Computersysteme haben längst Einzug in alle Lebensbereiche gehalten. Durch den Einsatz dieser Technologien wurde und wird unser Leben zweifelsohne einfacher. Ob es sich um die Fahrzeugsteuerung in einem PKW oder um die digitale Zutrittssteuerung im Büro handelt - in vielen Fällen sind wir von diesen Systemen abhängig und müssen uns auf eine ordnungsgemäße Funktion verlassen. Die Eigenschaften von IT-Systemen werden maßgeblich durch ihre Software festgelegt. Dies reicht von integrierten Steuerungsanlagen bis hin zu Anwendungssoftware auf PC oder Notebook.
So unterschiedlich verschiedene Softwareprodukte sein können, eines haben sie jedoch gemeinsam: Alle enthalten Fehler, die zu Sicherheitslücken führen können. Wer diesem Problem sinnvoll begegnen will, muss sich von dem alten Grundsatz "Never change a running system" verabschieden. Wer seine IT-Systeme wirklich schützen will, muss IT-Sicherheit als kontinuierlichen Prozess verstehen - und in der Organisation entsprechend verankern.
Die größten Cyberangriffe auf Unternehmen
Die Top 15 Hacker-Angriffe auf Unternehmen
Unternehmen weltweit rücken seit Jahren in den Fokus von Hackern und Cyberkriminellen. Identitäts- und Datendiebstahl stehen bei den Anhängern der Computerkriminalität besonders hoch im Kurs - kein Wunder, dass Cyber-Risk-Versicherungen immer mehr in Mode kommen. Wir zeigen Ihnen 15 der größten Hacking-Attacken auf Unternehmen der letzten Jahre.
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Cicis
Auch die US-Pizzakette Cicis musste Mitte 2016 einen Hackerangriff eingestehen. Wie das Unternehmen mitteilte, wurden die Kassensysteme von 130 Filialen kompromittiert. Der Diebstahl von Kreditkartendaten ist sehr wahrscheinlich. Wie im Fall von Wendy's und Target gelang es Hackern auch bei Cicis Malware in das Point-of-Sale-Kassensystem einzuschleusen. Erste Angriffe traten bereits im Jahr 2015 auf, im März 2016 verstärkten sich die Einzelattacken zu einer groß angelegten Offensive. Nach eigenen Angaben hat Cicis die Malware inzwischen beseitigt.
Wendy's
Anfang Juli 2016 wurde ein Hacker-Angriff auf die US-Fastfood-Kette Wendy’s bekannt. Auf den Kassensystemen wurde Malware gefunden – zunächst war von weniger als 300 betroffenen Filialen die Rede. Wie sich dann herausstellte, waren die Malware-Attacken schon seit Herbst 2015 im Gange. Zudem ließ die Burger-Kette verlauten, dass wohl doch bis zu 1000 Filialen betroffen seien. Die Kreditkarten-Daten der Kunden wurden bei den Malware-Angriffen offenbar ebenfalls gestohlen. Wie im Fall von The Home Depot hatten sich die Hacker per Remote Access Zugang zum Kassensystem der Fast-Food-Kette verschafft.
Heartland Payment Systems
Noch heute gilt der 2008 erfolgte Cyberangriff auf das US-Unternehmen Heartland Payment Systems als einer der größten Hacks aller Zeiten wenn es um Kreditkartenbetrug geht. Heartland ist einer der weltweit größten Anbieter für elektronische Zahlungsabwicklung. Im Zuge des Hacks wurden rund 130.000.000 Kreditkarten-Informationen gestohlen. Der Schaden für Heartland belief sich auf mehr als 110 Millionen Dollar, die zum größten Teil für außergerichtliche Vergleiche mit Kreditkartenunternehmen aufgewendet werden mussten. Verantwortlich für den Hack war eine Gruppe von Cyberkriminellen. Deren Kopf, ein gewisser Albert Gonzalez, wurde im März 2010 wegen seiner maßgeblichen Rolle im Heartland-Hack zu einer Haftstrafe von 20 Jahren verurteilt. Heartland bietet seinen Kunden seit 2014 ein besonderes Security-Paket - inklusive "breach warranty".
