IT-Sicherheit kostet nur Geld, der Nutzen ist kaum erkennbar – nach diesem Motto haben viele Unternehmen jahrelang gehandelt. Langsam ist es Zeit zum Umdenken, denn immer öfter gibt es schwerwiegende Sicherheitsvorfälle, bei denen Angreifer auf Passwörter, Schlüssel oder Zertifikate zugreifen und inzwischen kosten solche Fälle sogar CEOs den Job.
IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung muss die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie stehen, damit das Unternehmen für künftige Cyber-Attacken gewappnet ist.
(Bild: lassedesignen - Fotolia.com)
Trotz der großen Publizität vieler Datendiebstähle sind viele Websites und Webapps von Unternehmen noch immer verwundbar gegen teils Jahrelang bekannte Angriffe. Fast überall gibt es bei Anwendungen, die über das Web zugänglich sind, einen erheblichen Handlungsbedarf.
Ein hoher Prozentsatz aller Web-Applikationen weist gravierende Sicherheitslücken auf. Fast jede davon kann für Datenklau und Industriespionage ausgenutzt werden. Und bei erfolgreichen Cyber-Attacken drohen, wenn sie publik werden, Unternehmen auch noch drastische Imageverluste.
Bezüglich der IT-Sicherheit von Webanwendungen hinken Unternehmen den Möglichkeiten der Angreifer hinterher – sehr oft sehr deutlich. Besonders gefährlich wird es, wenn eine schnelle Web-Lösung benötigt wird und Unternehmen vorhandene Softwarebausteine mit neuem Programmcode kombinieren.
Eine solche Anwendung ist schnell fertig und bietet ausreichend Funktionalität. Um rasch den Betrieb aufnehmen zu können, wird häufig auf umfangreiche und langwierige Sicherheitstests verzichtet. Nach genau solchen Gelegenheiten halten Hacker gezielt Ausschau.
IT-Sicherheit braucht Struktur
Wenn es um IT-Sicherheit geht, überlassen Unternehmen noch immer zu vieles dem Zufall. Sehr oft sind einzelne Lösungen vorhanden, die Aufgaben wie Virenschutz, Passwort- und Identitätsmanagement, die Verschlüsselung sensibler Unternehmensdaten oder Angriffe auf die Website und auf Web-Anwendungen angehen. Mehrere Personen kümmern sich um zugegebenermaßen wichtige Einzelthemen, es gibt aber kaum jemand, der für alle IT-Sicherheitsaufgaben zuständig und verantwortlich ist. Daher bleibt das meiste Stückwerk.
IT-Sicherheit muss zu einer Aufgabe der Geschäftsleitung werden. Auf der Tagesordnung steht die Entwicklung einer ganzheitlichen IT-Sicherheitsstrategie, die alle Aspekte berücksichtigt. Für die Umsetzung und ständige Anpassung ist ein Chief Security Officer verantwortlich. Insellösungen, die an einzelnen Problemen ansetzen, reichen nicht mehr aus. Unternehmen müssen jetzt handeln, um für künftige Sicherheitsattacken gewappnet zu sein.
Nachholbedarf bei Security Awareness
Der Autor Michael Heuer ist Regional Vice President und Country Manager Central Europe bei Akamai in Garching bei München. (Bild: Proofpoint)
Eine ganzheitliche IT-Sicherheitsstrategie umfasst technische und organisatorische Maßnahmen. Viele der klassischen Sicherheitswerkzeuge wie der Schutz vor Viren, Malware, Phishing sowie ein regelmäßiges Sicherheits- und Patchmanagement haben nicht ausgedient. Sie liefern den notwendigen Basisschutz. Nachholbedarf gibt es beispielsweise in den Bereichen Schulung, Training und Sensibilisierung der Mitarbeiter bezüglich neuerer Bedrohungen durch Social Engineering oder Social Hacking. Wichtig ist, dass Unternehmen Prozesse und Lösungen etablieren, die vorhandene und erfolgreiche Maßnahmen und Investitionen schützen.
Ein nachhaltiger Ansatz muss darüber hinaus Bedrohungen durch immer neue Formen von Cyber-Attacken aufgreifen. Eine Reihe von Unternehmen arbeitet bereits verstärkt mobil und cloudbasiert. Mit Security-Services aus der Cloud die den Schutz und die Verfügbarkeit von cloudbasierten Applikationen und Daten sicherstellen, können Unternehmen einen Ansatz verfolgen, der die Grenzen der herkömmlichen Sicherheitslösungen ergänzt und verstärkt.
