:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kommentar Daten sind die neue Währung des Internets
Immer mehr Anbieter digitaler Anwendungen, allen voran Messenger Dienste, legen ein erhöhtes Augenmerk auf die Verschlüsselung ihrer Nachrichten, der Anonymisierung der erhobenen Nutzerdaten und Sicherheit der Konten. Während Branche-Riesen wie Whatsapp erst nach und nach eine Ende-zu-Ende Verschlüsselung und Zwei-Faktor-Authentifizierung implementiert haben, warben kleinere Start-ups wie Telegram oder Signal schon früher mit Sicherheits-Features um die Gunst der Nutzer.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Seit Snowden den NSA-Skandal enthüllte und die Welt schockierte, setzen sich mehr und mehr Menschen mit dem Schutz ihrer Privatsphäre und ihrer Daten auseinander. Dabei zeigen immer wieder aufkommende Skandale, dass es in diesem Bereich noch viel zu tun gibt. Viele Menschen geben zu viel von sich auf sozialen Netzwerken preis, ohne sich bewusst zu sein, wie ihre Daten zur neuen Währung des Internets werden.
Zweifelhafte Anonymisierung
Der Vorzug, solche Dienste kostenlos nutzen zu können, scheint vielen wichtiger zu sein als ihre Privatsphäre. Die erhobenen Daten werden zwar anonymisiert, das heißt es soll nicht mehr oder nur mit unverhältnismäßig großem Aufwand möglich sein, sie auf einzelne Personen zurückzuführen. Dass dies jedoch oft schlampig ausgeführt wird, hat beispielsweise eine Recherche des NDR bereits 2016 gezeigt, indem ein anonymisiertes Datenpaket erworben und ausgewertet wurde. Die Ergebnisse, unter anderem Sado-Maso-Vorlieben eines Richters, oder Informationen zu laufenden Polizei-Ermittlungen, sollten schockieren und zeigen: Anonymität und Sicherheit sind im Netz noch nicht so weit, wie manche es gerne glauben würden.
EU-Datenschutzverordnung
Während den meisten egal ist, dass ihre auf Facebook oder Google erhobenen Daten zu Werbezwecken weiterverkauft werden, wird die Sache im Bezug auf besonders schützenswerte Daten wichtiger. Denn wer will schon Werbung für Arzneimittel gegen Geschlechtskrankheiten auf seiner Facebook-Seite sehen. Besonders im Gesundheitssystem ist das Spiel mit der Sicherheit der Daten ein Spiel mit dem Feuer. Hier muss es –zwangsweise kostenpflichtige – Angebote geben, die den Weiterverkauf, auch von anonymisierten, Daten ausschließen. Man zahlt für das Recht, seine Daten möglichst nah bei sich behalten zu dürfen.
Ein wichtiger Schritt wird die 2018 greifende neue EU-Datenschutzverordnung sein, die den Austausch und Handel von Daten reguliert. Vorreiter dazu sind ebenfalls zu finden, so wurde im Juli 2015 das IT-Sicherheitsgesetz verabschiedet, Januar 2016 das eHealth-Gesetz.
Sichere digitale Kommunikation in Behörden
Außerdem machen sich einige kleinere Unternehmen daran, die digitale Kommunikation in öffentliche Behörden voran zu treiben. Gerade in Deutschland etabliert sich dafür ein Markt, denn Whatsapp & Co. halten sich oft nicht an EU-Recht und die strengeren deutschen Datenschutzrichtlinien. Diese neuen Messenger-Dienste, wie beispielsweise Stashcat oder Trustner, richten sich meist ausdrücklich an Firmen und Behörden und sind kostenpflichtig. Bezahlt wird für die Speicherung der Nutzerdaten und die Sicherheit, dass diese nicht weiter verkauft werden. Doch auch die Struktur dieser Dienste ist anders aufgebaut als bei ihren Konkurrenten.
Dies beginnt bei der, inzwischen zum Standard für beinahe alle Kommunikationsmedien gewordenen, Ende-zu-Ende- und der Transport-Verschlüsselung. Bei dieser werden die zu sendenden Dateien während des Transports – daher der Name – verschlüsselt, um schließlich auf den entsprechenden Servern unverschlüsselt gespeichert zu werden. Die Ende-zu-Ende-Verschlüsselung generiert ein Schlüsselpaar, einen „Public Key“ und einen „Private Key“. Der „Private Key“ verlässt nie das Endgerät, auf dem er generiert wurde und dient dazu, erhaltene Nachrichten zu entschlüsseln. Diese Nachrichten wurden davor mit dem zugehörigen „Public Key“ verschlüsselt, der jedem öffentlich zugänglich ist, der eine Nachricht an eben erwähntes Endgerät senden möchte. Das hat den Vorteil, dass der Server, über den Nachrichten ausgetauscht werden, diese selbst nicht lesen kann. Er fungiert schlicht als Übermittler.
