:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gute Planung ist alles 5 konzeptionelle Schwachstellen, die teuer werden können
Der Einsatz von leistungsstarken Security-Produkte ist kein Garant für eine funktionierende IT-Sicherheit! Die Suche nach toten Schnittstellen, fehlendem Know-how und dem TEAM-Gedanken (Toll, Ein Anderer Macht’s) fördert Security-Lücken zu Tage, die teuer werden können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
IT Sicherheit ist ein wesentlicher Bestandteil für den Unternehmenserfolg. Während bekannte Risiken wie z.B. Malware, Hacker oder DDoS-Angriffe minimiert werden, entstehen oft Schwachstellen bei der IT-Nutzung, um die sich so recht keiner kümmern will. Erschwerend kommt hinzu, dass man diese Lücken erst entdeckt, wenn man genau hinsieht bzw. etwas recherchiert und gelebte Verfahren hinterfragt.
Übergreifende fachliche Kompetenz und detaillierte Kenntnisse der internen Prozesse und Zuständigkeiten helfen, diese Schwachstellen aufzudecken. Auch ein gesunder Menschenverstand ist sehr nützlich, denn manche gelebte Lösung ist viel zu kompliziert, um effektiv zu sein. Vernetztes, übergeordnetes Denken im großen Rahmen wird zwar immer gefordert, aber im Berufsalltag dominiert oft noch eine monolithische Einstellung inklusive einer eingeschränkten Betrachtungsweise von Lösungen.
Gelten sollte: Wer im IT-Umfeld durch Modifikationen ein Problem oder eine Security-Schwachstelle erzeugt, muss sich auch um die Lösung bzw. Beseitigung kümmern und darf nicht darauf vertrauen, dass es andere tun. Dies gilt auch, wenn die Lösung nicht in den jeweiligen Zuständigkeitsbereich fällt!
1. Zunehmende Unübersichtlichkeit
Jede neue Version eines Software-Produkts bringt mehr Features mit sich. Viele sind nützlich, viele aber auch überflüssig. Klickibunti beispielsweise ist heutzutage Standard und betrifft auch Security-Produkte. Grafische Oberflächen und Konfigurationsmenüs werden immer komplexer und umfangreicher und verändern damit das Verhalten der Nutzer nachhaltig.
Einerseits wird immer weniger Fachwissen vorgehalten, denn dies steckt ja im Produkt, und gleichzeitig beschränkt sich die Produktnutzung auf vorgefertigte Standard-Funktionen. Neue Features werden, wenn überhaupt, nur zögerlich in den Security-Betrieb eingeführt, denn man versteht die Logik dahinter nicht, hat noch inkompatible Umgebungen oder kann den Mehrwert nicht nutzen.
Durch Marketing-Aussagen, wie „leicht zu bedienen“, „einfach anzuwenden“, „selbstlernend“ etc. wird der Eindruck erweckt, dass Fachwissen und eine Tool-Ausbildung nicht erforderlich ist. Das Gegenteil ist aber oft der Fall. Der Firewall-Verantwortliche kann sich das erforderliche Wissen zur effektiven Nutzung nicht im Selbststudium erarbeiten, denn im Arbeitsalltag hat er dafür zu wenig Zeit dafür. Wenn dann auch noch Aufgrund dieses Zeitmangels der Besuch der Fortgeschrittenen-Schulung ausfällt, ist das existierende Wissen oft nur rudimentär ausgeprägt.
Dass dies im Security-Umfeld kontraproduktiv ist und zu Risiken führen kann ist naheliegend. Fehlt beispielsweise bei einem Textprogramm das Wissen, wie man automatisiert ein Inhaltsverzeichnis erstellt, dauert es „nur“ länger dieses manuell zu erstellen. Fehlt dieses Wissen aber bei einer Firewall, einem AV-Tool oder dem http-Malware-Scanner, dann wird es kritisch!
Tipp: Reden Sie mit Ihren Security-Personal, ob dies in der Lage ist, vollumfänglich die aktuellen Tools zu bedienen oder ob bereits Defizite existieren, die zu einer verringerten Qualität führen. Klären Sie auch ab, ob man bei Ausfall eines Tools einen sicheren Notbetrieb aufrechterhalten kann und das dafür vorhandene Fachwissen (noch) existiert.
Neue Security-Komponenten erfordern u.U. auch eine andere Arbeits-und Betrachtungsweise. Gehen Sie nicht davon aus, dass Ihr Personal über dieses verfügt. Ermöglichen Sie vorab bzw. zeitnah den Besuch von Schulungen und der Schaffung von Freiräumen für das Selbststudium während der Arbeitszeit!
2. Versicherungscheck
Eine Betriebsunterbrechungsversicherung gehört zum Standard-Versicherungspaket eines Unternehmens. Nur sind damit noch lange nicht alle Eventualitäten abgesichert. Jeder Versicherungsmakler und Security-Berater wird Sie gerne darüber informieren, wo aktuell Ihre Versicherungs-Lücken sind und was Sie real versichert haben. Prüfen Sie, ob wirklich alle möglichen, kostenintensiven Schadensoptionen durch das gegenwärtige Versicherungs-Paket abgedeckt sind!
