitkom-Whitepaper „Industrial AI – Intelligenz für die Produktion von morgen“

„Industrial AI“ gilt als Schlüssel zur nächsten Stufe der Automatisierung

„Ob selbstlernende Roboter, vorausschauende Wartung oder simulationsgestützte Entwicklung – KI ist in der Industrie angekommen und gilt dort als der Schlüssel zur nächsten Stufe der Automatisierung.“

• Anfang des Jahres 2025 nutzten demnach bereits 42 Prozent der deutschen Industrieunternehmen KI in der Produktion. Diese sogenannte Industrial AI soll Prozesse optimieren, Ressourceneinsatz reduzieren, neue datenbasierte Geschäftsmodelle ermöglichen und die Zusammenarbeit zwischen Unternehmen, Forschung und Technologieanbietern stärken.

So seien 82 Prozent der Industrieunternehmen überzeugt, dass der KI-Einsatz zukünftig entscheidend für die Wettbewerbsfähigkeit der Branche sein werde.

Neues Bitkom-Whitepaper zur „Industrial AI“ veröffentlicht

Das neue Whitepaper „Industrial AI – Intelligenz für die Produktion von morgen“ soll nun einen Überblick über den Status quo, den Nutzen und die Voraussetzungen für „Industrial AI“ in Deutschland geben.

• „Anhand von Praxisbeispielen aus Forschung & Entwicklung, Produktion, Logistik und Infrastruktur werden die vielfältigen Anwendungsfelder entlang der gesamten Wertschöpfungskette aufgezeigt.“

Außerdem werde benannt, welche politischen Maßnahmen nötig sind, „damit erfolgreiche Projekte skaliert und Deutschlands Innovationsführerschaft gesichert werden kann – von Investitionen in Schlüsseltechnologien über praxisnahe Förderprogramme bis hin zu besseren Rahmenbedingungen für Zusammenarbeit und Fachkräfteförderung“.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Publikation / Industrial AI – Intelligenz für die Produktion von morgen

bitkom
Industrial AI – Intelligenz für die Produktion von morgen / Ein Bitkom-Report zu erfolgreichen KI-Anwendungen in der Industrie

bitkom
Industrial AI – The Future of Manufacturing / Einführung | Use Cases | Perspektive des Bitkom

datensicherheit.de, 19.04.2025
Latenzarmes Industrial IoT entscheidend für Erfolg smarter Industrie / Der Ausbau der Gigabit-Netze darf nicht ins Hintertreffen geraten – es gilt, das enorme wirtschaftliche IIoT-Potenzial zu erschließen

[datensicherheit.de, 10.11.2025] Generative Künstliche Intelligenz (KI) revolutioniert offensichtlich nicht nur zahlreiche Branchen – sie schafft andererseits auch neue Angriffsflächen und sicherheitstechnische Herausforderungen. Der TÜV Rheinland benennt hierzu den beispielhaften Fall, wenn Unternehmen große Sprachmodelle in „Chatbots“, Assistenzsystemen oder automatisierten Entscheidungsprozessen einsetzen. Welche spezifischen Risiken bei der Nutzung von „Large Language Models“ (LLMs) entstehen, erörtert der TÜV Rheinland in seinem aktuellen Whitepaper „Ist Ihr KI-System sicher?“. Zudem werde aufgezeigt, wie Unternehmen ihre KI-Anwendungen effektiv absichern können.

Warnung vor Angriffen mittels Manipulation von Eingaben und KI-Trainingsdaten

Das vorliegende Whitepaper beschreibt demnach, wie KI-Systeme angegriffen werden können. Ein Beispiel seien sogenannte Prompt Injections, bei denen Angreifer mit ihrer Eingabe das Modell manipulierten, damit es sich unvorhersehbar verhalte oder Informationen preisgebe – „und zwar solche, die nicht zugänglich sein sollten“.

• Weitere Risiken seien der unsichere Umgang mit den Ergebnissen generativer KI – etwa, indem Nutzer nicht validierte Codes ausführten – und die Manipulation von Trainingsdaten durch einen Angreifer.

Sowohl Angriffe als auch der falsche Umgang mit KI-Ergebnissen könnten fatale Folgen haben – von Datenlecks über fehlerhafte Entscheidungen bis hin zu wirtschaftlichen Schäden. Daher sei ein systematisches Risikomanagement für Unternehmen unerlässlich: Nicht zuletzt forderten dies auch zunehmend Regulierungen wie der „EU AI Act“. „Unternehmen müssen ihre Sicherheitskonzepte anpassen, um den Risiken von KI-Systemen gerecht zu werden“, unterstreicht Daniel Hanke, Experte für KI-Sicherheit beim TÜV Rheinland.

Pentests als Erfolgsindikator für KI-Sicherheit

Eine der wirksamsten Maßnahmen, um Bedrohungen frühzeitig zu erkennen und Schwachstellen zu schließen, sei das „Penetration Testing“ (Pentest): Im kontrollierten Rahmen simulierten Fachleute dabei Angriffe auf KI-Systeme, um potenzielle Schwachstellen zu identifizieren und zu beheben.

