IT-Sicherheitsbranche in der Pflicht
Den Weg ins System finden Hacker oft über den Weg des geringsten Widerstands. Schließlich handelt es sich bei modernen Cyberkriminellen um Profis mit Geschäftssinn. Die meisten IoT-Devices sind in Sachen Prozessor- und Storage-Kapazität limitiert. Bei vielen dieser "intelligenten" Systeme lassen sich derzeitige Security-Modelle nicht einfach 1:1 umsetzen. Das betrifft zum Beispiel die automatische Installation von Updates über das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und das Konfigurieren von Host-basierten Firewalls. Darüber hinaus spielt der Faktor Mensch eine große Rolle. Bedienungsfehler, unsichere Passwörter oder einfach Gutgläubigkeit stehen auf der Top-Ten-Liste der Sicherheitsbedrohung weit oben.
Nicht jeder Angriff auf IoT-Gerätschaften birgt die gleichen Risiken - während ein Angriff auf ein intelligentes Thermostat in einem Büro vielleicht nur dazu führt, dass die Klimaanlage mehr oder weniger kühlt, kann der Angriff auf das gleiche Thermostat in einem Kühlbecken eines Atomreaktors gravierende Konsequenzen haben.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Schwachstellen erkennen und IT-Systeme härten
Die offenkundigen Schwachstellen in der IT-Sicherheit zeigen, dass es für die Sicherheitsmaßnahmen eine gezielte Neuausrichtung und Priorisierung geben muss. Hierfür sind gestaffelte und aufeinander abgestimmte Maßnahmen zur Prävention, Detektion und Reaktion erforderlich. Eine entscheide Rolle spielt hierbei die Einschätzung der Gefahrenlage und die Entwicklung neuer Strategien für die Erkennung und Abwehr von Cyberangriffen.
1. Prävention
Die Angreifer optimieren ihre Angriffstechniken, sie planen ihr Vorgehen sehr genau und lange im Voraus. Sie suchen solange nach einem wunden Punkt im Unternehmensumfeld, bis sie schließlich in der Lage sind, Zugangsdaten abzufangen und sich somit unberechtigten Zugriff zu verschaffen - auch begünstigt durch unzureichende Authentifizierungsmaßnahmen. Der Fokus solcher Angriffsmethoden richtet sich vor allem auf Passwörter und Nutzerkonten. Starke Authentifizierungsverfahren - wie Multi-Faktor-Authentifizierung - sind in der Lage, die Zahl der Identitätsdiebstähle zu begrenzen und damit die Sicherheit zu erhöhen.
Des Weiteren sollte eine risikobasierte Analyse für den Schutz von Unternehmensinformationen die Basis eines jeden Sicherheitskonzeptes sein. Die Implementierung einer risikobasierten Authentifizierung stellt die effektivste Möglichkeit zur Streuung ihres Risikos und zur einfachen Gestaltung von Benutzerzugriff dar. Sie ermöglicht die Auswertung einer Reihe von kontextbezogenen Faktoren, die in Zusammenhang mit einem Zugriff stehen.
2. Detektion
Ist die Malware erst einmal eingedrungen, spielt es keine Rolle, ob der Angreifer aktuelle Zero-Day-Exploits nutzt; entscheidend wird sein, wie schnell ein Unternehmen den Angriff entdeckt und ob man in der Lage ist, adäquat darauf zu reagieren. Durch Einsatz von Security Information & Event Management (SIEM)-Technologien wird eine Grundkonfiguration für die normalen Aktivitätsmuster in der IT-Umgebung definiert. Auf diese Weise können Inkonsistenzen anhand einer Echtzeit-Sicherheitsanalyse identifiziert werden, ohne genau zu wissen, wonach eigentlich gesucht wird.
Mit einer Change-Monitoring-Lösung kann die SIEM-Lösung noch erweitert werden. Dabei werden die SIEM-Funktionen um Warnmeldungen zu unbefugtem Zugriff und Änderungen an geschäftskritischen Dateien und Systemen erweitert. Dies ermöglicht kürzere Warn- und Reaktionszeiten und reduziert das Risiko eines gravierenden Datenmissbrauchs erheblich.
3. Reaktion
Unkompliziertes Identitäts- und Zugriffsmanagement ist für eine schnelle Reaktion nicht nur im Angriffsfall von Bedeutung. Auch das Provisioning in der Cloud sollte Grundlage einer IAM-Strategie sein, sodass Zugriffsrechte für Cloud-Ressourcen automatisch gewährt oder entzogen und neue Anwendungen auf intelligente und effiziente Weise eingeführt werden können.