Verifizieren Sie, ob nur Ihre Schäden oder auch die von Dritten gedeckt sind und wie es um die Kostenübernahmen zur Wiederherstellung Ihrer Reputation und Ihres Imageverlustes steht. Wer bezahlt die Wiederherstellung von Daten oder den Einsatz von Forensik-Experten, die man zur Beweissicherung engagiert hat? Wer bezahlt für temporäre Ersatzlösungen, die z.B. durch die Anmietung von Cloud-Kapazitäten anfallen und wie hoch ist maximale Kostenübernahme angesetzt?
Vielleicht müssen Sie Ihr Standard-Versicherungspaket erweitern oder nachjustieren. Möglicherweise macht auch eine zeitgemäße Cyber-Versicherung Sinn. Diese kann Sie zwar nicht vor Schäden bewahren, die ein Hacker durch sein Tun verursacht, aber eine solche Versicherung kann ihnen helfen, die finanziellen Schäden auszugleichen.
Tipp: Setzen Sie sich mit dem Thema Cyber-Versicherung auseinander! Betrachten Sie diese Versicherungsart wir eine neue Hardware- oder Software-Komponente, die sie Ihrem IT-Schutzkonzept hinzufügen.
3. Neues & Altes
Überraschenderweise nimmt jeder an, dass mit dem Einsatz neuer Technik immer alles besser wird. Dass dies nicht so sein muss, entdeckt man leider oft zu spät. Einige Beispiele dazu:
- Die Datenträger der wöchentlichen Sicherung wurden bisher abwechselnd in Hautgebäude und im Nebengebäude des Unternehmens aufbewahrt. Durch den Einsatz einer neuen, schnelleren Datensicherungseinheit entfällt dies, da die Band-Entnahme zu zeitintensiv ist. So steht nach einem Brand im Hauptgebäude nur eine (veraltete) 3-Monatsssicherung zur Verfügung, da der wöchentliche Auslagerungszyklus aufgegeben wurde.
- Das altgediente Virenschutzprogramm wurde durch ein neues ersetzt, welches preisgünstiger ist und in Tests bzgl. Scan-Geschwindigkeit und Erkennungsrate überzeugen konnte. Trotzdem kommt es nach Wechsel auf das neue Tool zu vermehrten Vireninfektionen auf Unternehmens-Notebooks. Als Ursache wurde eine Virus-Gruppe entdeckt, die mit einem alten, selten genutzten Pack-Programm komprimiert wurden. Dieses wurde vom neuen Virenschutz-Tool nicht (mehr) erkannt.
- Das Unternehmen hat auf IP-Telefonie umgestellt. Kritisch wird es aber, als das Netzwerk ausfällt und man telefonischen Kontakt zu Spezialisten aufnehmen will um deren Rat zu holen. Per Handy ist dies zwar möglich, aber nicht aus Tiefbau-Rechenzentrum, da dort kein Funknetz-Empfang möglich ist.
Tipp: Spielen sie nach Einführung von neuer Technologie unbedingt Worst-Case-Szenarien zeitnah durch, um mögliche Schwachstellen entdecken. Für sich betrachtet sind alle Neuerungen sinnvoll, effektiv und kostenreduzierend – aber in Kombination betrachtet, ergeben sich ggf. Effektivitätseinbußen.
4. Wachstum ohne Ende?
So gerne Unternehmen ein stetiges Wachstum begrüßen, nicht jede Art von Wachstum ist gern gesehen. Das beste Beispiel dafür: Unnütze Daten. Eine stetige Zunahme an Daten bedeutet i.d.R. auch mittelfristige Investitionen. Primär für Speicherplatz um diese Daten vorzuhalten, aber auch in allgemeiner Rechnerleistung, um diese Daten per IT schnell zu verarbeiten.
Handelt es sich um nützliche, geschäftsrelevante Daten (Stichwort. Big Data), investiert man bereitwillig, aber Unternehmen haben zunehmend mit einer Flut von unwichtige Daten zu kämpfen, die stetig zunehmen: In Postfächern schlummern E-Mails von vor zwei Jahren, die keinerlei aktuelle Relevanz mehr haben. Persönliche Laufwerke füllen sich mit veralteten Präsentationen und Berichten. Fotos der Abteilungsfeier und SW-Pakete, die niemand mehr verwendet tragen auch zur Speicher-Verschwendung bei.
Der schwarze Verantwortungs-Peter wird dabei zwischen Anwender und betrieblichen Organisationseinheiten hin und hergeschoben. Letztendlich unternimmt aber niemand etwas! Keiner löscht konsequent veraltete, unnütze Daten und so wächst der Bedarf an Speicherkapazität kontinuierlich an. Mehr Daten bedeuten somit mehr Zeit für Backup/Restore-Läufe! Dies kann dazu führen das Zeitvorgaben überschritten werden, denn Maintenance-Zeiten sind im produktiven Umfeld immer knapp kalkuliert.