• Methoden wie „Black Box“- und „Gray Box“-Tests würden dabei an die Anforderungen von generativer KI angepasst. „KI-Systeme sind komplex und intransparent. Das erfordert neue Testansätze“, so Hanke.

Abschließend führt er aus: „Durch regelmäßige ,Penetration Tests’ können Unternehmen ihre Systeme widerstandsfähig machen und somit regulatorische Vorgaben erfüllen. Außerdem stärken sie so das Vertrauen von Partnern und Kunden.“

Weitere Informationen zum Thema:

TÜVRheinland
Über uns

TÜV Rheinland, 2025
Wie Sie eigene LLMs mit Penetration Testing und Best Practices gegen Risiken wappnen

Linkedin
Daniel Hanke – TÜV Rheinland Group

IBM, Cole Stryker & Mark Scapicchio
Was ist generative KI und wie funktioniert sie?

Fraunhofer IESE, Patricia Kelbert & Dr. Julien Siebert & Lisa Jöckel, 12.12.2023
Was sind Large Language Models? Und was ist bei der Nutzung von KI-Sprachmodellen zu beachten?

EU Artificial Intelligence Act
Die Gesetzestexte

datensicherheit.de, 13.06.2025
Generative KI boomt – zunehmende Sicherheitsrisiken als Kehrseite der Medaille / Zwar ermöglicht Generative KI beispiellose Produktivitätssteigerungen, gleichzeitig führt sie jedoch auch zu neuen, komplexen Risiken

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen / Neuer Report „Under the Hoodie: 2018 – Lessons From a Season of Penetration Testing“ von Rapid7 veröffentlicht

[datensicherheit.de, 12.09.2025] Das neue „HRM-Framework“ von KnowBe4 soll Unternehmen dabei helfen, Mitarbeiter durch datengestützte Erkenntnisse, kulturelles Verständnis und gezielte Maßnahmen aktiv in die Cyberverteidigung miteinzubeziehen. KnowBe4 hat am 10. September 2025 das Whitepaper „A Strategic Framework for Human Risk Management” veröffentlicht. Dieses beschreibt die Grundprinzipien eines modernen Ansatzes für „Human Risk Management“ (HRM) und wie Unternehmen dieses Rahmenwerk anwenden können, um ihre Sicherheitskultur zu stärken und messbare Veränderungen im Verhalten der Mitarbeiter zu bewirken.

Abbildung: KnowBe4

KnowBe4-Whitepaper: „A Strategic Framework for Human Risk Management“

KnowBe4-Whitepaper soll Unternehmen zum grundsätzlichen Umdenken motivieren

Plattformunabhängig agiere das „HRM-Framework“ als strategischer, auf Menschen zentrierter Ansatz für Cybersicherheit, um durch menschliches Verhalten verursachte Sicherheitsrisiken zu messen, zu verwalten und zu reduzieren.

• Dieses neue Rahmenwerk sei eine direkte Reaktion auf die zunehmenden Risiken und Anforderungen im Cyberraum – „wo menschliches Verhalten weiterhin ein primärer Angriffsvektor ist“.

Das Whitepaper mache deutlich, dass bei Unternehmen ein grundsätzliches Umdenken notwendig sei. Über den Einsatz traditioneller Security-Awareness-Programme hinaus müssten Organisationen die Art und Weise, wie der „Faktor Mensch“ innerhalb ihrer IT-Security-Strategie gemessen und verwaltet wird, reevaluieren.

Ein effektiver HRM-Ansatz setzt sich laut Knowbe4 aus den folgenden Kernprinzipien zusammen:

• Messung und Benchmarking
  Erfassen des von menschlichem Verhalten ausgehenden aktuellen Risikos innerhalb einer Organisation auf Grundlage einer Basisbewertung. 
• Einbeziehung und Unterstützung
  Etablieren einer Firmenkultur, in der Sicherheit als gemeinsame Verantwortung verstanden wird und nicht ausschließlich als Anliegen der IT-Abteilung. 
• Anpassung und Personalisierung
  Schaffen eines Angebots an maßgeschneiderten Schulungen und Coachings auf Basis individueller Risikoprofile. 
• Künstliche Intelligenz (KI) und Automatisierung
  Einsatz intelligenter KI-gestützter Technologien zur Bereitstellung von Echtzeit-Feedback, personalisierten Einblicken und automatisierten Interventionen. 
• Verdeutlichung der Vorteile
  Messbare Auswirkungen des Programms auf die allgemeine Sicherheitskultur des Unternehmens darstellen und kommunizieren.

KnowBe4 empfiehlt Unternehmen ganzheitlichen HRM-Ansatz

„Sicherheitsschulungen sind nach wie vor ein wichtiger Bestandteil jeder Verteidigungsstrategie, aber es ist an der Zeit, dass wir uns der Notwendigkeit eines ganzheitlichen Ansatzes für ,Human Risk Management‘ bewusst werden“, sagt Javvad Malik, leitender CISO-Berater bei KnowBe4.