Sony Playstation Network
Im April 2011 ging bei vielen Playstation-Besitzern rund um den Globus nichts mehr. Der Grund: ein Cyberangriff auf das digitale Serviceportal Playstation Network (PSN). Neben einer Ausfallzeit des PSN von knapp vier Wochen (!) wurden bei der Cyberattacke jedoch auch die Daten (Kreditkarteninformationen und persönliche Daten) von rund 77 Millionen PSN-Abonennten gestohlen. Sony informierte seine Nutzer erst rund sechs Tage über den Hack - und musste sich dafür harsche Kritik gefallen lassen. Die Kosten des PSN-Hacks beliefen sich auf circa 170 Millionen Dollar. Die Verantwortlichen wurden bislang nicht identifiziert.
Livingsocial.com
Die Online-Plattform Livinggsocial.com (inhaltlich vergleichbar mit Groupon) wurde im April 2013 Opfer eines Hacker-Angriffs. Dabei wurden die Passwörter, E-Mail-Adressen und persönlichen Informationen von circa 50 Millionen Nutzern der E-Commerce-Website gestohlen. Glücklicherweise waren die Finanzdaten von Kunden und Partnern in einer separaten Datenbank gespeichert. Die Verursacher des Security-Vorfalls wurden nicht identifiziert.
Adobe Systems
Mitte September 2013 wurde Adobe das Ziel von Hackern. Circa 38 Millionen Datensätze von Adobe-Kunden wurden im Zuge des Cyberangriffs gestohlen - darunter die Kreditkarteninformationen von knapp drei Millionen registrierter Kunden. Die Hacker die hinter dem Angriff standen, wurden nicht gefasst.
Target Corporation
Die Target Corporation gehört zu den größten Einzelhandels-Unternehmen der USA. Ende des Jahres 2013 musste Target einen Cyberangriff eingestehen, bei dem rund 70 Millionen Datensätze mit persönlichen Informationen der Kundschaft gestohlen wurden. Weitaus schwerer wog jedoch, dass unter diesen auch 40 Millionen Datensätze waren, die Kreditkarteninformationen und sogar die zugehörigen PIN-Codes enthielten. Für außergerichtliche Einigungen mit betroffenen Kunden musste Target rund zehn Millionen Dollar investieren, der damalige CEO Gregg Steinhafel musste ein halbes Jahr nach dem Hack seinen Hut nehmen.
Snapchat
Ein kleiner Fehler führte Ende Dezember 2013 dazu, dass Hacker die Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern veröffentlicht haben. Snapchat selbst geriet darauf ins Kritikfeuer von Nutzern und Sicherheitsforschern, denn wie so oft war die Ursache für die Veröffentlichung der Daten ein Mangel an Sicherheitsvorkehrungen. Die von Hackern verursachten Probleme sind jedoch meist weniger schlimm als der Schaden, der nach der Veröffentlichung folgt. Auch wenn man seinen Nutzernamen oder seine Telefonnummer nicht als großes Geheimnis ansieht – ein motivierter Angreifer wie ein Stalker oder ein Identitäts-Dieb könnten mit diesen Daten Übles anrichten. Dieser Hack zeigt wiederum, dass alle Daten wichtig sind - vor allem wenn sie den Nutzern gehören. Man kann mit Sicherheit davon ausgehen, dass die Entwickler von Snapchat diesen Sicherheitsfehler gerne vor den Hackern gefunden hätten.
Ebay Inc.
Im Mai 2014 wurde Ebay das Ziel von Cyberkriminellen. Zwar wurden bei der Attacke keine Zahlungsinformationen entwendet - dafür aber E-Mail-Adressen, Usernamen und Passwörter von knapp 145 Millionen registrierten Kunden. Die Hacker erlangten scheinbar über von Ebay-Mitarbeitern gestohlene Logins Zugriff auf die Datenbanken des Unternehmens. Die Verantwortlichen wurden nicht identifiziert.
J.P. Morgan Chase
Mit J.P. Morgan rückte im Juli 2014 eine der größten US-Banken ins Visier von Cyberkriminellen. Rund 83 Millionen Datensätze mit Namen, Adressen und Telefonnummern von Kunden fielen den Hackern in die Hände. Zugang erlangten die Kriminellen offensichtlich über gestohlene Login-Daten eines Mitarbeiters. Allerdings musste sich J.P. Morgan den Vorwurf gefallen lassen, seine Systeme nicht ausreichend zu schützen. Inzwischen wurden in den USA und Israel vier Personen festgenommen, die mutmaßlich an diesem Hack beteiligt waren.
