:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/91/2691777debb58ac490c877f6e72b1c27/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Protokolle zur Kontrolle Enterprise Fraud Management – Überwachung interner Aktivitäten
Insider-Delikte gehören zu den am schnellsten wachsenden Fällen in den Kriminalstatistiken. Die Herausforderung besteht in einem lückenlosen Auditing aller relevanten Aktivitäten, ohne die Persönlichkeitsrechte der Mitarbeiter zu verletzen. Einen Ansatz liefert die differenzierte Echtzeit-Überwachung auf Applikationsebene.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wenn Unternehmen den Diebstahl vertraulicher Informationen, unrechtmäßige Geldkontenbewegungen, Missbrauch von Identitäten und ähnliches zu beklagen haben, stecken sehr oft eigene Mitarbeiter dahinter. In einschlägigen Kreisen nennt man diese Angriffe auch Insider-Delikte oder Enterprise Frauds.
Der Angriff von innen ist die vielleicht am gröbsten vernachlässigte Bedrohung für Unternehmen. Mitarbeiter in Vertrauenspositionen manipulieren Zahlungen, geben geheime Informationen gegen Bares weiter, missbrauchen Identitäten oder Benutzerkonten, verstoßen gegen Compliance-Regeln oder sabotieren das Unternehmen anderweitig.
Das Heimtückische daran: derartige Vorgänge bleiben in der Regel sehr lange unentdeckt. Aktuelle Untersuchungen, wie sie etwa der amerikanische Secret Service kürzlich veröffentlicht hat, nennen Größenordnungen von mehr als einem Jahr. Fliegt die Sache schließlich auf, beginnt eine ebenso schwierige wie langwierige Spurensuche. Meist gelingt es bestenfalls partiell, dem Übeltäter sein Vergehen rechtsrelevant nachzuweisen, beziehungsweise ihn überhaupt eindeutig zu identifizieren.
Viele Unternehmen handeln erst, wenn ein Fall kritisch oder an die Öffentlichkeit getragen wird. Eine gängige Methode ist die analytische Auswertung von Protokolldateien, Log-Files und ähnlichen Informationen. Bei lange zurückliegenden Ereignissen stoßen aber selbst modernste Computer-forensische Analysen an ihre Grenzen – Legacy-Systeme aus der Terminal-Host-Welt bieten sogar so gut wie gar keine Ansätze, die Spuren der Benutzer gesichert zurückzuverfolgen.
Ein weiteres Problem besteht darin, die Inhalte der Log-Files in eine aussagekräftige und rechtsverbindliche Form zu bringen. Listen aus Protokollkürzeln, kryptischen Parameterwerten und maschineninternen Benutzer- und Servicebezeichnungen in eine klar interpretierbare, nachvollziehbare Präsentation zu bringen, funktioniert wenn überhaupt nur mit sehr hohem Zeitaufwand.
Seite 2: Aktiver Ansatz per Enterprise Fraud Management (EFM)
Aktiver Ansatz per Enterprise Fraud Management (EFM)
Einen weitaus effizienteren Weg, dieses Problem zu lösen, versprechen EFM-Systeme. Hier werden in Echtzeit alle Interaktionen in Web-Sessions und Firmen-Applikationen protokolliert. Wie bei einer Videoaufzeichnung lassen sich bei Bedarf bestimmte Sitzungen abspielen, so als blickte der Auditor über die Schultern des betreffenden Users.
Mit einem solchen Audit-Trail lässt sich klar und transparent nachweisen, wer wann was mit welcher Anwendung gemacht hat. Weitere Unterstützung für Auswertungen bieten Suchfunktionen, über die sich auch archivierte Protokoll-Informationen im Stile von Suchmaschinen nach bestimmten Schlüsselbegriffen durchforsten lassen.
Die technische Realisierung läuft über Sensoren, die mit dem Monitor-Port der Netzwerk-Switches verbunden werden. Jeder Switch verfügt über ein solches zentrales Überwachungs-Port, das den gesamten Switch-Verkehr beobachtet. Die Sniffer-ähnliche Software kann auf einem PC installiert sein.
Neben der Datensammlung übernimmt sie bereits eine Art Vorfilterung, bevor sie ihre Informationen an einen zentralen Server zur Konsolidierung, Koordination und weiteren Auswertung hinsichtlich Regeln und Ereignissen schickt. Lösungen wie beispielsweise das neue „Luminet“ von Attachmate binden zusätzlich noch einen Archiv- und einen Reporting-Server mit ein, wo Vorgänge je nach Situation gespeichert werden. An den Switches ist neben der reinen Anbindung keinerlei Installation erforderlich.
Für jeden Fall gerüstet
Bei den Sensoren ist es wichtig, dass sie alle im Unternehmen eingesetzten Applikationen und Kommunikationsprotokolle unterstützen. Hierzu zählen nicht nur TCP/IP-, MQ-Series-, MSMQ- und SMB-Verkehr von Client-/Server-Anwendungen sowie HTTP/HTTPS der Web-Sessions, sondern auch Emulationen wie 3270 und 5250 (IBM), T27 (Unisys), 6680 (Fujitsu) und VT (Unix-Welt).
Marktuntersuchungen verschiedener Institute belegen, dass auch heute noch mehr als 80 Prozent der firmenkritischen Daten weltweit auf Mainframes liegen. Dort werden sie mithilfe traditioneller Host-Applikationen und -Protokolle bearbeitet. Diese Anwendungen sind zum Teil aber zum Teil über 20 Jahre alt. Deshalb verfügen sie meist über keinerlei Auditing-Funktionen und bieten somit auch keine Hilfe für einen lückenlosen Nachweis aller Benutzerzugriffe auf sensible Informationen.