• Er führt weiter aus: „Das bedeutet, dass Menschen in den Mittelpunkt jeder Sicherheitsentscheidung gestellt werden, dass Prozesse eingesetzt werden, die mit ihnen und nicht gegen sie arbeiten, und dass Strategien kontinuierlich auf der Grundlage von realem Verhalten angepasst werden!“

Anstatt also statische Regeln zu schaffen, versuche ein HRM-Ansatz, die Motivationen und täglichen Belastungen zu verstehen, welche die Entscheidungen der Mitarbeiter leiten, und sie zu befähigen, sicherheitsbewusste Entscheidungen zu treffen und zu einer modernen Sicherheitskultur beizutragen.

Weitere Informationen zum Thema:

knowbe4
About Us / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
Javvad Malik

knowbe4, 2025
Whitepaper: A Strategic Framework for Human Risk Management / What is Human Risk Management and Why Do Organizations Need it?

datensicherheit.de, 23.03.2025
State of Human Risk: Aktueller Mimecast-Report veröffentlicht / 75 Prozent der deutschen Unternehmen befürchten laut Report KI-gestützte Cyber-Attacken

datensicherheit.de, 17.08.2022
Zunahme der Human-Layer-Attacken: KnowBe4 stellt Informationen zur Abwehr bereit / KnowBe4 möchte Administratoren helfen, ihr Security Awareness Training zu intensivieren

[datensicherheit.de, 23.08.2024] Die deutsche Bundesregierung hat die Weichen für die nationale Umsetzung der NIS-2-Richtlinie der EU gestellt: Das Bundeskabinett hat sich auf einen Gesetzentwurf geeinigt, der nun durch vom Bundestag verabschiedet werden muss. „Es ist somit höchste Zeit sich mit den Anforderungen zu beschäftigen!“ Der IT-Sicherheitshersteller ESET hat hierzu ein neues Whitepaper zur NIS-2-Richtlinie veröffentlicht: „Der Countdown läuft: Wie Sie das Bewusstsein und die Umsetzung bei Führungskräften fördern“ soll IT-Sicherheitsverantwortlichen das richtige Handwerkszeug für die Kommunikation mit der Geschäftsführung bieten. „Sie erhalten hier nützliche Ratschläge, wie sie die Umsetzung der Richtlinie mit der Führungsebene kommunizieren und ihre Einhaltung durchsetzen. Das Whitepaper ist kostenlos zum Download verfügbar.“

Abbildung: eseT

eseT-Whitepaper zu NIS-2: CISO-Argumentationshilfen zur Chefsache…

NIS-2-Richtlinie als Chance für Unternehmen, ihre Cyber-Sicherheitsstrategien zu stärken und digitale Resilienz zu erhöhen

„Die NIS-2-Richtlinie bietet Unternehmen die Chance, ihre Cyber-Sicherheitsstrategien zu stärken und ihre digitale Resilienz zu erhöhen“, erläutert Phil Muncaster, Autor des Whitepapers. Führungskräfte müssten den durch Einhaltung der NIS-2-Richtlinie entstehenden Mehrwert erkennen und aktiv Maßnahmen ergreifen, um ihre Organisationen zu schützen.

Die NIS-2-Richtlinie umfasse ein breiteres Spektrum an Sektoren und führe strengere Sicherheitsanforderungen ein. Unternehmen müssten nun zehn vorgeschriebene Basissicherheitsmaßnahmen umsetzen und Vorfälle innerhalb von 24 Stunden melden. Bei grober Fahrlässigkeit könnten Führungskräfte persönlich haftbar gemacht werden. Die Strafen für Unternehmen könnten drastisch ausfallen: „Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen bei Vorfällen in wesentlichen Unternehmen.“

Bedeutung der Cyber-Sicherheit für den Unternehmenserfolg anhand der NIS-2-Richtlinie verdeutlichen

Die Bedeutung der Cyber-Sicherheit für den Unternehmenserfolg rücke immer mehr in das Bewusstsein der Managementebene. „CISOs“ sollten die Sprache der unternehmerischen Risiken sprechen und konkrete, anschauliche Beispiele nutzen, um Geschäftsführer zu überzeugen. Dies sei in vielen Fällen keine leichte Aufgabe: „Laut Studien besitzen nur fünf Prozent der europäischen Führungskräfte Erfahrung im Bereich IT-Sicherheit.“

Das vorliegende Whitepaper gebe deshalb wertvolle Ratschläge, „wie die Kommunikation mit Geschäftsführern und Vorständen aussehen kann“. Von der richtigen Sprache, der passenden Argumentationsstruktur bis hin zu einer Risikoanalyse: IT-Sicherheitsverantwortliche erhielten das geeignete Rüstzeug, um die Unternehmensleitung zu überzeugen.