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/af/2caf0eed04808adb5e15827e9498b016/0108701466.jpeg "Fast ein Viertel der Unternehmen in Deutschland hat im letzten Jahr Mitarbeitende der IT- oder Sicherheitsabteilung entlassen. Weiterhin plant knapp ein Viertel der Unternehmen in Deutschland, das Budget für Cybersicherheit im Jahr 2023 nicht zu erhöhen. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/29/3a2991f9b7643a6802cd52d48201237d/0108671145.jpeg "Die sich verschärfende Lage in der Cybersecurity und der Fachkräftemangel in der IT-Branche deutet an, dass die Zukunft in automatisierten Lösungen steckt, auch im Bereich Pentesting. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/b2/8bb22d038966d6d99eee1deeca6b1f7f/0108670251.jpeg "Eines Studie von BSI und Polizei zeigt: Kenntnisse zum Schutz vor Cyber-Angriffen sind bei den Bürgern vorhanden, werden jedoch noch unzureichend umgesetzt. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/a1/6ea13f4f40098a55e237f83c0c4dfd0c/0108615885.jpeg "Die Sicherheit aller Netzwerk-Ports basiert auf einem umfassenden und durchdachten Verteidigungskonzept. (Bild: xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/d5/37d522ba8e6f71a8dff239cd222c8adb/0108684027.jpeg "Die Anwendungsszenarien für einen graphenbasierten digitalen Zwilling, der das IT-Netzwerk realitätsnah abbildet, sind auch ind er IT-Security nahezu unbegrenzt. (Bild: Michael Traitov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/e9/c2e96cf9b7666b3b7398b4e7e70ca00a/0108005737.jpeg "Das Active Directory gehört zu den beliebtesten Angriffsflächen moderner Netzwerke. Zeit, den Verzeichnisdienst optimal zu schützen! (Bild: © Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/06/0b06300d7f59f000585385edc15c8309/0108685340.jpeg "Dropbox erwirbt Boxcryptor-Verschlüsselungstechnologie und bietet Kunden erweiterte Unterstützung beim Datenschutz. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/f4/d6f4ce064044998fc5fdf46a4d11bb1d/0107861751.jpeg "Infinidat hat unter anderem die Cyberresilienz von InfiniBox und InfiniSafe ausgebaut. (Bild: Infinidat)")
:quality(80)/p7i.vogel.de/wcms/ad/54/ad542075237c58bf30e9a7c483e4a849/0108012711.jpeg "Confidential Computing schützt die Daten in einer Public Cloud auch während der Verarbeitung – für die Umsetzung gibt es verschiedene Lösungsansätze. (Bild: Ivan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/f1/3ef1fa15f89906e2ac1c30ff3cfbd482/0107706203.jpeg "Storage-Administratoren und -Manager müssen im Kampf gegen Cyberkriminelle eine entscheidende Rolle spielen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/2f/86/2f865b6ca19375e02aa8b94a94c41174/0108605583.jpeg "Eine DevSecOps-Strategie erfordert einen kompletten Kulturwandel und eine neue Priorisierung von Security innerhalb eines Unternehmens. Es gilt, sich auch auf die Prävention zu konzentrieren, nicht nur auf die Fehlerbehebung. (Bild: svetazi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/80/9a80196ff0154157a8c7f25c3c1d2c6e/0108012087.jpeg "Die über Mutual TLS realisierten Maschinenidentitäten sind zwar praktisch für Unternehmen, doch es gibt auch einige Bedenken hinsichtlich der Sicherheit. (Bild: Gerd Altmann (geralt))")
:quality(80)/p7i.vogel.de/wcms/a5/05/a50575b3fb0c1869d02f689e71dc10bb/0107577884.jpeg "Der Dependabot warnt vor neuen Schwachstellen in Dart-Paketen, die bereits verwendet werden. