:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Big Brother trifft auf digitale Welt IT-Security: Bedeutet „sicher“ auch „geheimdienstsicher“?
Spätestens seit den Enthüllungen von Edward Snowden über angezapfte Glasfaserkabel und diverse Spähprogramme der Geheimdienste werden Security-Paradigmen neu ausgelotet. Christian Heutger, Geschäftsführer beim Internet-Security-Spezialisten PSW Group, legt seine Ansichten zu diesem schwierigen Thema dar.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Security-Insider: Während in Deutschland über Vorratsdatenspeicherung hitzig debattiert wird, scheint es in den USA gängige Praxis zu sein, Kommunikationsdaten zu speichern. Allerdings liegt es in der Natur der Geheimdienstarbeit, dass Details im Verborgenen bleiben. Wie schätzen Sie die Gemengelage ein: Was wird überwacht, gespeichert, ausgewertet?
Heutger: Die meisten großen US-Provider sind spätestens seit 2006 angehalten, kontinuierlich Daten zu speichern. Dazu zählen Telefon- sowie Internetverbindungsdaten. Das betrifft zunächst allerdings nur US-Bürger. Gespeichert werden diese Daten unbefristet. Die Europäer kommen dann mit dem Programm Tempora ins Spiel. Hier kooperieren die NSA und der britische Geheimdienst GCHQ miteinander. 200 Glasfaserkabel werden angezapft – wohl auch welche, die aus Deutschland kommen. Dabei werden die Inhalte der Kommunikation wie E-Mails bis zu drei Tage zwischengespeichert. Die Meta- beziehungsweise Verbindungsdaten werden sogar bis zu 30 Tage erfasst. Das ist problematisch, da mit diesen Informationen komplette Bewegungsprofile von Anwendern rekonstruiert werden können. Zudem kann nicht ausgeschlossen werden, dass Daten in Einzelfällen unbegrenzt gespeichert werden. Denn was die jüngsten Enthüllungen doch zeigen ist, dass sich die Geheimdienste offenbar selbst jeder wirksamen, parlamentarischen Kontrolle entziehen.
Security-Insider: Zuletzt kam im Zuge der Snowden-Enthüllungen das „Projekt Bullrun“ ans Tageslicht, das „Decryption-Program“ der NSA, das offenbar sogar SSL-Verschlüsselung knacken kann. Welche gesicherten Informationen gibt es darüber und was bedeutet das für die PSW Group, die SSL-Zertifikate im Produktportfolio hat?
Heutger: In diesem Zusammenhang war in Medien tatsächlich zwischenzeitig die Rede von einem Generalschlüssel, über den die Geheimdienste angeblich SSL-Kommunikation ausspähen könnten. Diese Darstellung darf bezweifelt werden. Anstatt dessen wäre es aber durchaus denkbar, dass SSL-Zertifizierungsstellen mit Sitz in den USA eigene Root-Schlüssel oder Zwischenzertifikate an Behörden herausgeben, um darüber Man-in-the-Middle-Attacken auf den geschützten Datenaustausch zu ermöglichen. Für ein solches Szenario gibt es aber keine gesicherten Informationen. Es ist unserer Einschätzung nach zudem unwahrscheinlich, dass sich die wichtigsten, großen Zertifizierungsstellen der USA darauf einlassen würden. Deren SSL-Zertifikate würden als kompromittiert gelten und daraufhin von den gängigen Webbrowsern nicht mehr unterstützt. Zudem gibt es SSL-Zertifizierungsstellen außerhalb des Einflusses der USA wie beispielsweise SwissSign – aus der Schweiz. Also: Bei den SSL-Zertifikaten gibt es europäische Alternativen, um die Online-Kommunikation abzusichern.
Security-Insider: In einem Statement von Ihnen heißt es „Auch Deutschland gehört zu den Ländern, die für die NSA besonders interessant sind: Bis zu 500 Millionen Datensätze über die Internet- und Telefonnutzung werden pro Monat gesammelt!“ Wie gesichert sind solche Angaben?
Heutger: Da sich die Datenspione – in diesem Fall die Geheimdienste von USA und Großbritannien – bedeckt halten und sich die Regierungen beider Länder nicht gerade kooperationswillig zeigen, lassen sich derartige Angaben nur schwerlich gegenprüfen. Nach allem, was wir über den Umfang der Programme Prism und Tempora wissen, erscheint die Zahl jedoch realistisch.