Planung eines NIS-2-Compliance-Programms

Muncaster führt weiter aus: „Die richtigen Worte bei der Geschäftsführung zu finden, ist der erste Schritt. Sobald die Finanzierung eines NIS-2-Compliance-Programms beschlossen ist, gilt es das Projekt in die Tat umzusetzen.“ Das Whitepaper biete deshalb einen Leitfaden zur Planung eines solchen Programms.

Dazu gehörten die Durchführung einer GAP-Analyse, die Planung von Schulungen und Sensibilisierungsmaßnahmen sowie die Prüfung staatlicher Beihilfen zur Finanzierung der Compliance-Maßnahmen. Unternehmen sollten die Einhaltung der NIS-2-Richtlinie als Chance begreifen, um ihre Digitale Transformation und ihr Wachstum voranzutreiben.

Cyber-Resilienz in der EU soll durch NIS-2 gestärkt werden – höchste Zeit zum Handeln

Die NIS-2-Richtlinie sei entwickelt worden, um die Cyber-Resilienz in der EU zu stärken und Unternehmen dazu zu verpflichten, angemessene Sicherheitsmaßnahmen zu ergreifen.

„CISOs“ müssen nun die Führungsebenen von der Tragweite der NIS-2-Compliance überzeugen und sicherstellen, dass das jeweilige Unternehmen die Vorschriften einhält. „Das Whitepaper von ESET bietet wertvolle Einblicke und praktische Ratschläge, um Unternehmen auf diesem Weg zu unterstützen.“

Weitere Informationen zum Thema:

eseT
NIS2 wird Chefsache / Wie Sie Führungskräfte informieren und Ihr Unternehmen NIS2-READY machen

HEIDRICK & STRUGGLES, Alice Breeden & Sylvain Dhenin & Imke Lampe & Claire Skinner & Dr. Nicolas von Rosty
Board Monitor Europe 2022

datensicherheit.de, 22.08.2024
NIS-2-Richtlinie: Drängende Herausforderung für mehr Cyber-Sicherheit in der EU / Die NIS-2-Richtlinie der EU zielt darauf ab, die Cyber-Resilienz Kritischer Infrastrukturen zu stärken

datensicherheit.de, 25.07.2024
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen / Der Verband der Internetwirtschaft fordert Verlängerung der NIS-2-Umsetzungsfristen

datensicherheit.de, 11.07.2024
NIS-2: Europäisches Parlament verpflicht Unternehmen zum sorgfältigen Störungsmanagement / Nur wer jetzt vorausschauend plant und die NIS-2-Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen

datensicherheit.de, 03.07.2024
EU-Richtlinie NIS-2: Dirk Wockes Empfehlungen zur Zusammenstellung der eigenen Task Force / Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

[datensicherheit.de, 24.05.2022] Der TÜV-Verband, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Fraunhofer Heinrich-Hertz-Institut (HHI) haben nach eigenen Angaben in einem gemeinsamen Whitepaper ein Konzept für die Prüfbarkeit von Künstlicher Intelligenz (KI) vorgestellt. Die „Certification Readiness Matrix“ (CRM) beschreibt demnach, welche Prüfmethoden und Werkzeuge heute bereits vorhanden sind, um verschiedene KI-Sicherheitsaspekte beurteilen sowie zertifizieren zu können und in welchen Bereichen noch Forschungs- und Entwicklungsbedarf besteht. Hintergrund sei die geplante Regulierung von KI-Anwendungen in der Europäischen Union (EU).

Abbildung: TÜV VERBAND

TÜV VERBAND, BSI & Fraunhofer HHI: Whitepaper „Towards Auditable AI Systems – From Principles to Practice“

Prüfmatrix unterstützt praktische Umsetzung der KI-Verordnung

„Die Prüfmatrix unterstützt die praktische Umsetzung der KI-Verordnung und zukünftiger Gesetzgebungsprozesse in der EU“, erläutert Patrick Gilroy, Referent „Künstliche Intelligenz und Bildung“ beim TÜV-Verband.

Im Rahmen der KI-Verordnung werde geregelt, wie die Sicherheit von besonderes kritischen KI-Anwendungen gewährleistet werden solle.

Dazu zählten beispielsweise die Steuerung von Fahrzeugen, medizinische Anwendungen, biometrische Verfahren oder mit Menschen zusammenarbeitende Roboter. „Je nach Risikoklasse der jeweiligen KI-Systeme sollen unterschiedliche Vorgaben gelten.“

Zertifizierungsmatrix stellt Methode zur Erfassung der Prüfbarkeit von KI-Qualitäts- und Sicherheitskriterien dar

Die Zertifizierungsmatrix stelle eine Methode zur Erfassung der Prüfbarkeit von Qualitäts- und Sicherheitskriterien von KI-Systemen dar und wende diese exemplarisch an. Sie berücksichtige dabei den gesamten Lebenszyklus komplexer KI-Anwendungen von der Datensammlung über die Trainingsphase bis zum Einsatz in der Praxis. Darüber hinaus beleuchte sie verschiedenste Aspekte der IT-Sicherheit.

