Im Kampf gegen Cyberkriminalität muss ein Chief Information Security Officer heute vielerlei Aufgaben bewältigen. Das sind die 10 größten Herausforderungen für CISOs.
Technisches Know-how zum Schutz kritischer Daten und Infrastrukturen muss ein Chief Information Security Officer (CISO) ebenso mitbringen wie Führungsqualitäten, um die Strategien gegenüber der Geschäftsleitung zu verantworten. Mitarbeitermobilität, die digitale Transformation, zunehmend intelligentere Angriffsszenarien und gesetzliche Vorgaben an den Datenschutz müssen in Einklang mit der Schutzstrategie gebracht werden, um opportunistische Angriffe ebenso erfolgreich abzuwehren wie Industriespionage. In Kooperation mit Cloud-Security-Evangelist Chris Hodson haben wir die zehn wesentlichen Herausforderungen für den Chief Information Security Officer zusammengefasst.
Ein Chief Information Security Officer muss zahlreiche Qualitäten in sich vereinen, um die Herausforderungen im Bereich IT-Sicherheit meistern zu können. Foto: alphaspirit - shutterstock.com
1. Überblick bewahren
CISOs laufen durch die digitale Transformation Gefahr, den Überblick über alle Daten zu verlieren. Vor einer Dekade oblagen Netzwerke und Anwendungen der Kontrolle der IT-Abteilung. Heute nutzen Anwender ihre eigenen Geräte und greifen über öffentliche Netze auf Cloud-Applikationen zu. Auch wenn Kosten, Elastizität und Produktivitätsvorteile für die Cloud sprechen, sind CISOs gefordert, in dieser mobilen, Cloud-orientierten Arbeitswelt den Einblick in diese Datenströme zurückzuerhalten, um sie auf mögliche Sicherheitsbedrohungen zu kontrollieren.
Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
2. Aussagekräftige Analysen
Unternehmen müssen sich nicht mehr die Frage stellen, ob sie zum Ziel von Angreifern werden, sondern wann. Die Geschäftsführung fordert vom CISO die Bestätigung, dass im Falle eines Sicherheitsverstoßes die Tools, Strategien und Ressourcen vorhanden sind, um die Situation zu bewältigen und eine Aussage zur Behebungsdauer der Gefahrenlage gemacht werden kann. Dementsprechend gilt es, Vorkehrungen zu treffen, um die Angriffe aufzuspüren. Dazu ist es nötig, die Anzeichen einer Kompromittierung zu erkennen, bevor potenzielle Malware Schaden anrichten kann. Das Board muss Worst-Case-Budgets für umfassende Cyber-Sicherheitsmaßnahmen bewilligen. Allerdings wird damit einhergehend die Anforderung an den CISO gestellt, für die Ausgaben einen Return-on-Invest zu liefern. Es gilt die Erwartungshaltung des Boards dahingehend zu relativieren, dass eine umfangreiche Sicherheitsstrategie das Risiko immer nur minimieren kann.
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
3. Verschlüsselter Datenverkehr
Die IT-Abteilung erhält durch die Verschlüsselung von Daten weniger Einblick und muss dementsprechend Abstriche hinsichtlich der Sicherheit machen. Da heute bereits 70 bis 80 Prozent des Internet-Datenaufkommens SSL-verschlüsselt ist, kann durch diese Datenströme ohne Inspektion Malware ins Unternehmen gelangen. Das Entschlüsseln von SSL-Daten zum Malware-Scan benötigt Zeit, Performanz und hat Auswirkungen auf die Kosten. Außerdem muss das Vorhaben im Vorfeld mit der Rechtsabteilung und dem Betriebsrat abgestimmt sein. Je nach Region gilt es dabei, die Rechtslage zu berücksichtigen und Datensicherheit gegen Datenschutz abzuwägen. Angesichts der Tatsache, dass zunehmend mehr Advanced Threats hinter SSL-verschlüsselten Datenströmen verborgen sind, sollte der CISO die Diskussion nicht scheuen und Maßnahmen ergreifen.
EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen" Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out" Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16 Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
4. Ransomware
Sind Unternehmen mit Ransomware infiziert, merken sie das innerhalb kurzer Zeit durch die Bildschirmanzeige oder durch Dateiendungen, die den Zugriff auf kritische Daten verweigern. Unternehmen stehen im Falle einer Infektion vor der Entscheidung, ob sie den Lösegeldforderungen nachkommen oder nicht. Der CISO entscheidet, ob er die Moral höher stellt als das Fördern der Erpressung.
Letztendlich kostet Stillstand durch den verweigerten Datenzugang Geld und schlimmstenfalls sogar Leben. Da die Verbreitung von Ransomware angesichts der potenziellen, monetären Gewinne für kriminelle Hacker nicht zurückgehen wird, sollten CISOs vorbeugende Maßnahmen mit auf ihre Agenda setzen. Schon jetzt wird Ransomware 2.0 vorhergesagt, die als logische Evolution alle netzwerkfähigen Geräte des Internet of Things ins Auge fasst.
5. Internet of Things
Das Internet of Things (IoT) wird die nächste Generation von Cybercrime definieren. Laut Gartner soll es 20 Milliarden IoT-Geräte bis zum Jahr 2020 geben, die geschützt werden müssen. Dazu zählen klassische Bürogeräte wie Drucker, Kopierer, Beamer ebenso wie weniger offensichtliche Geräte wie Kühlschrank, Kaffeemaschine oder Überwachungskameras. Hinzu kommen Heizung, Belüftung und Klimaanlagen, sowie Bewegungsmelder oder Beleuchtungssysteme, die über das Internet oder die Cloud ansteuerbar sind.
Das Internet of Things (IoT) wird die nächste Generation von Cyber Crime definieren. Foto: a-image - shutterstock.com
Alle diese Geräte einer modernen Büro- oder Produktionsumgebung stellen einen potenziellen Angriffsvektor dar. Der CISO ist gefordert, diese Bandbreite an Geräten und Technologien in das Sicherheitskonzept einzubeziehen. Das wird umso beschwerlicher durch den Kontrollverlust, der hinsichtlich der Geräte, der Netzwerke und der Anwendungen besteht, die durch Mitarbeiter zum Einsatz kommen. Für den CISO bedeutet das ein konsistentes Niveau an Due Diligence für alle Geräte, die Daten speichern, verarbeiten oder übertragen können.
6. Remote Access
Die nächste Herausforderung für CISOs besteht darin, sicheren Fernzugriff auf ihr Netzwerk zu gewährleisten. Malware, die sich auf dem Gerät eines vertrauenswürdigen Anwenders festgesetzt hat, kann durch den unbeschränkten Zugriff via VPN großen Schaden an internen Anwendungen anrichten. Drittparteien haben durch VPNs oftmals nicht nur Zugang zu Anwendungen, die sie im Rahmen der Zusammenarbeit mit dem Unternehmen benötigen, sondern auf das gesamte Netzwerk. CISOs müssen sich Gedanken machen, wem sie Zugang zu ihrem Netzwerk gewähren und auf welche Weise. Denn der Zugang zu Anwendungen muss nicht mit dem Zugriff auf das gesamte Netzwerk gleichgesetzt werden.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
7. Hausgemachtes DDoS
Unternehmen benötigen zunehmend mehr Bandbreite durch Smartphones, Tablet-PCs und Laptops, die stärker als je zuvor mit externen Netzen verbunden sind. Cloud-Applikationen tragen zudem zu den Kapazitätsanforderungen an ein Netzwerk bei. Hinzu kommt die allgegenwärtige Verfügbarkeit von Streaming-Services wie Netflix und Amazon Video oder neue Live-Streaming Angebote von Facebook oder Periscope. Die meisten Leitungen von Unternehmen sind nicht für solche Datenvolumen ausgelegt.