The Home Depot
Die US-Baumarktkette The Home Depot wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot-Geschäften entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Millionen Dollar beziffert.
Anthem Inc.
Anthem gehört zu den größten Krankenversicherern der USA. Im Februar 2015 gelang es Cyberkriminellen, persönliche Daten von circa 80 Millionen Kunden zu stehlen. Die Datensätze enthielten Sozialversicherungsnummern, E-Mail-Adressen und Anschriften. Darüber hinaus wurden auch Gehaltsinformationen von Kunden und Angestellten entwendet. Immerhin: Medizinische Daten sollen nicht betroffen gewesen sein. Verschiedenen Security-Experten zufolge führt die Spur des Hacks nach China.
Ashleymadison.com
Anschriften, Kreditkartennummern und sexuelle Vorlieben von circa 40 Millionen Usern hat eine Hackergruppe namens Impact Team im August 2015 nach einem Cyberangriff auf das Seitensprung-Portal Ashley Madison öffentlich gemacht. Der Angriff bewies, dass Ashley Madison nicht – wie eigentlich versprochen – persönliche Informationen der Nutzer gegen eine Gebühr löschte. Das erbeutete 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen Datensätze, darunter 15.000 Regierungs- und Militäradressen von Nutzern. Auch Teile des Seitenquellcodes und interne E-Mails der Betreiber lagen dadurch offen. Aufgrund der intimen Nutzerdaten und der geheimnisvollen Natur von Ashley Madison ist dieser Hackerangriff besonders heikel. Dass die Betreiber persönliche Daten auch auf Wunsch nicht vernichtet haben, zeigt ein Problem von Unternehmen, die personenbezogene Daten auf verschiedenen Systemen verarbeiten. Aber auch solche Unternehmen müssen Nutzerinformationen gegen Gefahren schützen – ganz gleich, ob die Gefahr von externen Hackern, böswilligen Insidern oder zufälligen Datenverlusten ausgeht. Ein Ashleymadison-User hat inzwischen vor einem Gericht in Los Angeles Klage gegen Avid Life Media eingereicht. Der Vorwurf: fahrlässiger Umgang mit hochsensiblen Daten. Ein Antrag auf Sammelklage ist ebenfalls bereits eingegangen. Sollte das Gericht diesem folgen, könnten ALM Schadenersatzforderungen in Milliardenhöhe ins Haus stehen.
Gefahr durch bekannte Sicherheitslücken
Der Ursprung von Fehlern und damit Sicherheitslücken in IT-Systemen kann vielfältig sein. So fand beispielsweise ein Hacker im Jahr 2008 heraus, dass eine unzureichende Spezifizierung in den Kassensystemen des Discounters Lidl zu deren Absturz führen konnte. Die im April 2014 bekannt gewordene Schwachstelle in der Verschlüsselungsbibliothek OpenSSL mit dem Namen "Heartbleed" resultierte hingegen aus einem Implementierungsfehler. Unabhängig von Ursache und Auswirkung stellen Hersteller in der Regel Software-Updates bereit, welche bekannt gewordene Fehler beheben sollen. Gleichzeitig werden im Internet aber Informationen und Werkzeuge zur Ausnutzung dieser Sicherheitslücken gehandelt, mit denen nicht nur technisch versierte Nutzer großen Schaden anrichten können. Da eine Schwachstelle zum Zeitpunkt der Bereitstellung einer Fehlerbehebung (oder kurz danach) meist öffentlich bekannt ist, kann sie durch Angreifer aktiv ausgenutzt werden.
Die Betreiber von IT-Systemen sind daher gut beraten, Aktualisierungen zeitnah einzuspielen. Dies ist im Fall von regulärer Anwendungssoftware auf einem PC vergleichsweise einfach - kann im Fall von dezentralen und nicht vernetzen Systemen jedoch einen erheblichen Aufwand bedeuten. Ein aktuelles Beispiel dafür ist die Rückrufaktion von VW, bei der wegen des Abgasskandals allein in Deutschland hunderttausende Fahrzeuge zum Softwareupdate in die Werkstatt müssen.