„KI-Systeme müssen verschiedene Anforderungen erfüllen, um als sicher und vertrauenswürdig gelten zu können“, betont Gilroy. Dazu gehörten neben dem Schutz vor gesundheitlichen Gefahren auch die Abwehr von Cyber-Angriffen, die Robustheit gegenüber sich ändernden äußeren Einflüssen oder die Erklärbarkeit von Entscheidungen des KI-Systems.

Laut Gilroy geht man davon aus, dass sowohl Prüfer als auch Entwickler und Entscheidungsträger in der Industrie, Forschung und in Behörden von dieser „Certification Readiness Matrix“ profitieren könnten.

KI-Whitepaper im Rahmen einer gemeinsamen Workshop-Reihe entstanden

Das Whitepaper und die darin abgebildete „Certification Readiness Matrix“ seien im Rahmen einer gemeinsamen Workshop-Reihe von BSI, Fraunhofer HHI und TÜV-Verband entstanden, die jährlich anlässlich der „TÜV AI Conference“ stattfinde.

Die Diskussionen und Beiträge des letztjährigen Fachforums seien als Impulse eingeflossen und weiterentwickelt worden.

„Das Whitepaper, aber auch die gemeinsamen Veranstaltungen sind Ausdruck einer sehr intensiven und ergebnisorientierten Zusammenarbeit dreier Kompetenzpartner auf Augenhöhe. Diese Kooperation wollen wir weiter ausbauen“, unterstreicht Gilroy abschließend.

Weitere Informationen zum Thema:

TÜV VERBAND
Whitepaper | May 2022 / Towards Auditable AI Systems / From Principles to Practice

[datensicherheit.de, 18.08.2020] Das neue Whitepaper „Geheimnisschutz mit ISO-Normen und DS-GVO“ der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) steht ab sofort zum Download bereit. Datenschutz- und Informationssicherheitsbeauftragte sollen damit einen Überblick über die Anforderungen des neuen Geschäftsgeheimnisgesetzes erhalten und erfahren, wie sie „Best Practices“ aus der ISO-Zertifizierung oder DS-GVO-Umsetzung als Blaupause für den Geheimnisschutz nutzen können.

Abbildung: DQS

Whitepaper zum Download: Geheimnisschutz mit ISO-Normen und DS-GVO

GeschGehG – neue Grundlage für Schutz von Betriebs- und Geschäftsgeheimnissen

Mit dem im April 2019 erlassenen Geschäftsgeheimnisgesetz (GeschGehG) hat der Gesetzgeber demnach „eine neue Grundlage für den Schutz von Betriebs- und Geschäftsgeheimnissen geschaffen“. Dabei seien die bisher geltenden Rahmenbedingungen in einer Reihe wichtiger Bereiche aktualisiert worden: Neben dem ausdrücklichen Schutz von „Whistleblowern“ und Journalisten sowie der Legitimation des „Reverse Engineering“ sei insbesondere auch der Schutz von Geschäftsgeheimnissen in Gerichtsverfahren neu geregelt worden.
Ab sofort gelte: „Wer sich die Option offenhalten möchte, juristisch gegen die Nutzung und Offenlegung schützenswerter Geschäftsinformationen vorzugehen, muss für die entsprechenden Informationen präventiv und nachweisbar angemessene Geheimhaltungsmaßnahmen etablieren.“ Unternehmen müssten den Geheimnisschutz also organisieren und wertvolle Informationen systematisch erfassen, klassifizieren und schützen. Der subjektive Geheimhaltungswille reiche nicht mehr.

Organisation des Geschäftsgeheimnisschutzes beginnt i.d.R. nicht bei null

„Das GeschGehG definiert sehr elegant, wie aus einer Information ein Geschäftsgeheimnis wird. Nur wer angemessene Geheimhaltungsmaßnahmen ergreift, kann Ansprüche nach dem GeschGehG geltend machen“, erläutert Volker Caumanns, Experte für Informationssicherheit und Datenschutz bei der envigration GmbH (Berlin) und Autor des DQS-Whitepapers.
Die Umsetzung dieser Vorgabe klinge zunächst nach einem erheblichen Mehraufwand. Doch in der Regel beginne die Organisation des Geschäftsgeheimnisschutzes nicht bei null. Das Rahmenwerk, welches die Unternehmen im Zuge der DSGVO-Umsetzung etabliert hätten, liefere ein „hervorragendes technisches und organisatorisches Gerüst für den Geschäftsgeheimnisschutz“ – und auch ISO-Managementsystemnormen lieferten viele hilfreiche Ansätze.

ISO-Normen 9001 und 27001 sowie DSGVO als Muster für Geschäftsgeheimnisschutz

Um Datenschutz- und Informationssicherheitsbeauftragte bei der Organisation des Geschäftsgeheimnisschutzes zu unterstützen, hat die DQS nach eigenen Angaben jetzt das neue Whitepaper „Geheimnisschutz mit ISO-Normen und DS-GVO“ veröffentlicht. „Die DQS-Experten fassen darin die wichtigsten Neuerungen und Handlungserfordernisse des neuen Gesetzes kompakt und verständlich zusammen und erläutern, worauf es bei der Umsetzung zu achten gilt.“
Im Fokus stehe dabei die Frage, wie Unternehmen die ISO-Normen 9001 und 27001 sowie die DSGVO als Muster für den Geschäftsgeheimnisschutz nutzen könnten. Hinzu kämen praktische Tipps für die Erfassung und Klassifizierung von Informationen sowie „Best Practices“ zu angemessenen Geheimnisschutzmaßnahmen und zur Risikobeurteilung.