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/4f/a7/4fa79255c05b0c2b8c2cae4330e35350/0108213299.jpeg "Auch wenn Developer knapp sind und ihre Arbeitszeit teuer ist, sprechen viele Gründe dafür, dass man Training für Penetrationstests in ihr Curriculum aufnimmt. (Bild: ONYXprj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/a5/fca50c0650d5a3690bf2d5980ea12a0a/0108615631.jpeg "Biometrische Daten werden oft als sicherere und einfache Alternative zu Passwörtern genannt. Das Problem ist aber: Im Gegensatz zu Passwörtern können physische Merkmale nicht einfach geändert werden, wenn die Daten bei Cyberkriminellen landen. (Bild: LuckyStep - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/38/663833379728caf2c98043bbd3fc05e3/0108283892.jpeg "Immer mehr Unternehmen setzen auf „Zero Trust“. Das ist allerdings kein technisches Verfahren oder eine Software, sondern eine Sicherheitsphilosophie. (Bild: Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/ee/29ee34dee842476d0646d176f9736cc7/0108282527.jpeg "Sichereren Alternativen zu Username und Passwort blieb der große Durchbruch lange verwehrt. Jetzt scheint der Anfang vom Ende der Passwortverfahren aber unmittelbar bevorzustehen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/cf/81cf31bbbb3274ee99ac68774a4a3d85/0108671882.jpeg "Das NIST Cybersecurity Framework dient der Identifizierung und Minderung von Risiken sowie zur Erkennung, Reaktion und Wiederherstellung nach Hacker-Angriffen. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/53/0b53bd31fdc99baaed5991056b00b44f/0104312884.jpeg "Der CIO (Chief Information Officer) ist der Leiter der Informationstechnik (IT-Leiter) eines Unternehmens. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/e7/b1e72a6b562af4677033eade53eeb197/0104312887.jpeg "Heartbleed ist eine schwerwiegende Sicherheitslücke in der Open-Source-Bibliothek OpenSSL. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ed/84/ed8425d0c54ac840520b083729887156/0106316484.jpeg "Sunburst und Supernova sind zwei Schadsoftware-Varianten, die mittels manipuliertem Source Code der SolarWinds Orion-Software beim SolarWinds-Supply-Chain-Angriff an deren Nutzer verbreitet wurden.
(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/10/6310a0a08fe57/sast-plg-logo-1000x1000px.jpeg "sast-plg-logo-1000x1000px (SAST SOLUTIONS)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/716000/716020/original.jpg "Nach 35 Jahren beim US-Einzelhandelskonzern Target ist Vorstandsvorsitzender und CEO Gregg Steinhafel jetzt über den Verlust von Millionen Kundendaten gestolpert. (Bild: Target)")
:quality(80)/images.vogel.de/vogelonline/bdb/531900/531952/original.jpg "<b>Details:</b> Aus Sympathie für den inhaftierten Wikileaks-Gründer Julian Assange startet Anonymous im Dezember einen \"Operation Payback\" genannten Rachefeldzug gegen Wikileaks-Gegner. Hierzu zählen sie die Kreditkartenfirmen Visa und MasterCard, Postfinance und den Bezahldienst PayPal, der Wikileaks-Spenden zurückgehalten hatte. Der Angriff der Webseiten führte zu deren Ausfall.")
:quality(80)/images.vogel.de/vogelonline/bdb/531900/531955/original.jpg "<b>Details:</b> Mitte Januar wird der Online-Handel mit Emissionszertifikaten nach Bekanntwerden von Hackerangriffen ausgesetzt. Nach Schätzung der Kommission entwendeten Kriminelle Zertifikate im Wert von 28 Millionen Euro.")
:quality(80)/images.vogel.de/vogelonline/bdb/531900/531956/original.jpg "<b>Details:</b> Im Februar wird die amerikanische Sicherheitsfirma HBGary, die eigentlich dem FBI helfen sollte gegen das Hacker-Kollektiv Anonymous vorzugehen, von eben diesem gehackt. Neben 50.000 veröffentlichten internen E-Mails wurden einige ihrer Systeme lahmgelegt. Angeblich wollte Anonymous mit seiner \"Operation Paback\" Wikileaks unterstützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/531900/531954/original.jpg "<b>Details:</b> Bereits im Oktober 2010 dringen Unbekannte in die Computernetze der US-Technologiebörse Nasdaq ein. Betroffen ist der „Directors Desk“, über den die Manager börsennotierter Unternehmen Dokumente austauschen. Der Vorfall gelangt erst im Februar an die Öffentlichkeit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1896300/1896346/original.jpg "Um das Homeoffice genauso sicher zu halten wie die Unternehmens-IT, müssen auf organisatorischer wie technologischer Ebene besondere Schritte unternommen werden. (© peshkova - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1878800/1878857/original.jpg "Gesundheitseinrichtungen sind ein beliebtes Ziel für Hacker-Angriffe (NTT Ltd.)")