Im Hinblick auf heutige Compliance-Anforderungen sollte dieses kritische Manko von der EFM-Lösung in besonderem Maße adressiert werden. Mit ins Überwachungsportfolio gehören auch SQL- und FTP-Zugriffe. Im Idealfall lassen sich darüber hinaus weitere Anwendungskommunikations-Protokolle frei konfigurieren.
Die Methode, Datenströme auf Applikationsebene zu überwachen, bindet alle Mitarbeiter des Unternehmens in gleicher Weise mit ein. Weder Geschäftsführer noch IT-Administratoren („Privileged User“) haben irgendwelche Sonderrechte, sobald sie eine entsprechende Applikation nutzen. Administratoren bleiben bei ihrer Arbeit mit Tools, die ihre Rechte etwa aus Active Directory beziehen, komplett unberührt. Auf Applikationen mit firmenkritischen Daten haben sie in der Regel ohnehin kein Konto – und wenn, greift dort automatisch die EFM-Überwachung.
Seite 3: Persönlichkeitsrechte und Datenschutz sicherstellen
Persönlichkeitsrechte und Datenschutz sicherstellen
Wenn es um „lückenlose Aufzeichnung“ geht, entsteht schnell der fade Beigeschmack von totaler Überwachung á la Big Brother. Damit hätten entsprechende Lösungen weder beim Gesetzgeber noch beim Betriebsrat eine Chance. Daher setzen EFM-Lösungen nicht auf die Überwachung von Benutzern, sondern auf das Audit von Applikationen.
Standardmäßig erfolgt die Datensammlung in den Sensoren hier sogar völlig anonymisiert. Erst bei einem Verstoß im Umgang mit den Applikationen erfolgt eine Alarmmeldung an das IT- oder Fraud-Management – auf Wunsch auch gleichzeitig an den Betriebsrat.
Was konkret einen Verstoß darstellt, ist von Unternehmen zu Unternehmen sehr unterschiedlich. Beispielsweise erlauben manche privates Surfen oder/und Telefonieren – manche nicht. Entsprechende Policies müssen in der EFM-Lösung hinterlegbar sein. Hilfreich ist auch ein Satz an Standard-Regeln, deren Bruch immer sofort die Alarmglocken klingeln lassen.
Verdächtige Ereignisse könnten beispielsweise sein, wenn ein Mitarbeiter eine verborgene Regel ändert, sich mit verschiedenen Nutzeridentitäten vom gleichen Terminal aus anmeldet oder wenn z.B. ein Sachbearbeiter ohne Bezug zu einem Kunden einfach dessen Adresse ändert. Solche und eine Liste weiterer Aktionen sollte sofort von der EFM-Lösung erkannt werden, um mögliche Regelverstöße einkreisen zu können.
An den Sensoren sollte sich möglichst differenziert festlegen lassen, welche Kommunikationsprozesse aufgezeichnet werden. Web-Sessions mit externen Web-Servern sind in der Regel für das interne Fraud-Management irrelevant, Sessions mit einem Unternehmens-Server hingegen sollten sehr wohl protokolliert werden. Auch sehr spezielle Vorgaben – zum Beispiel protokolliere alle Telnet-Sessions an Switch x, Port n – lassen sich bestenfalls vorgeben. Die Privatsphäre an den PCs bleibt unangetastet – zumindest solange User ihre Dateien nicht auf einem überwachten Kanal verschicken.
Das vielleicht effektivste Instrument zur Sicherstellung der Privatsphäre ist ein fein abgestuftes Berechtigungskonzept. Es legt detailliert fest, wer auf welche Informationen des EFM zugreifen darf. Im Sinne der Wahrung der Privatsphäre haben sich insbesondere auch Auswertungen bewährt, die über ein geteiltes Passwort geschützt sind. Im Falle eines Alarms könnten beispielsweise Geschäftsführung und Betriebsrat simultan benachrichtigt werden. Der Zugriff auf die personalisierte Auswertung ist nur möglich, wenn beide Parteien ihren Anteil am Passwort eingeben.
Resümee
EFM-Systeme sind unverzichtbare Helfer, wenn es darum geht, geschäftliche Risiken, finanzielle Verluste, nicht bestandene Audits und Imageschäden zu verhindern. Ihre große Stärke sind ihre umfassenden Analysefunktionen.
Mit ihrer Hilfe sind Compliance-Auditoren und Betrugsspezialisten in der Lage, innerhalb eines funktionsstarken Fallbearbeitungssystems Benutzeraktivitäten in Echtzeit zu analysieren, Anwendungs-Screens aufzuzeichnen und wiederzugeben sowie verdächtige Verhaltensmuster zu erkennen.
Die interaktiven Werkzeuge erkennen zudem Muster und Trends über mehrere Abteilungen und Anwendungen hinweg. Mit dieser Erkenntnislage lassen sich die Aktivitäten lückenlos zueinander in Beziehung setzen, um im Falle eines Falles entschieden und bei gesicherter Faktenlage eingreifen zu können.
Stephan Sippel ist Sales Manager Security & Integration Solutions für Zentral- und Osteuropa bei Attachmate.
(ID:2051578)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930817/original.jpg "Das JSON Web Token (JWT) hilft bei der sicheren Übertragung von JSON-Objekten, zum Beispiel für Authentifizierungsaufgaben zustandsloser Sessions. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913900/1913919/original.jpg "Mit dem GateKeeper von Untethered Labs können sich Nutzer sicher an ihrem Arbeitsplatz einloggen, ohne ein Passwort zu benötigen. (ProSoft)")