Weitere Informationen zum Thema:

DQS.The Audit Company.
Whitepaper / Geheimnisschutz mit ISO-Normen und DS-GVO

DQS.The Audit Company.
On-demand-Web-Seminar / Schutz Ihrer Geschäftsgeheimnisse gesetzlich gefordert – Was ist zu tun?

[datensicherheit.de, 24.12.2019] Nach Angaben von Vectra hat das SANS Institute im Auftrag das Whitepaper mit dem Titel „Threat Hunting with Consistency“ veröffentlicht. Dieses stellt demnach einen alternativen Ansatz für die Bedrohungssuche vor: „Dieser Ansatz setzt voraus, die ,MITRE ATT&CK Matrix‘ als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen – wie Privilegieneskalation, Seitwärtsbewegung und Exfiltration – die Absicht von Bedrohungsakteuren zu identifizieren, bevor die Analysten diesen Aktivitäten im Detail nachgehen.“ Hierbei gelte es, die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren verknüpfen.

Unbekanntes: Sicherheitsteams haben nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang

Dadurch werde die Bedrohungssuche im Kontext der Frage ausgeführt, wie ein Angreifer ein bestimmtes Ziel in der jeweiligen Umgebung erreichen kann. Es gehe auch darum, dass ein Sicherheitsteam ein gemeinsames Vokabular findet, um die Bedrohungsjagd konsistent zu machen.
Leider hätten viele Sicherheitsteams nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang mit dem „Unbekannten“. Das Unbekannte beziehe sich auf Ereignisse, welche das Unternehmen noch nicht erlebt hat.
Sicherheitsteams nutzten sowohl die Erfahrung der Analysten als auch das institutionelle Wissen aus früheren Vorfällen. „Wenn ein Unternehmen sein institutionelles Wissen nicht pflegt und dafür sorgt, dass es abrufbar ist, müssen Analysten mit dem beginnen, was sie wissen: Dies ist die erste Hürde, an der die Bedrohungsverfolgung bereits scheitern kann.“

Vectra-Whitepaper soll neuen Ansatz aufzuzeigen mit der Bedrohungssuche umzugehen

Frühere Techniken der Bedrohungssuche hätten sich auf das konzentriert, was ein Analytiker in Bezug auf die Umgebung weiß oder vermutet. Gängige Ansätze für die Bedrohungssuche umfassten das Auffinden von bekannten bösartigen Prozessbeziehungen oder Parametern der Befehlszeilenausführung, die Suche nach Missbrauch oder unerklärlicher Aktivität von privilegierten Konten sowie das Auffinden von Feeds von Drittanbietern, die Indikatoren für die Aktivität von Bedrohungsakteuren lieferten.
Zur richtigen Zeit während eines Angriffs oder einer Malware-Infektion könnten nach Meinung von Vectra einige der genannten Techniken bei der Identifizierung bösartiger Aktivitäten äußerst nützlich sein. Es seien jedoch nur punktuelle Maßnahmen: „Wenn ein Bedrohungsakteur nicht gerade dabei ist, die beschriebenen Aktivitäten durchzuführen, oder wenn das Unternehmen nicht über eine langfristige Datenspeicherung verfügt, wird eine Bedrohung gar nicht oder zu spät erkannt.“
Ziel des Vectra-Whitepapers sei es eben, einen neuen Ansatz aufzuzeigen, wie Unternehmen mit der Bedrohungssuche umgehen. Anstatt über einzelne Teile nachzudenken oder betriebssystemspezifische Begriffe zu verwenden, sollten sie ihre „Umgebung als eine Einheit betrachten, die auf Bedrohungen auf unterschiedliche, aber zusammenhängende Weise reagiert“. Darüber hinaus sollten sie ihre Umgebung in der gleichen Weise betrachten, wie es die Bedrohungsakteure tun würden, um deren Techniken gezielt abzuwehren.