- Die Psychotricks des Social Engineering
Moderne Social-Engineering-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Wir zeigen Ihnen, mit welchen Psychotricks die Cyberkriminellen arbeiten. - Grundlegende Bedürfnisse
Beim Social Engineering geht es nicht um technische Machbarkeiten und Möglichkeiten. Der Social Engineer greift über grundlegende Bedürfnisse an. Hilfsbereitschaft. Leichtgläubigkeit, Neugier, (Wunsch nach) Anerkennung - er baut Druck auf und verbreitet Angst. Weil viele Menschen nach dem Motto "bloß kein Streit" verfahren, ist diese Strategie oft erfolgreich. - Soziale Eigenschaften
Unsere sozialen Eigenschaften können unsere sozialen Einfalltore sein. Nicht nur die Einschätzung Fremder bereitet vielen Menschen Probleme. Meist sind sie auch nicht in der Lage, ihre eigenen kommunikativen Stärken einzuschätzen. Ist es die Anerkennung oder womöglich Druck, mittels derer die Angreifer zum Ziel kommen? - Der Reiz des Verbotenen
Beim Social Engineering versuchen Angreifer Mitarbeiter von Unternehmen auszuhorchen oder zu Fehlhandlungen zu verleiten. Sie dazu zu bringen, Dinge zu tun, die sie nicht tun sollten. Ziel der Angreifer ist es, an Informationen zu gelangen, um Wirtschaftsspionage zu betreiben oder Geld zu ergaunern. - Digitale Kommunikation
Der souveräne Umgang mit Kommunikationsmedien und –kanälen führt zunehmend zu einer Auflösung der Unterscheidung von analoger und digitaler Kommunikation. Analoge Kommunikation bedient sich verschiedener Kanäle: verbal (Sprachinhalt), non-verbal (Körpersprache, Mimik, Gestik, Kleidung, Duft) und para-verbal (Sprechgeschwindigkeit, Stimmlage, Lautstärke). Digitale Kommunikation beschränkt sich häufig auf den Inhalt und Videotelefonie gaukelt vor, dass alle Sinne beteiligt sind. Das sind sie nicht. Deshalb ist digitale Kommunikation ein Risiko im Kontext von Social Engineering. - Falsche Tatsachen
Märchen bieten gestern wie heute geeignete Bilder fürs Social Engineering. In ‚Der Wolf und die sieben Geißlein‘ werden sogar Methoden beschrieben, die denen eines Social Engineers ähneln, beispielsweise geweißte Pfoten und erhöhte Stimme. Wenn wir uns dem Thema Social Engineering stellen, wird uns bewusst, dass Menschen sich im Verlaufe einer Entwicklung als ganz andere entpuppen können als vormals geglaubt. So anders, dass sich unsere Situation schlagartig und drastisch verändern kann. - Wirksamer Schutz vor Social Engineering
Basierend auf den Studienergebnissen setzt ein sinnvoller und funktionierender Schutz vor Social Engineering auf drei Ebenen an: 1. Bewusstsein für das eigene Kommunikationsverhalten entwickeln 2. Identifikation von relevanten sozialen Eigenschaften 3. Entwicklung einer geeigneten Sicherheits- und Unternehmenskultur
Künstliche Intelligenz erfordert Security Intelligence
Die Verbreitung von Wearables, Insideables und vernetzter Medizintechnik im Allgemeinen bedeutet mehr wertvolle Daten in mehr Händen als je zuvor, gepaart mit einer zunehmenden Angriffsfläche. Ob im Gesundheitswesen oder in anderen Wirtschaftszweigen - Sicherheitsexperten müssen sich darauf einstellen, dass ihr Verantwortungsbereich deutlich anwächst. Handelte es sich bei der ersten Welle vonByoDnur um Smartphones und Tablets, so tragen Nutzer bald eine viel buntere Schar von Geräten in die verschiedensten Netzwerke. Hinzu kommen neue Bedrohungen - oder alte Bedrohungen in neuem Ausmaß, wie etwa Ransomware.
Es gilt, diese Herausforderung ernst und zum Anlass zu nehmen, die bestehenden Abwehrtechniken zu prüfen. Wirksame, vielfältige und kontextbezogene Authentifizierung sowie funktionales Monitoring der Aktivitäten etwa durch SIEM helfen dabei, eine wirksame Prävention aufzubauen, um etwa Phishing-Attacken abzuwehren oder den Missbrauch von Mitarbeiterdaten schneller aufzudecken. Zuletzt sollte ein unkompliziertes Identitäts- und Zugriffsmanagement dafür sorgen, dass schnell auf Attacken reagiert werden kann. (fm)
- Security-Trends 2016
Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt. - Malware
Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen. - Datenschutzverletzungen
Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen. - Cyberkrieg
Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. - Internet of Things
Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist. - BYOD
Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter. - Wearables
Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen. - TOR
Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art. - Unbekannte Schwachstellen
Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert. - Mobile Zahlungssysteme
Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig. - Cloud-Speicher
Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.