Veraltete IT-Systeme sind keine Randerscheinung
In der Realität funktionieren Updateprozesse oft nicht reibungslos. In einigen Fällen stellen Softwarehersteller Aktualisierungen gar nicht oder nicht zeitnah zur Verfügung. Spätestens, wenn ein Produkt den regulären Lebenszyklus verlässt, werden keine neuen Versionen mehr bereitgestellt. In anderen Fällen scheitert der Prozess auf Seiten des Betreibers eines Systems. Die Gründe dafür sind vielfältig: zu hohe Komplexität beim Aktualisierungsvorgang, ein fehlender Prozess, mangelndes Bewusstsein oder Kompatibilitätsprobleme, um nur einige zu nennen. Ein alltägliches Beispiel dafür sind die Router von privaten Internetanschlüssen. Dem Benutzer fehlen oft das Bewusstsein und die Kenntnisse, um seinen Router auf einem aktuellen Stand zu halten. Automatisch ablaufende Updateroutinen gibt es meist nicht, und so steht die Sicherheitskomponente des Netzwerks selbst ungeschützt im Internet. Heise etwa hat mit automatisierten Scans verwundbare Geräte in sechsstelliger Höhe gefunden und nennt die Lage "nach wie vor desaströs".
Sehr schnell reagieren mussten Administratoren auf die bereits angesprochene "Heartbleed"- Schwachstelle in OpenSSL. Hier führt ein Programmierfehler dazu, dass Angreifer verschlüsselte Kommunikation mitlesen können. Sicherheits-Experten wie Bruce Schneier bezeichneten die Auswirkungen der Schwachstelle als Katastrophe. In Anbetracht dieser Bedrohungslage sollte eigentlich davon auszugehen sein, dass Administratoren ihre Systeme zeitnah aktualisieren. Doch eine Studie der Cybersecurity-Firma Venafi aus dem Jahr 2015 zeigt, dass selbst zwölf Monate nach Bekanntwerden von Heartbleed der Großteil der öffentlich erreichbaren Server der 2.000 größten Unternehmen weiterhin verwundbar blieb.
Die 7 meist verbreiteten Sicherheitslücken
Mangelhafte Code-Qualität
Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat der Security-Anbieter Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar.
Kryptographische Probleme
Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker.
CRLF Injections
Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz (=Zeilenumbruch) an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf.
Cross-Site-Scripting
Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben.<br /><br />Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection.
SQL Injections
Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen.
Directory Traversals
Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen.
Unzureichende Datenvalidierung
Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und "sterilisiert" werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.
Herausforderung Windows-XP-Ablösung
Plötzlich bekanntwerdende Sicherheitslücken stellen alle Organisationen, ob aus der Privatwirtschaft oder der öffentlichen Verwaltung, vor große Herausforderungen. Aber diese Herausforderungen kann es selbst dann noch geben, wenn der Handlungsbedarf schon seit langem bekannt und geplant ist. Als Beispiel sei hier das Ende des Supports für das Betriebssystem Windows XP genannt. Das bevorstehende Ende des Lifecycles wurde von Microsoft einige Jahre im Voraus angekündigt. Berichte der Fachmedien machen dennoch deutlich, dass große Organisationen ihre Schwierigkeiten mit der Umstellung von Windows XP auf Windows 7 hatten und haben. Mit entsprechenden Herausforderungen waren etwa auch der Deutsche Bundestag und die Berliner Landesverwaltung konfrontiert.
So binden Sie Ihre IT-Sicherheitsexperten
Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Die Lebenszyklen von Hard- und Software
Windows XP läuft aber nicht nur auf gewöhnlichen Rechnern, sondern auch auf speziellen Geräten mit besonderen Aufgaben, z.B. in der Medizintechnik. Ist der Lifecycle der Hardware aber länger als der der sie steuernden Software, laufen diese Geräte meist weiterhin mit einem veralteten Betriebssystem - und die neu entdeckten Sicherheitslücken der Software werden in diesen Fällen nicht geschlossen. Dabei spielt gerade in einem Bereich wie der Medizintechnik die Sicherheit eine ganz besondere, übergeordnete Rolle.