Ohne Bandbreitenoptimierung und Packet-Shaping-Technologie läuft ein Unternehmen Gefahr, dass durch die Datenmassen die Leitungen verstopft werden und dadurch der Zugriff auf geschäftskritische Anwendungen leidet. Eine weitere Herausforderung besteht in der Verfügbarkeit der Sicherheit, die dem erhöhten ohne Abstriche in der Kontrollfunktion dem Durchsatz standhalten muss.
8. Schutz gegen Unbekanntes
Blacklists greifen heutzutage nicht mehr als Sicherheitsansatz für IT-Sicherheit. Signaturen für Virenschutz oder IPS funktionieren nur bei bekannten Gefahren. Da Malware sich rasant verändert, kann sich ein CISO zum Schutz nicht mehr auf bekannte Malware-Pattern verlassen. Heuristische Verfahren, wie Sandbox-Technologien und künstliche Intelligenz werden nun herangezogen, um das Risiko von Zero-Day-Angriffen zu minimieren. Auch für Web-Security müssen CISOs umdenken. Traditionellerweise wird auf URL-Filter gesetzt, um den Zugang zu einigen Ecken des Internets zu sperren. Allerdings werden diese dunklen Ecken im Zeitalter von Malvertising und Drive-by-Downloads immer weniger greifbar. Bislang vertrauenswürde Webseiten werden durch Malware kompromittiert und fallen damit durch das Raster von URL-Filter, die auf Blacklisting basieren. Dadurch entsteht die Herausforderung, alle Webseiten-Inhalte kontinuierlich inline zu scannen, womit die entsprechende Leistungsfähigkeit eines Sicherheitsansatzes gefordert ist.
Das Darknet in Bildern
Enter the Dark In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf! Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit? Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
9. Veröffentlichungspflicht von Cyberangriffen
Die Einführung der General-Data-Protection-Regulation wird sich auf die Bewertung eines Hackerangriffs und die Ursachenforschung auswirken. Das Zeitfenster von 72 Stunden für die Berichterstattung einer Datenschutzverletzung bedeutet, dass Unternehmen wenig Spielraum für die Schadensanalyse bleibt. Deshalb müssen sie ihren Datenfluss besser verstehen und umfassenden Einblick in die generelle Bedrohungslage haben. Die schnelle Veröffentlichungspflicht stellt CISOs vor große Herausforderungen: Sollte eine vorsichtige Einschätzung eines Verstoßes vorgenommen werden oder vom Worst-Case-Szenario ausgegangen werden? Unternehmen sind gefordert, strukturierte Ablaufpläne im Vorgriff auf potenzielle Sicherheitsvorfälle zu entwickeln. Diese Pläne sollten einen Angriff zur Folgenabschätzung nachvollziehbar machen, Verantwortlichkeiten festlegen und den schnellen Zugang zu den benötigen Informationen sicherstellen.
Vorbeugende Schutzmaßnahmen für sich alleine gesehen reichen nicht mehr aus, um den Schaden durch Cyberangriffe möglichst einzudämmen. Die Bedrohungslage macht es erforderlich, eine mehrstufige Sicherheitsstrategie zu implementieren, die neben der Prävention auch die Erkennung und die Schadensbeseitigung umfasst. Die Notwendigkeit Angriffe frühzeitig zu erkennen führt vielfach dazu, dass IT-Security-Teams jeglichen Vorgang loggen und damit eine unüberschaubare Masse an Daten generieren.
Durch die Cloud, Mobilität, IoT und SaaS wird eine Unmenge an Informationen generiert, die ein Aufspüren von Schadcode schwieriger gestaltet. Eine Korrelation von Log-Daten verschiedenster Systeme, die unter Umständen unterschiedliche nicht kompatible Standards benutzen, birgt Fallstricke in der Analyse und führt nicht zur Problemlösung. CISOs benötigen zuverlässige Indikatoren für die Erkennung einer Kompromittierung und Intelligenz zur Gefahrensituation, um die Nadel im Heuhaufen erkennen zu können. (fm)
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?