:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Riskante Kommunikation E-Mail-Verschlüsselung und andere Sicherheitsrisiken
Nach wie vor sind ausgerechnet Top-Manager für Sicherheitsthemen oft nicht richtig sensibilisiert und versenden vertrauliche Daten noch unverschlüsselt, das zeigen aktuelle Studien. Doch selbst wenn Anwender auf vermeintlich sichere Kommunikationswege wie die E-Mail-Verschlüsselung setzen, lauern noch versteckte Gefahren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Cyberangriffe sind für Industrieunternehmen längst Alltag. Laut einer Studie des Branchenverbands Bitkom wurden in den vergangenen zwei Jahren 68 Prozent der deutschen Firmen – also mehr als zwei Drittel – Opfer von Sabotage, Datendiebstahl oder Industriespionage. 84 Prozent konnten sogar beobachten, dass die Anzahl der Attacken im selben Zeitraum zugenommen hat . Die Gesetzgeber, sowohl auf Landes- als auch auf Europaebene, haben auf diese Entwicklung längst reagiert, fordern die Verschlüsselung von Daten beispielsweise in der EU-Datenschutz-Grundverordnung sowie der EU-Know-how-Schutz-Richtlinie.
:quality(80)/images.vogel.de/vogelonline/bdb/1534000/1534013/original.jpg "Datenschutz und Cyberangriffe sind inzwischen oft Themen mit denen sich auch Aufsichtsräte von Unternehmen befassen müssen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1534000/1534014/original.jpg "Als Board-Portale bekannte Collaboration-Lösungen für Aufsichtsräte und andere Entscheidungsgremien setzen stark auf lückenlose Verschlüsselung und Dokumentation.")
:quality(80)/images.vogel.de/vogelonline/bdb/1534000/1534015/original.jpg "Vertraulichkeit, Verfügbarkeit und Sicherheit sind drei Grundsäulen von Board-Portalen, die sie auch für externe Dienstleister interessant machen.")
Allerdings gehört nach wie vor gerade der unverschlüsselte E-Mail-Versand in den Vorstandsabteilungen vieler Firmen zum Arbeitsalltag – auch für vertrauliche Dokumente. Dieser bietet jedoch viel Angriffsfläche für Cyberkriminelle, da die Nachrichten meist zwischen den verschiedensten Servern hin- und hergeroutet werden, die sich darüber hinaus meist in unterschiedlichen Ländern befinden. Das stellt ein perfektes Szenario für sogenannte „Man in the middle“-Angriffe dar, bei denen sich Hacker in die Kommunikationswege einklinken und unbemerkt Daten abgreifen können. Doch selbst ohne ausgeklügelte Angriffsstrategie können beim unverschlüsselten Mail-Verkehr leicht Informationen in falsche Hände geraten. Denn grundsätzlich können diese Nachrichten von jedem mitgelesen werden, man muss nur wissen, wonach man sucht. Sie sind also nicht sicherer als Postkarten, die ebenfalls jederzeit vom Postboten gelesen werden können.
Um diese Risiken zu minimieren, hat sich in den letzten Jahren die E-Mail-Verschlüsselung immer mehr durchgesetzt. Doch auch dieses Verfahren bringt einige Nachteile mit sich – und teilweise sogar massive Sicherheitslücken.
EFAIL als Einfallstor
Es zeigt sich allerdings immer wieder, dass auch aktuelle Verfahren zur E-Mail-Verschlüsselung nicht vollständig gegen „Man in the middle“-Angriffe geschützt sind. Das hat die im Mai 2018 bekannt gewordene EFAIL-Sicherheitslücke gezeigt. Diese hatte es Cyberkriminellen ermöglicht, eine E-Mail auf dem Versandweg abzufangen und zu manipulieren. Dabei konnte die Verschlüsselung ganz einfach umgangen werden, indem die Anhänge verändert und so der Inhalt der Nachrichten im Klartext ausgelesen wurde. Von EFAIL waren bis zu entsprechenden Updates die Verschlüsselungs-Plugins nahezu aller gängiger Mailprogramme betroffen, also beispielsweise Thunderbird, Apple Mail oder Outlook.