Risiko „man-in-the-middle attack“
Diese zwei Verfahren erhöhen die Sicherheit ungemein, doch sind auch sie anfällig für Attacken, speziell für die „man-in-the-middle attack“. Hierbei täuscht ein Angreifer die Identität des eigentlichen Nachrichten-Empfängers vor. Gelingt diese Täuschung, wird die Nachricht mit dem „Public Key“ des Angreifers verschlüsselt, dieser kann sie mit seinem „Private Key“ entschlüsseln und auf den Inhalt zugreifen. Danach verschlüsselt der Angreifer sie wiederum mit dem „Public Key“ des eigentlichen Empfängers und schickt sie weiter. Bis Sender und Empfänger merken, dass sie belauscht wurden, sind die wichtigsten Geheimnisse bereits geklaut. Für Firmen eine Alptraumvorstellung, aber auch für Patienten. Aufkommende Kommunikations-Dienstleister versuchen dies durch einen ausgeklügelten Authentifizierungsvorgang zu verhindern.
Zwei-Faktor-Authentifizierung
Dies nennt man Zwei-Faktor-Authentifizierung, kurz 2FA. Während es auch Multi-Faktor-Authentifizierung gibt, ist die 2FA die gebräuchlichste. Dabei werden zwei, voneinander unabhängige Faktoren verlangt, um die Identität des Nutzers festzustellen. Faktoren werden aufgeteilt in Wissen (z.B. Passwort), Besitz (z.B. Hardware) und biometrische Merkmale (z.B. Fingerabdruck). Will man beispielweise ein Programm, das 2FA unterstützt, auf einem neuen Endgerät installieren, wäre der erste Faktor die Anmeldung in dem Programm durch Benutzername und Passwort. Beim ersten Anmeldeversuch wird eine PIN generiert und per eMail an die mit dem Profil verknüpfte eMail-Adresse gesendet. Erst mit dieser PIN, dem zweiten Faktor, ist es möglich, sich vollends im Programm anzumelden. Da viele Anwendungen, gerade eMail-Programme und Messenger, der Einfachheit halber auf Mobilgeräten immer geöffnet sind, ohne dass sie ein Passwort abfragen, öffnen sich auch bei dieser 2FA einige Missbrauchsmöglichkeiten. Für besonders schützenswerte Inhalte, wie Patientendaten, muss daher ein weiterer Schritt gegangen werden.
Healthcare-Praxisbeispiel
Als Beispiel betrachten wir uns die Sprechzimmer-App des in Tübingen entwickelten Trustner Messengers. Sie ermöglicht einen sicheren Austausch von Daten zwischen Arzt, Patient und Angehörigen. Auf Anfrage eines Arztes wird bei Trustner intern einmalig ein Aktivierungs-Code generiert, der per Post an das zuständige Krankenhaus oder die Praxis geschickt wird. Somit werden missbrauchsanfällige Endgeräte umgangen. Mit der Eingabe des persönlichen Codes wird die App freigeschaltet. Der Patient wiederum muss mindestens einmal persönlich den Arzt aufgesucht und dabei eine Einwilligungserklärung unterschrieben haben, bevor der Arzt ihn in das virtuelle Sprechzimmer einladen kann. Dieses erste Treffen bildet einen weiteren Faktor, der sehr schwer zu manipulieren ist. Nach der Einladung des Patienten gehen sämtliche Administratorrechte über das Sprechzimmer, sprich den Chatraum, vom Arzt an den Patienten über. So wird eine Hoheit des Patienten über seine eigenen Daten und die Kommunikation der beteiligten Kontakte gewährleistet. Tritt er aus, werden alle Inhalte unwiederbringlich gelöscht.
Es gibt einen weiteren Schwachpunkt in vielen Messenger-Systemen, der wohl unserer Bequemlichkeit geschuldet ist. Die Frage nach dem Speicherungsort. Werden Daten auf den Endgeräten gespeichert, werden sie immer anfällig für Nutzer-verschuldete Manipulation oder Diebstahl sein. Werden sie hingegen auf Servern gespeichert, sind sie wesentlich besser geschützt, doch müssen alle Inhalte bei jedem Öffnen neu herunter geladen werden. Hierfür wäre es wichtig, die Menschen dafür zu sensibilisieren und ein Bewusstsein zu schaffen, dass erhöhte Sicherheit mit eingeschränktem Komfort daher kommt. Denn anders geht es, zumindest heutzutage, noch nicht.
* Der Autor Max Grathwohl ist Werkstudent bei der Trustner Gmbh in Tübingen.
(ID:44765324)
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947163/original.jpg "E-Mail-Verschlüsselung birgt ein Problem für die IT-Sicherheit: Ist der Inhalt einer Mail korrekt verschlüsselt, ist er nicht nur für Dritte, sondern auch für Sicherheitslösungen nicht mehr lesbar. (sdecoret)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883403/original.jpg "Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern. (natali_mis - stock.adobe.com)")