Auf der RSA Conference findet man jede Menge Technologie aus allen Bereichen der IT-Sicherheit: Die Top-Anbieter aus der Industrie sind hier vertreten und präsentieren Produkte und Lösungen für den Kampf gegen Hackerangriffe. Doch selbst die beste Security-Software nutzt nichts, wenn User und Unternehmen nicht die richtigen Schritte zum Selbstschutz einleiten. Deswegen haben wir die Gelegenheit genutzt und auf der RSA Conference 2017 einige Expertentipps zur IT-Sicherheit eingeholt.
Foto: Michael Kan
Dell SecureWorks
Joe Stewart, Director of Malware bei Dell SecureWorks empfiehlt Zwei-Faktor-Authentifizierung. Und zwar für alle Internet-Konten - insbesondere aber für E-Mail-Accounts. Das kann ziemlich hilfreich sein, um Hacker davon abzuhalten, Passwörter von Usern per Malware oder Phishing abzugreifen.
Sogar wenn der Hacker es schafft, die Passwörter zu stehlen, schützt Sie die Zwei-Faktor-Authentifizierung vor so gut wie allen "gewöhnlichen" Angriffsarten. Für Sie bedeutet das, dass für den Zugriff auf Ihren Account neben dem Passwort noch eine zweite Form der Authentifizierung nötig wird - etwa per Fingerabdruck-Scan oder über einen Code, der per SMS aufs Smartphone kommt.
"Diese Vorgehensweise hilft gegen die meisten Online-Betrüger," weiß Stewart: "Das ist so, weil die meisten kriminellen Hacker nicht auf einem wirklich hohen Level agieren, wie es etwa für den Einsatz von Banking-Malware - die eine Zwei-Faktor-Authentifizierung umgehen kann - nötig wäre. So können auch viele Bedrohungen, die in den E-Mail-Postfächern von Unternehmen lauern, eliminiert werden."
CrowdStrike
"Unternehmen müssen sich erst einmal darüber bewusst werden, welche Assets sie eigentlich vor Hackerangriffen schützen möchten, statt einfach blind die neuesten Security-Produkte einzukaufen", meint Mike Sentonas, Vice President of Technology Strategy bei CrowdStrike.
Diese Assets können beispielsweise Personaldaten, geistiges Eigentum oder die Kunden-Datenbank sein. Deswegen rät der Experte: "Identifizieren Sie, welche Daten geschützt werden sollen. Dann sehen Sie sich an, wo die Daten liegen und wer darauf Zugriff hat."
Diese Vorgehensweise führe im Anschluss idealerweise zu Fragen wie ‚Brauchen wir Schulungen?‘ oder ‚Ist zusätzliche Manpower für eine stärkere Infrastruktur nötig?‘. "Es geht nicht immer darum, die neuesten und besten Widgets einzukaufen", weiß Sentonas. "Manchmal führt der Weg dahin, aber das sollte nicht der Startpunkt sein."
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
Fidelis Cybersecurity
Viele Leute glauben immer noch, dass sie niemals ins Visier krimineller Hacker geraten können. Wie Mike Buratkowski von Fidelis weiß, ist diese Annahme falsch: "Jedermanns Informationen sind wertvoll."
Zwar bestehe kein Grund für Paranoia - allerdings sei gesunde Awareness durchaus angebracht. Denn die Gefahr durch Hackerangriffe sei durchaus real - insbesondere für allzu naive User. Das gelte beispielsweise für Mitarbeiter in Unternehmen, die auf Phishing-E-Mails hereinfallen, weil sie glaubten die Nachricht entstamme einer vertrauenswürdigen Quelle.
"Man kann sich aber nie sicher sein, wer da wirklich am anderen Ende der Leitung sitzt", so Buratkowski.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Veracode
Chris Wysopal, CTO bei Veracode empfiehlt hingegen, sich nicht alleine auf Technologie zu verlassen - egal ob es sich dabei um Software oder Services handelt. "Es gibt keine hundertprozentige Sicherheit. Sie müssen damit rechnen, dass ihre Systeme kompromittiert werden. Deshalb sollten Sie darauf achten, nicht unnötigerweise Daten beispielsweise bei Facebook zu posten - außer Sie wollen diese wirklich mit aller Welt teilen."
Sowohl für Unternehmen, als auch für Privatpersonen sei gesunde Skepsis angebracht, so der Experte. Denn die Sicherheitsrisiken gingen nicht nur von kriminellen Hackern aus, sondern auch von Anbietern, die ihre Produkte nicht im Sinne der ‚due diligence‘ absichern.
"Sorgen Sie dafür, dass sich der Anbieter ihr Vertrauen erarbeitet", rät der CTO daher. "Ein Anbieter sollte Ihnen demonstrieren können, warum Sie ihm vertrauen sollten."
SentinelOne
Jeremiah Grossman von SentinelOne rät Unternehmen dazu, jedes Asset zu inventarisieren. Das helfe dabei, zu bestimmen, welche Ressourcen online verfügbar und eventuell angreifbar sind: "Wenn ein Unternehmen gehackt wird", so Grossman, "dann in der Regel deswegen, weil es Rechner, Router oder Webseiten gibt, von deren Existenz im Netzwerk man gar nichts weiß."
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Eine solche Inventarisierung könne bei kleinen und mittleren Unternehmen an einem Tag erledigt werden - ein Fortune-500-Konzern sollte laut dem Experten hingegen mehrere Wochen dafür einplanen. Erledigt werden könne das sowohl über interne Ressourcen, als auch per Outsourcing an ein Beratungsunternehmen.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation pcworld.com.