:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
USB-Sticks & Co: Wo liegen die IT-Risiken für Behörden? Der Feind an meinem Rechner
Die größte IT-Sicherheitsgefahr lauert innerhalb der Behörden: Mitarbeiter missachten Regeln oder verursachen Fehler. Einer dieser Fehler ist die Benutzung infizierter USB-Sticks.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Mit dem Datenverlust kann es ganz schnell gehen. Erst im September 2015 musste das Landratsamt Schmalkalden-Meiningen diese leidvolle Erfahrung machen: Ein Mitarbeiter des Amtes hatte seinen privaten, mit Schadsoftware infizierten USB-Stick an einen alten Dienstrechner angeschlossen.
Das Ergebnis: 226 Computer der kommunalen Behörde wurden mit einem Virus infiziert. In einer Nacht-und-Nebel-Aktion mussten die Mitarbeiter der IT-Abteilung des Landratsamtes die befallenen Rechner davon befreien.
Dabei ist der USB-Stick nur ein Gefahrenpotential von vielen. Am Beispiel von Schmalkalden zeigt sich aber: Die größte Gefahr droht nicht unbedingt von außen, sondern durch die eigenen Mitarbeiter. Dabei haben sie nur selten Böses im Sinn. Vielmehr missachten sie Regeln oder verursachen menschliche Fehler.
Magerer IT-Schutz
In Bezug auf die IT-Sicherheit gibt es im öffentlichen Sektor viele Defizite. Es beginnt schon damit, dass teils veraltete Betriebssysteme wie etwa Windows XP im Einsatz sind, für die keine neuen Sicherheits-Patches mehr zur Verfügung gestellt werden. Vielfach beschränkt sich die IT-Sicherheit auch auf Firewall und Antivirus. Doch beide Maßnahmen eignen sich nur selten, neue Bedrohungen abzuwehren. Sie werden nur dann aktiv, wenn Bedrohungen eine ausreichende Zeit bekannt sind.
Hinzu kommen rudimentäre oder veraltete Device-Management-Systeme, die entweder sehr umständlich zu nutzen oder leicht zu umgehen sind. In den seltensten Fällen sind diese dann gegen Bedrohungen wie Bad-USBs gewappnet, bei denen sich ein mit Malware bestückter Stick gegenüber einem Anti-Viren-Programm als Tastatur, Webcam oder Netzwerkkarte tarnt. Auch eine Verschlüsselung fehlt meist völlig. Das gilt sowohl für die Verschlüsselung von externen USB-Laufwerken als auch für interne Festplatten und Dateiordner.
Das Grundproblem in Behörden liegt oft in einer mangelnden Sensibilität für das Thema IT-Sicherheit. Um sich eingehender mit dem Thema zu befassen, fehlt entweder die Zeit oder das Budget. Teils rauben auch andere Projekte Ressourcen oder es gilt das „Augen-zu-und-durch“-Prinzip nach dem Motto: „Uns wird schon nichts passieren“. Im Fall von Schmalkalden hätte eine Umstellung auf ein aktuelles Betriebssystem und eine moderne Schnittstellen-Kontroll-Lösung vermutlich schon gereicht, um einen Vorfall dieses Ausmaßes zu verhindern.
Wirksamer Datenschutz
In Behörden liegt heute ein Großteil sensibler, oft personenbezogener Daten in digitaler Form vor. Ein erster Schritt in die richtige Richtung ist es, festzulegen, welche Personen welche Datenwege überhaupt benutzen dürfen. Technisch lassen sich mit einer Access-Control-Lösung die Berechtigungen von Benutzern zentral administrieren. Niemand kann dann ohne Berechtigung sensible Daten so „aus Versehen“ verlieren.
Im nächsten Schritt wird geklärt, welcher Umgang mit Daten für die berechtigten Mitarbeiter im Hinblick auf ihre Arbeit sinnvoll ist. Es wird besonders gefährlich, wenn Daten das Unternehmen verlassen. Daher sollte man den Kreis derer, die Daten außerhalb des Unternehmens speichern dürfen, zum Beispiel auf mobilen Endgeräten, externen Datenträgern oder in der Cloud, ebenfalls einschränken.
Bei der Implementierung einer Verschlüsselung sollte eine Methode gewählt werden, die von Mitarbeitern auch tatsächlich genutzt wird. So sind klassische Containerverschlüsselungen zwar sicher, sie werden aber im Tagesgeschäft aus Gründen der Bequemlichkeit oft einfach umgangen. Besser sind Lösungen, die sich vollkommen im Hintergrund um sämtliche Sicherheitsaspekte kümmern.
Protokollierung
Zwingend erforderlich ist eine Protokollierung, die Datenverluste nachvollziehbar macht. Sie regen in Behörden jedoch den Verdacht, dass Mitarbeiter dadurch ausspioniert werden könnten. Eine Lösung muss deshalb so konzipiert sein, dass sie nur dann Informationen über die persönlichen Tätigkeiten von Mitarbeitern im Datenumgang preisgibt, wenn ein Schaden oder gar ein Gesetzesverstoß vorliegt und auch der Arbeitnehmervertreter einer Einsicht in die Protokollierung zustimmt.
Mit Access Control, Device Management, verschiedenen Verschlüsselungen für unterschiedliche Datenwege und Protokollierung als Mindestanforderung für einen effektiven und gesetzeskonformen Datenschutz hat man es augenscheinlich mit vielen verschiedenen Lösungen zu tun.
Genau das ist in der Praxis häufig der Grund, warum sich viele Behörden dann doch lieber auf Firewall, Antivirus und administrative Policies beschränken. Mittlerweile sind jedoch voll integrierte Gesamtlösungen für alle aufgeführten Anforderungen verfügbar. Solche Lösungen arbeiten mit nur einer Datenbank und einer zentralen Managementkonsole, was die Installation, die Interaktion der Funktionen und die Administration deutlich vereinfacht. Die meisten Sicherheitsfunktionen laufen vollständig im Hintergrund ab und werden vom Benutzer gar nicht wahrgenommen.
Das richtige Maß finden
Fakt ist: Sicherheitsvorkehrungen müssen sicher und leicht zu bedienen sein. Sie sollten Arbeitsabläufe nicht stören, sodass Mitarbeiter gar nicht erst auf die Idee kommen, diese aushebeln zu wollen. Sicher ist aber auch, dass Angriffe auf die IT heute deutlich professioneller sind als noch vor wenigen Jahren und immer mehrere Maßnahmen benötigt werden, um eine realistische Chance zu haben, diese abzuwehren.
Eine 100-prozentige Sicherheit wird es nie geben. Beachtet man aber die oben beschriebenen Eckpfeiler Access Control, Device Management, Verschlüsselung und Protokollierung, können Behörden sich effektiv gegen Fehler von Mitarbeitern oder Angreifer von außen wappnen.
* Sergej Schlotthauer ist Geschäftsführer der EgoSecure GmbH.
(ID:44041737)
:quality(80)/images.vogel.de/vogelonline/bdb/1932200/1932288/original.jpg "10 wichtige Tipps wie man mit Bitlocker und Alternativen Daten unter Windows sicher verschlüsselt, zeigen wir in diesem Video-Artikel. (©Krisztin - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913900/1913919/original.jpg "Mit dem GateKeeper von Untethered Labs können sich Nutzer sicher an ihrem Arbeitsplatz einloggen, ohne ein Passwort zu benötigen. (ProSoft)")