Lesen Sie auf der nächsten Seite mehr über die Problematik der Wirtschaftsspionage.
Security-Insider: Wie würden Sie die Gefahr einschätzen, dass seitens ausländischer Geheimdienste konkrete Wirtschaftsspionage hier in Deutschland betrieben wird – immerhin besteht dazu teilweise ein gesetzlicher Auftrag?
Heutger: Es ist Fakt, dass ausländische Geheimdienste in Deutschland Wirtschaftsspionage betreiben. Das Bundesamt für Verfassungsschutz aber auch das Bundeskriminalamt dokumentieren seit Jahren solche Vorfälle. Dass solche Attacken auch von politisch Verbündeten ausgehen, gibt dem Problem nun natürlich noch einmal eine vollkommen neue Dimension. Bisher standen eher Länder wie China im Verdacht, im großen Stil zu spionieren. Im Übrigen steht nicht nur die Wirtschaft im Fokus, sondern auch die Politik. So wurden in den vergangenen Jahren beispielsweise mehrfach Angriffe auf Computersysteme der deutschen Bundesregierung bekannt.
Security-Insider: Die PSW Group ist ein Dienstleister für Internet-Lösungen mit Schwerpunkt auf Security-Aspekte. Laufen bei Ihnen jetzt die Telefone heiß?
Heutger: Wir spüren im Zuge der jüngsten Enthüllungen schon eine Verunsicherung auf Seiten von Unternehmen und Anwendern. Der Beratungsbedarf ist hier sicherlich gestiegen.
Security-Insider: Mal ganz fatalistisch gefragt: Ist es nicht ein Kampf gegen Windmühlen, wenn man sich mittels kryptografischer Methoden vor Überwachung schützen will? Ich spreche von angezapften Glasfaserkabeln, einem regen Datenaustausch unter Geheimdiensten, Möglichkeiten SSL-Verschlüsselungen zu knacken, herstellerseitig eingebauten Backdoors in verschiedenen Hard- und Software-Produkten et cetera…
Heutger: Nein. Sich zu schützen, ist immer besser, als sich nicht zu schützen. Datenspionen – unabhängig in wessen Auftrag diese handeln – sollte es möglichst schwer gemacht werden, Daten abzufangen. Selbst Edward Snowden rät zum konsequenten Verschlüsseln, weil es etwas bringt. Und ganz entscheidend: Es gibt auch immer Alternativen zu Herstellern in den USA. Europäischen Hardware- und Software-Produzenten kann man nicht per se unterstellen, dass auch sie entsprechende Backdoors in ihre Produkte integrieren. Gerade in Deutschland herrscht ein vollkommen anderes Klima und Rechtsverständnis, was solche Dinge betrifft.
Security-Insider: Was halten Sie von Bestrebungen nach „Cloud-Lösungen made in Germany“ oder einer „United Cloud of Europe“? Hintergrund meiner Frage ist folgender: In Hinblick auf den Gerichtsstand mögen so zwar rechtliche Verpflichtungen wie durch den „Patriot Act“ zur Kooperation mit Geheimdiensten auszuschließen sein, aber das Internet ist international. Wenn Sie eine Mail von München nach Hamburg schicken, kann es sein, dass die Daten einen Umweg über den großen Teich machen. Bedenkt man das, verlieren Zusicherungen der Politik wie „in Deutschland werden keine Datenschutzrechte gebrochen“ an Zugkraft.
Heutger: Lokale Cloud-Lösungen erscheinen natürlich interessant, wobei auch hierzulande die entsprechenden Voraussetzungen für diese geschaffen werden müssen. Sprich: passende Sicherheitsmaßnahmen und Standards, die die hohen Vorgaben des deutschen Gesetzgebers in punkto Datenschutz gewährleisten. Hierzu zählt beispielsweise, den Datenverkehr auf möglichst direkten Wegen laufen zu lassen und flankierend entsprechend sichere Verschlüsselungsverfahren einzusetzen. Von der Vorstellung, Traffic innerhalb von Landesgrenzen zu belassen, darf man sich hierbei jedoch nicht leiten lassen. Dies ist schlicht unmöglich und nicht effektiv.
(ID:42325201)
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/93/29935b5b9c5ab693157d107720866ed8/0111573077.jpeg "Dank einiger Tools kann jeder selbst testen, ob die eigene Website auch wirklich DSGVO-konform ist. (Bild: © – fotohansel – stock.adobe.com)")