Bei Geldautomaten gestaltet sich die Situation ähnlich. Hier werden noch rund 95 Prozent der Systeme mit Windows XP betrieben. Wie Geräte in der Medizintechnik können auch Geldautomaten nicht ohne weiteres auf neue Versionen des Betriebssystems migriert werden. Während die Deutsche Kreditwirtschaft die fehlende Verbindung der Geldautomaten ins öffentliche Internet als Sicherheitsmerkmal ansieht - wodurch auf Windows XP basierende Geräte weiterhin sicher betrieben werden könnten - ist Kaspersky Labs der gegenteiligen Auffassung: Fast alle Geldautomaten seien wegen des veralteten Windows XP für Angriffe anfällig.
Strukturiertes Sicherheits- und Patchmanagement
Neue Sicherheitslücken können jederzeit entdeckt werden. Systeme nur einmalig abzusichern, ist somit unzureichend. Die Frage, ob Systeme ausreichend abgesichert sind oder nicht, muss kontinuierlich gestellt werden. Diese regelmäßige Überprüfung ist als betriebliche Aufgabe zu verstehen. Auf Grund der Komplexität und der Abhängigkeit von Komponenten und Systemen kann die Wirksamkeit der Absicherung erst nach Prüfung aller gemeinsam agierenden Sicherheitsmaßnahmen bewertet werden.
Die Herausforderung für alle Organisationen besteht darin, ein Managementsystem zu etablieren, damit diese Überprüfung im Rahmen der betrieblichen Aufgaben durchgeführt wird. Es ist entscheidend, bei Bedarf die notwendigen Änderungen in einem strukturierten Verfahren vornehmen zu können, ohne dabei den Betrieb und andere Systeme zu gefährden. Ein Sicherheits- und Patchmanagement (SuP), das in der Organisation verankert und standardisiert ist, kann die übergreifende Struktur für Abteilungen und Fachbereiche bieten. Zentrale Aufgabe des SuP ist es, sowohl planbare als auch nicht planbare, kurzfristige Änderungen an Systemen umzusetzen. Diese Änderungen können nicht nur Software-, sondern auch Hardwarekomponenten oder betriebliche Abläufe betreffen. Dabei gilt es, Abhängigkeiten zu betrachten, damit ungewollte Ausfälle von Diensten im Rahmen von Aktualisierungen vermieden werden.
Änderungen an Systemen ohne Abhängigkeiten lassen sich innerhalb der Organisationseinheit selbst umsetzen. Für größere und komplexere Änderungen ist es allerdings ratsam, ein übergreifendes Gremium zu etablieren. Ein Change Advisory Board (CAB), das standardisierte, aufeinander abgestimmte Abläufe und geregelte Verantwortlichkeiten aufweist, ist in der Lage, eingereichte Änderungsanträge strukturiert zu bearbeiten. In der Praxis hat es sich bewährt, dass in einem CAB alle relevanten Bereiche einbezogen werden - auch Stabsfunktionen wie etwa IT-Sicherheitsbeauftragter und Datenschützer. Entscheidungen, beispielsweise zur Einspielung von Software-Updates oder Hardwarewechseln, können dann unter Berücksichtigung aller betrieblichen und sicherheitsrelevanten Abhängigkeiten getroffen werden.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Lifecycle Management: Sicherheit durch regelmäßiges Ausmisten
In Organisationen kommen meist unterschiedliche IT-Systeme und Komponenten zum Einsatz, für die in der Regel verschiedene Fachbereiche zuständig sind. Jede Hardwarekomponente hat einen sogenannten Lifecycle, einen Lebenszyklus. In Abhängigkeit von diesem Lifecycle findet der Herstellersupport statt - und die Bereitstellung neuer Softwareversionen, die Fehler beseitigen und möglicherweise den Funktionsumfang erweitern. Fehlende (Sicherheits-)Funktionalitäten in einer Komponente können jedoch nicht immer durch eine einfache Aktualisierung der Firmware nachgerüstet werden. Im Sicherheitsbereich lassen sich beispielsweise nur dann neue kryptografische Algorithmen per Softwareupdate aufspielen und nutzen, wenn die eingesetzte Hardware diese Algorithmen auch unterstützt. Sollen jeweils aktuelle kryptografische Algorithmen eingesetzt werden, ist meist ein bedarfsgerechter Austausch von Komponenten erforderlich. Es gilt darum, neue Beschaffungen in Abstimmung mit den fachlich verantwortlichen Bereichen frühzeitig zu planen. Im Fokus dürfen dabei nicht nur funktionale Anforderungen stehen, sondern primär auch strategische und sicherheitsrelevante Anforderungen.