Schlüssel müssen getauscht werden
Bei OpenPGP s/MIME werden jeweils Schlüsselpaare samt Passwörtern für den jeweils verwendeten Mail-Account erstellt. Dabei gibt es jeweils einen privaten und einen öffentlichen Schlüssel, der auf einem Server abgelegt wird. Der Empfänger muss dabei ebenfalls ein Schlüsselpaar erstellen und einen öffentlichen Key hochladen. Das nennt sich dann asymmetrische Verschlüsselung.
Dieser Vorgang muss mit jedem externen Kommunikationspartner separat durchgeführt werden. Es wird also ein gewisses technisches Grundverständnis verlangt, das jedoch bei vielen Mitarbeitern nicht oder nur unzureichend gegeben ist – was in der Folge zu Nachlässigkeiten und dadurch Sicherheitslücken führen kann. Außerdem ist das komplizierte Verfahren eher weniger geeignet, wenn nur einzelne E-Mails ausgetauscht werden sollen.
Fehlende Revisionssicherheit
Ein weiterer Nachteil der Verschlüsselung mittels OpenPGP und s/MIME ist, dass sich die Absicherung rein auf den Daten- und Informationsaustausch beschränkt. Sobald sich die Daten auf den jeweiligen Rechnern der Kommunikationspartner befinden, sind sie jedoch nicht mehr innerhalb der „sicheren Zone“. Heißt: Jeder, der die Mails bekommt, hat die darin befindlichen Informationen für immer – und kann sie im Folgenden auch unverschlüsselt an Dritte weitergeben oder auf nicht abgesicherten Datenträgern abspeichern. Der Kontrollverlust ist also vorprogrammiert. Außerdem wird die Nachricht auf den jeweiligen Mail-Servern im Klartext abgelegt, ist also bei gezielten Cyberangriffen leichte Beute. Sämtliche Verfahren zur E-Mail-Verschlüsselung erfüllen demnach nicht die regulären Compliance-Anforderungen zum Schutz sensibler Daten und Informationen. Denn sie bieten weder eine volle Kontrolle über die Zugriffe, noch sind sie revisionssicher.
Data Governance mit digitalem Tresor
Angesichts dieser Nachteile setzen daher immer mehr Unternehmen auf virtuelle Datenräume –hochsichere Plattformen zum sicheren, kontrollierten Informationsaustausch. Innerhalb dieser können Daten gespeichert, ausgetauscht, bearbeitet und je nach Bedarf für weitere ausgewählte Personen freigegeben werden. Als zentrale Funktion zur Informationssicherheit bieten diese Lösungen umfangreiche Maßnahmen, um vertrauliche Dokumente jederzeit zu kontrollieren, beispielsweise mit einem digitalen Wasserzeichen oder Information-Rights-Management, das die Dokumentenberechtigung soweit einschränken kann, dass ein Dokument zwar geöffnet, aber weder gedruckt noch gespeichert werden kann. Darüber hinaus werden alle Datenzugriffe revisionssicher dokumentiert, man sieht also zu jeder Zeit, wer Zugang zu welchen Informationen hat. So kann die Data Governance in Unternehmen effektiv umgesetzt werden.
Ein Unternehmen, das bereits auf diese Art des Informationsaustauschs setzt, ist die Schweizer Großbank Credit Suisse. Diese hat sich zum Launch eines neuen Fonds-Produkts für einen virtuellen Datenraum von Brainloop entschieden, um vertrauliche Kundeninformationen hochsicher und vor allem Compliance-konform auszutauschen und zu bearbeiten. Um dabei sicher zu stellen, dass auch wirklich nur die jeweils berechtigten Personen Zugang zu den vertraulichen Dokumenten haben, gibt es innerhalb des Systems einen separaten Datenraum für jede einzelne Transaktion – der darüber hinaus auch noch eigene Nutzerberechtigungen aufweist. Auf diese Weise ist ein sicherer und vor allem nachvollziehbarer Informationsaustausch sowohl mit internen als auch externen Mitarbeitern und Partnern gewährleistet – und erfüllt sämtliche gesetzlichen und internen Richtlinien.
Über den Autor: Dr. Eike Schmidt ist CTO der Brainloop AG.
(ID:45790658)
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883403/original.jpg "Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern. (natali_mis - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1963000/1963080/original.jpg "Die E-Mail-Verschlüsselung von Tresorit arbeitet als Built-in-Modul mit gängigen E-Mail-Services zusammen. Im ersten Schritt ist die Lösung für Microsoft Office Desktop verfügbar. (Production Perig - stock.adobe.com)")