Autoren des Vectra-Whitepapers empfehlen, „ATT&CK Matrix“ von MITRE zu verwenden

Wenn die Herangehensweise neugestaltet wird, sollte auch das Fachvokabular neugestaltet werden. Hierbei empfehlen die Autoren des Whitepapers laut Vectra, die „ATT&CK Matrix“ von MITRE zu verwenden, um ihre Bedrohungsjagdaktivitäten in einen konsistenten Rahmen zu fassen. „Indem sich Sicherheitsanalysten auf die Frage konzentrieren, wie ein Bedrohungsakteur einen bestimmten Teil eines Angriffs ausführen könnte, müssen sie die wichtigsten Teile der Umgebung berücksichtigen und wie diese zusammenwirken.“
Wenn Analysten beispielsweise das Konzept der Exfiltration untersuchen, würden standardmäßig Netzwerk- und Host-basierte Hinweise kombiniert. Beide seien nützlich und sollten gemeinsam genutzt werden, um nach einer Technik und nicht nach einer Idee zu suchen. Wenn „ATT&CK“ als Leitvokabular verwendet wird, beginnen sich laut Vectra die internen Prozesse zu verändern. Das Team werde sich mit der Suche nach Anzeichen von Exfiltration oder Privilegieneskalation vertraut gemacht haben und könne bei Bedarf den Fokus einschränken.
Durch die Verwendung dieser neuen Sprache werde das Team auch „die Umgebung als das sehen, was sie ist“: Ein Konstrukt mit mehreren Teilen, die zusammen funktionierten, mit Aktionen und Reaktionen innerhalb dieser Umgebung. Erst wenn das eigene Unternehmen mit den Augen eines Bedrohungsakteurs betrachtet werde, ließen sich wirklich Hinweise auf bösartige Aktivitäten finden.

Weitere Informationen zum Thema:

VECTRA, Dezember 2019
WHITE PAPERS / SANS: Threat hunting with consistency

datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking

[datensicherheit.de, 17.12.2019] Die carmasec Ltd. & Co. KG nimmt Stellung zu dem Gesetz zum Schutz von Geschäftsgeheimnissen, welches im April 2019 in Kraft getreten ist. Darin werde die Ergreifung „angemessener Geheimhaltungsmaßnahmen“ zum Schutz von unternehmensinternem Know-how definiert. Unternehmen müssten nun, um Anspruch auf Unterlassung oder Schadensersatz geltend machen zu können, zur Sicherung ihrer Geschäftsgeheimnisse proaktiv Maßnahmen ergreifen. Diese zielten zu einem großen Teil auf die Erhöhung der Cyber-Sicherheit ab. carmasec stellt nach eigenen Angaben hierzu ein kostenloses Whitepaper zum Thema „Was ist neu am Geschäftsgeheimnisgesetz (GeschGehG) – aus Sicht der Cybersicherheit?“ sowie eine Checkliste für eine erste Bestandsaufnahme zur Verfügung.

GeschGehG von vielen unbemerkt in Kraft getreten

Von vielen unbemerkt sei im April 2019 das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Es definiere zielführend Schritte zu einer notwendigen und effektiven Sicherung von Unternehmens-Know-how zugunsten der Geheimnisinhaber.
Für Unternehmen änderten sich insbesondere die Anforderungen in Bezug auf die notwendige Implementierung von technischen und organisatorischen Maßnahmen.
Bislang habe es für den rechtlichen Schutz von Geheimnissen in Deutschland ausgereicht, den Geheimhaltungswillen hinsichtlich bestimmter Informationen nach außen in geeigneter Form zu dokumentieren. Mit der Einführung von sogenannten „angemessenen Geheimhaltungsmaßnahmen“ im GeschGehG müssten Unternehmen Geschäftsgeheimnisse nun proaktiv schützen, um zukünftig Unterlassungen fordern oder Schadensersatzansprüche geltend machen zu können.

Hohe Relevanz: Maßnahmen zur Erhöhung der Cyber-Sicherheit

Der Umfang der zu ergreifenden Schritte hänge von der Art des Geschäftsgeheimnisses im Einzelnen und der konkreten Nutzung ab. Eine große Relevanz hätten hierbei Maßnahmen zur Erhöhung der Cyber-Sicherheit. Dies könnten u.a. der eindeutig geregelte Zugang zu Dokumenten sowie ihre sichere Aufbewahrung und Verschlüsselungsmaßnahmen aber auch intern neu geregelte Passwortregelungen und Vertragsanpassungen sein. Zudem gelte es, Richtlinien und Weisungen für Mitarbeiter zu dokumentieren und regelmäßige Schulungen zur Sensibilisierung durchzuführen.
Für Unternehmen steht nun laut carmasec eine Bestandsaufnahme an. Um bei diesem Schritt Orientierung zu bieten, hat carmasec eine Einführung in das Gesetz sowie einen Maßnahmenkatalog in einem Whitepaper zusammengestellt.

Weitere Informationen zum Thema:

carmasec
Whitepaper 11/2019: Was ist neu am Geschäftsgeheimnisgesetz (GeschGehG) – aus Sicht der Cybersicherheit?

carmasec
Checkliste / Gesetz zum Schutz von Geschäftsgeheimnissen

datensicherheit.de, 14.10.2019
GeschGehG: Das neue Geschäftsgeheimnisgesetz

[datensicherheit.de, 14.07.2019] Experten der Bitdefender-Labs ist es nach eigenen Angaben gelungen, den zeitlichen Verlauf eines Angriffs der „Carbanak“-Gruppe im Jahr 2018 auf eine osteuropäische Bank vollständig zu rekonstruieren. Neben einem „Whitepaper“ haben die Bitdefender-Experten den „Carbanak“-Angriff nun auch übersichtlich in einer Infografik dargestellt. Darin lasse sich eine genaue Beschreibung des Angriffs finden, die sehr plastisch vor Augen führen soll, wie die Cyber-Kriminellen vorgegangen sind, um Sicherheitslücken auszunutzen.