Ein gutes Beispiel für das Ende eines Software-Lifecycles liefert das GSTOOL vom BSI, das seit 1998 dabei unterstützt, Sicherheitskonzepte entsprechend dem IT-Grundschutz zu erstellen, zu verwalten und fortzuschreiben. Im Oktober 2014 kündigte das BSI die Einstellung und das Supportende von GSTOOL zum Ende des Jahres 2016 an. Die Nutzer sind seitdem aufgefordert, die Außerbetriebnahme ihrer GSTOOL-Instanz vorzubereiten und auf ein anderes Information Security Management System (ISMS) zu migrieren. Ein ISMS-Tool ist ein wesentlicher Baustein in der Sicherheitsorganisation, da mit diesem Werkzeug die Umsetzung von Sicherheitsmaßnahmen gesteuert werden kann. Die Verfahrensverantwortlichen für das ISMS-Tool sollten also umgehend mit gutem Beispiel vorangehen und den Einsatz eines Nachfolgers planen und realisieren.
Mehr Sicherheit durch stetige Veränderung
Die fortschreitende Verbreitung von IT-Systemen und deren Vernetzung haben die Herausforderungen für (IT-)Organisationen in den vergangenen Jahren deutlich gesteigert. Organisationen müssen Herausforderungen gesamtheitlich betrachten und neben technischen Fragestellungen auch ihre Prozesse aufeinander abstimmen. In diesem Kontext hat sich die Etablierung von standardisierten Prozessen bewährt. Dabei gilt das Prinzip: Nach der Absicherung ist vor der Absicherung. Es ist erforderlich, Sicherheitsmaßnahmen kontinuierlich zu überwachen und in Frage zu stellen. Dies müssen Organisationen als betriebliche Aufgabe verstehen - und entsprechend einplanen und umsetzen. Denn bekannte Sicherheitslücken, die noch nicht geschlossen sind, stellen vermeidbare Einladungen für alle Arten von Angreifern dar, von technischen Laien bis zu Geheimdiensten.
Technische Systeme zu warten, ist kein neues Konzept. Technische Anlagen in der Industrie werden ebenso regelmäßig überprüft und bei Bedarf repariert wie PKWs in Privathaushalten - es ist unerlässlich, IT-Systeme mit derselben Sorgfalt zu warten. Nur so lässt sich ein zuverlässiger Betrieb sicherstellen. Auch das BSI hat die neuen Herausforderung erkannt und mit der Modernisierung des IT-Grundschutzes reagiert. Dadurch soll die Absicherung von Komponenten und Prozessen zielgerichteter und schneller erfolgen können. Dieses neue Werkzeug wird dem BSI zufolge ab 2017 zur Verfügung stehen.
Der alte Grundsatz "Never change a running system" bietet eine unnötig große Angriffsfläche. Produktive Systeme müssen immer angefasst und angepasst werden. Eine Organisation, in der der Wille zur stetigen Weiterentwicklung mit ausreichenden Ressourcen untermauert wird, schafft die Voraussetzung für einen sicheren und zukunftsfähigen Betrieb. IT-Sicherheit muss als Prozess verstanden werden und bedarf der kontinuierlichen Verbesserung. Der neue Grundsatz sollte also lauten: Always change a running system. (fm)
Die Security-Trends 2016
Security-Trends 2016
Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt.
Malware
Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen.
Datenschutzverletzungen
Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen.
Cyberkrieg
Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken.
Internet of Things
Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist.
BYOD
Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter.
Wearables
Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen.
TOR
Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art.
Unbekannte Schwachstellen
Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert.
Mobile Zahlungssysteme
Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig.
Cloud-Speicher
Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.