:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risikofaktor Outsourcing Externe Dienstleister brauchen Kontrolle
Unternehmen gehen dazu über, das Management von IT-Systemen und Netzwerken externen Dienstleistern zu übertragen. Outsourcing-Strategien sind zwar kostensparend, doch sie haben durchaus auch Auswirkungen auf die IT-Sicherheit und Compliance. Daher ist es wichtig, die Aktivitäten von externen Administratoren genau im Auge zu behalten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Unternehmen übertragen in zunehmendem Maße Aufgaben aus dem IT-Bereich an Dienstleister – um Kosten zu senken. Bei diesen externen Fachkräften handelt es sich um Mitarbeiter von Herstellern und Serviceprovidern, um Softwareentwickler und Systemverwalter. Sie übernehmen Betrieb und Wartung von IT-Systemen, Netzwerken, E-Mail-Konten oder betreiben Business-Anwendungen.
Technologien wie Cloud-Computing verleihen diesem Trend einen Schub: Unternehmen speichern und verarbeiten Geschäftsdaten und personenbezogene Informationen in Cloud-Rechenzentren von externen Serviceprovidern wie Telekom, Amazon Web Services oder Microsoft. Auch das Management von Private Clouds, die Unternehmen im eigenen Rechenzentrum betreiben, wird an verstärkt Serviceprovidern outgesourct.
:quality(80)/images.vogel.de/vogelonline/bdb/1358100/1358149/original.jpg "Compliance-Vorschriften wie PCI-DSS, ISO 27000 und HIPAA verlangen, dass Unternehmen die Aktivitäten von externen IT-Dienstleistern überwachen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1358100/1358150/original.jpg "Ein netzwerkbasiertes Privileged Access Management (PAM) kontrolliert, überwacht und analysiert alle Aktivitäten von Systemadministratoren, auch solchen von externen Dienstleistern.")
Dritte erhalten Zugang zu sensiblen Daten
Doch das Auslagern von Aufgaben an Dritte bringt Risiken mit sich, denn die externen IT-Spezialisten erhalten dabei Zugang zu sensiblen Informationen der Auftraggeber:
- Datenbanken mit Kundendaten, Umsatzzahlen und möglicherweise sogar Informationen aus der Forschungs- und Entwicklungsabteilung,
- Zugriff auf Konfigurationseinstellungen von Netzwerksystemen, Servern und Clients,
- Zugang zu IT-Sicherheitskomponenten wie Firewalls, Intrusion-Prevention-Systemen und Monitoring-Lösungen.
In vielen Fällen haben also externe Mitarbeiter vergleichbare Berechtigungen wie interne Systemverwalter und IT-User mit erweiterten Zugriffsrechten. Dies ist durchaus auch notwendig, damit die externen Experten „ihren Job“ erledigen können.
Verschärft wird die Situation durch weitere Faktoren etwa der Unsitte, dass Beschäftigte von IT-Dienstleistern oft die Zugriffsdaten von Administrator-Accounts untereinander austauschen. Das macht die Arbeit zwar einfacher – wenn etwa ein Kollege in Urlaub ist. Doch es wächst auch die Gefahr des Missbrauchs, ohne dass sich ein Verantwortlicher eindeutig identifizieren ließe.
Zielgerichtete Attacken und Leichtsinn
Diese Situation ist auch Angreifern bekannt. Zielgerichtete Cyber-Angriffe auf die Benutzerkonten von externen IT-Administratoren häufen sich – wie die Berichte in einschlägigen Medien belegen.
Dazu kommt die Gefahr durch absichtliche oder fahrlässige Fehlkonfigurationen von IT-Systemen. Dieses Risiko besteht natürlich auch dann, wenn unternehmenseigene Administratoren aktiv sind. Problematisch ist allerdings, dass illoyale externe IT-Experten mit den entsprechenden Berechtigungen die Möglichkeit haben, die Spuren illegaler Aktivitäten zu beseitigen, indem sie Logfiles löschen oder manipulieren. Eine Umfrage des Sicherheitsspezialisten Balabit aus dem vergangenen Jahr ergab, dass zwei Drittel aller Administratoren mindestens einmal Logdateien beseitigt oder verändert haben, um Hinweise auf Angriffe oder eigene Versäumnisse zu beseitigen.
Sicherheitssysteme sind nach außen gerichtet
Illoyale Insider profitieren davon, dass IT-Sicherheitslösungen in der Regel dafür ausgelegt sind, Attacken von außen abzuwehren. Angriffe von eigenen Mitarbeitern oder Fachleuten von IT-Dienstleistern haben sie oft nicht auf dem „Radar“. Hinzu kommt, dass ein Insider mit erweiterten Rechten Detailkenntnisse über Sicherheitsmaßnahmen und Speicherort von Informationen besitzt.
Aus diesen Gründen wäre es fahrlässig, IT-Dienstleister und deren Mitarbeiter an der langen Leine zu führen, also ihnen umfassende Rechte einzuräumen und gleichzeitig auf Kontrollfunktionen zu verzichten. Vielmehr sollten Unternehmen, die auf IT-Dienstleister zurückgreifen, Sicherheitsvorkehrungen implementieren, und dies in Verbindung mit einem Monitoring der Aktivitäten von externen IT-Fachleuten.