Mehr Daten bedeutet auch, dass der tägliche On-Demand-Scan per Virenscanner (alle Daten werden auf Malware geprüft), mehr Zeit braucht. Möglicherweise muss er deshalb auf mehrere Tage gesplittet werden, was das Risiko mit sich bringt, neue Malware erst verspätet zu erkennen. Das Nicht-Prüfen von User-Laufwerken per Malware-Tool ist ein zweischneidiges Schwert. Denn so schafft man unkontrollierte Datenbereiche, in denen sich Schadsoftware beinahe ungehindert ausbreiten kann.
Tipp: Geben Sie maximale Größen für Postfächer, private Laufwerke und Abteilungsübergreifende Fileshares vor. Schaffen Sie Auslagerungsmöglichkeiten, damit „alte Daten“ aufbewahrt werden können, ohne den Produktivbetrieb zu belasten. Erstellen Sie monatliche Auswertungen, über den Speicherbedarf der einzelnen Abteilungen und deren Mitarbeiter (ggf. anonymisiert). Schaffen Sie ein Kostenbewusstsein, indem Sie aufschlüsseln, was es kostet diese Daten vorzuhalten (Speicherplatz) und abzusichern (Virenscanner-Prüfung, Verschlüsselung etc.). Machen Sie klar, das auch der (unendliche) Speicherplatz in der Cloud nicht umsonst ist.
5. EOL – End Of Life
Als EOL wird der Zeitpunkt bezeichnet, zu dem der Hersteller einer Lösung (Hardware / Software) den Support bzw. die Weiterentwicklung einstellt. So endete beispielsweise der Microsoft-Support für Windows XP im April 2014 und Windows Vista schlägt 2017 die Stunde.
Wie immer wieder der Presse zu entnehmen ist, werden trotzdem noch viele, auch wichtige, Systeme, weiterhin unter XP betrieben. Oft liegt dies daran, dass man den (finanziellen) Aufwand für einen Betriebssystemwechsel nicht erbringen möchte oder einfach nicht wechseln kann, weil benötigte Anwendungen auf neueren Betriebssystem-Versionen nicht einsatzfähig sind. Produkte die ihr EOL erreicht haben, sind tickende Zeitbomben – denn irgendwann, wird eine Komponente versagen und die gesamte Applikation steht.
Dies kann der Programmiere sein, der in Ruhestand geht, das Netz-Protokoll, welches nicht unterstützt wird oder ganz simpel eine Passwort-Regel, die längere Passwörter als acht Stellen fordert und damit die Applikation überfordert. Auch Updates und Patches, die entdeckte Security-Lücken schließen und nicht mehr für das Betriebssystem bzw. Produkt-Umfeld angeboten werden, sind ein häufiges KO-Kriterium.
Tipp: Lassen sie sich quartalsweise die EOL-Daten für die Key-Applikationen Ihres Unternehmens zeigen und überprüfen sie dabei auch sämtliche Security-Komponenten wie Virenscanner-Produktversionen, Appliance-Firmware, Firewall-Status, Backup-Lösungen und Protokoll-Versionen. Achten Sie dabei vor allem auf Zusammenhänge zwischen den einzelnen Komponenten, die nicht auf den ersten Blick ersichtlich sind aber Folgeaktivitäten erfordern.
Empfehlung
Plakative Security-Maßnahmen wie z.B. das Schließen von SSL/TLS-Schwachstellen, der wirksame Schutz gegen den neuesten Banking-Trojaner oder die kryptografische Absicherung der Cloud-Daten kann man gut präsentieren und als wichtige Aktivität „verkaufen“. Die Überarbeitung einer Prozess-Schnittstelle bietet deutlich weniger Potential. Aber man kann es sich nicht leisten, diese innerbetrieblichen, organisatorischen und produktspezifischen Optimierungen außer Acht zu lassen, denn auch diese haben ein vergleichbares Schadenspotential.
(ID:44145118)
:quality(80)/p7i.vogel.de/wcms/5b/fe/5bfe9ac4c9941c8a58330f1e3e0d9130/0111274736.jpeg "Obwohl eine vollständige Prävention unmöglich ist, gibt es mehrere Abwehrmaßnahmen, die vor Zero-Day-Bedrohungen schützen können. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/59/d95991cde39105c9104b95c362420c8a/0106381252.jpeg "Cyber-Angriffe, die Schwachstellen wie die in Log4j ausnutzen, werden zur "Normalität". Die Hintermänner solcher Attacken profitieren vom Trend, dass Software-Entwickler verstärkt auf vorgefertigte Bausteine und Programmbibliotheken zurückgreifen. (Bild: kentoh - stock.adobe.com)")