Abbildung: Bitdefender

Neues Whitepaper von Bitdefender: Blaupause eines Cyber-Angriffs

Mit Hilfe der „Cobalt Strike“-Malware 63 Tage durch die gesamte Infrastruktur bewegt

Experten der Bitdefender-Labs sei es gelungen, den zeitlichen Verlauf eines Angriffs der „Carbanak“-Gruppe vollständig zu rekonstruieren. Das Opfer sei eine osteuropäische Bank.
Die Rekonstruktion aller Aktivitäten der Attacke liefere wertvolle Erkenntnisse für die Sicherung Kritischer Infrastrukturen (Kritis) und zeige die Bedeutung von Endpoint-Security-Maßnahmen auf.
„Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich die Angreifer mit Hilfe der ,Cobalt Strike‘-Malware weitere 63 Tage durch die gesamte Infrastruktur, um das System auszuspähen und weitere Informationen für den finalen Raubüberfall zu sammeln. Wäre die Attacke erfolgreich gewesen, hätten die Kriminellen unbemerkt über das Geldautomatennetzwerk verfügen können.“

Infiltration mittels Spear-Phishing-Kampagne

Gegenstand der Untersuchung sei ein Angriff auf ein osteuropäisches Finanzinstitut im Mai 2018 gewesen. Die Infiltration mittels einer Spear-Phishing-Kampagne mit der URL „swift-fraud.com/documents/94563784.doc“ sowie der Einsatz der „Cobalt Strike Malware“ deuteten auf die „Carbanak“-Gruppe hin.
Die „Carbanak-Bande“ blicke auf eine lange Erfolgsgeschichte bei Angriffen auf Finanzinstitutionen zurück. Ihre Strategie ziele darauf ab, illegale Transaktionen durchzuführen oder Geldautomaten-Infrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert würden.
Mehrere der „Carbanak“-Gruppe zugeschriebene Spear-Phishing-Kampagnen zwischen März und Mai 2018 seien von Sicherheitsforschern analysiert worden. Diese Kampagnen hätten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch von Cyber-Sicherheitsunternehmen ausgegeben. Durch die Auswertung von „Threat Intelligence Feeds“ und Logfileanalysen der im Mai 2018 betroffenen Bank sei es Experten von Bitdefender nun gelungen, den zeitlichen Verlauf eines derartigen Angriffs detailliert zu rekonstruieren:

Tag 0: Die Infiltration

An einem regulären Arbeitstag um 16.48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen.
Das angehängte Dokument nutzt die „Remote Code Execution“-Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von „Microsoft Word“. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei „smrs.exe“ (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den „Cobalt Strike Beacon“ herunterlädt.
Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18.20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

Tage 1-28: Die Ausspähung

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten.
Am Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird.
Am Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet.

Tage 30-63: Die Informationssammlung und Vorbereitung des Diebstahls

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern.
Ab Tag 33 beginnen die Angreifer damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der „Cobalt Strike Beacon“ erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.
An Tag 63 schließlich verwischen die Angreifer ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.

Mittels „Money Mules“ ggf. beliebig oft den festgesetzten Höchstbetrag abheben können

Wäre der Angriff unentdeckt geblieben, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt. Damit wären sie in der Lage gewesen, das Auszahlungslimit an Geldautomaten mit einer vorab autorisierten Karte zurückzusetzen. Auf diese Weise hätten die vor Ort abgestellten „Money Mules“ beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass von dem betreffenden Automaten die Transaktion als verdächtig an die Bank gemeldet würde.
Im Allgemeinen sei eine Infiltration mittels Spear-Phishing-Kampagnen nicht ungewöhnlich, da es derartigen E-Mails meistens gelinge, Sicherheitsmaßnahmen auf Server-Ebene zu umgehen. Unternehmen könnten das Risiko einer Infektion minimieren, „wenn Endpoint-Security-Lösungen eingesetzt werden, die über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen“.
Ein Untersuchungsbericht fasst laut Bitdefender die zeitliche Abfolge und einzelnen Schritte der Attacke zusammen und steht zum Download zur Verfügung.

Abbildung: Bitdefender

Anatomie eines Bankenangriffs: Zeitspanne über 64 Tage

Weitere Informationen zum Thema:

Bitdefender/Labs, 04.06.2019
An APT Blueprint: Gaining New Visibility into Financial Threats

datensicherheit.de, 20.05.2019
KI-basierte Cyber-Angriffe: Präventive Sicherheitsmaßnahmen erforderlich

datensicherheit.de, 11.12.2018
Bitdefenders Cybersicherheitsprognosen: Top 10 für 2019