Blinde Flecken erkennen
Firewalls und die standardmäßigen Funktionen für den Schutz von Applikationen reichen in diesem Fall nicht aus. Vielmehr gilt es die „blinden Flecken“ herkömmlicher Security-Monitoring-Tools zu beseitigen und Risiken zu identifizieren, die solchen Werkzeugen verborgen bleiben.
Eine Option ist der Einsatz von Monitoring-Lösungen, die das typische Verhalten von IT-Usern als Bewertungsgrundlage heranziehen. Denn jeder Nutzer hat seinen individuellen „Fingerabdruck“: Er loggt sich meist zu denselben Zeiten und vom selben Ort aus in das Unternehmensnetz ein, hat eine eindeutige Art zu tippen oder seine Maus zu bewegen, benutzt bestimmte Hardware, arbeitet mit bestimmten Applikationen und greift in vielen Fällen auf die gleichen Daten zu. Ein externer Administrator setzt beispielsweise Tools für die Verwaltung von IT- und Netzwerksystemen ein oder gibt über die Konsole bestimmte Befehle ein.
„Normales“ User-Verhalten als Maßstab
Auf Basis solcher Informationen lässt sich ein Profil erstellen und es in Echtzeit mit allen aktuellen Aktionen des Nutzers abgleichen. Das erfolgt natürlich unter Einhaltung der EU-Datenschutzregelungen, insbesondere der Datenschutz-Grundverordnung (DSGVO). Sobald es zu deutlichen Abweichungen vom Normalverhalten kommt, schlägt eine solche Monitoring-Lösung Alarm und unterbindet schädliche Aktionen, bevor sie Schaden im Unternehmen anrichten können.
Damit es nicht zu Fehlalarmen kommt, stuft die Monitoring-Software einzelne Aktivitäten anhand ihres Risikopotenzials ein. Kleinere Abweichungen werden toleriert, greift er dagegen plötzlich auf eine Datenbank mit Kundenadressen oder Geschäftsdaten zu, wird der interne IT-Security-Spezialist informiert.
Keine neuen Hürden für Nutzer
Wichtig ist, dass solche Sicherheits- und Monitoring-Lösungen weder die unternehmensinternen Geschäftsprozesse noch die tägliche Arbeit der User beeinträchtigen. Zu stringente Vorgaben führen letztlich dazu, dass Administratoren und Softwarespezialisten ihre Arbeit nicht wie gewohnt erledigen können. Zudem provoziert ein zu engmaschiges Kontrollsystem Mitarbeiter dazu, Umwege zu finden und dadurch die IT-Sicherheit zu gefährden.
Mit einer verhaltensbasierten IT-Sicherheitslösung lassen sich dagegen die Sicherheitsmechanismen auf ein Maß reduzieren, das weder die Nutzer beeinträchtigt noch Daten und IT-Systeme Risiken aussetzen. Herkömmliche Ansätze dagegen sehen die Implementierung weiterer Security-Tools vor. Das kostet Geld und beeinträchtigt die Flexibilität und Produktivität der Mitarbeiter.
:quality(80)/images.vogel.de/vogelonline/bdb/1277700/1277722/original.jpg "Geschonte Budgets und mehr freie Zeit für wichtige IT-Projekte sind zwei Gründe, warum sich der Wechsel zu einem MSSP lohnen kann. (Pixabay)")
Managed Security Services Provider (MSSP)
Wann sich das Outsourcen von IT-Sicherheit lohnt
Basis: Maschinelles Lernen
Die Grundlage einer verhaltensbasierten Sicherheitslösung sind Machine-Learning-Algorithmen, die unabhängig voneinander arbeiten. Sie erkennen innerhalb kürzester Zeit, ob sich die Aktivitäten eines Users, etwa eines Mitarbeiters eines IT-Dienstleisters, im normalen Rahmen bewegen. Eine schnelle Reaktion ist notwendig, um den Schaden durch externe Angriffe oder Insider-Attacken so klein wie möglich zu halten. Bereits während der „Aufklärungsphase“, die dem eigentlichen Cyber-Angriff vorausgeht, muss eine solche Sicherheitslösung die Attacke erkennen und unterbinden. Das Zeitfenster, das einem Angreifer für seine Aktionen bleibt, wird dadurch minimiert.
Über den Autor: Csaba Krasznay ist Security Evangelist bei Balabit. Im Januar 2018 würde Balabit von One Identity gekauft.
(ID:45155294)
:quality(80)/p7i.vogel.de/wcms/53/76/5376cf2f948ad016b8f3227dc189840a/0105996122.jpeg "In Zeiten großer Cloud-Transformationsinitiativen kommt man mit herkömmlichem Privileged Access Management nicht mehr aus. Hier braucht es spezielle Lösungen, sagt Andreas Müller von Delinea. (Bild: Delinea)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")