:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Knackpunkt: Hotspot-Anmeldung
Wenn HTTP durchgehend freigegeben ist, kann der Benutzer ungeschützt im Internet surfen. Die IT-Abteilung wird versuchen diesen Fall bei einem öffentlichen Netzzugang wie einem Hotspot so weit wie möglich einzuschränken. Doch die Anmeldung am Hotspot muss trotzdem möglich sein. Ein Weg dieses Dilemma zu lösen ist es, das Protokoll nur für eine kurze Zeit bei Bedarf freizugeben.
Der Nutzer startet dazu manuell die Suche nach dem Hotspot und die Personal Firewall wird für eine bestimmte Zeitspanne, etwa zwei Minuten, freigeschaltet. Das funktioniert, erlaubt dem Anwender aber, in diesen zwei Minuten jede beliebige Webseite aufzurufen. Und natürlich hindert ihn niemand daran, die Suche mehrfach auszulösen und immer wieder zwei Minuten lang ungeschützt im Web zu surfen.
Eine Lösung stellt moderne VPN-Software, wie der Secure Client von NCP, dar. Sie kombiniert verschiedene Techniken, um hohe Sicherheit und Flexibilität zu gewährleisten. Befindet sich ein Benutzer mit seinem Endgerät im Empfangsbereich eines öffentlichen WLAN, wählt er den Menüpunkt „Hotspot-Anmeldung“. Der NCP Secure Client sucht daraufhin automatisch den Hotspot und baut, bei einem anmeldungsfreien Dienst, den VPN-Tunnel automatisch zur Gegenstelle auf. Wird eine Benutzereingabe vom Hotspot-Anbieter gefordert, kann der Secure Client einen gehärteten und funktional eingeschränkten Browser starten. Er lässt sich nur für die Anmeldung an Hotspots nutzen und bringt maximale Sicherheit für diesen kritischen Vorgang. Über Dateirechte und HASH-Werte kann zusätzlich sichergestellt werden, dass nur dieser Mini-Browser ausschließlich dann gestartet wird, wenn eine Anmeldung am Hotspot ansteht.
Firewall dynamisch konfigurieren
Abhängig von der notwendigen Kommunikation werden die entsprechenden Firewall-Regeln dynamisch erzeugt. Ebenso kontrolliert wird die Anzahl der IP-Adressen, die der Browser über die Anmeldungswebseite kontaktiert. Nun kann der Anwender seine Zugangsdaten eingeben und nach erfolgreicher Anmeldung mit dem NCP Secure Client die VPN-Verbindung zu seiner Firmenzentrale aufbauen. Eine direkte Kommunikation zum Internet unter Umgehung des VPN-Tunnels ist während der Anmeldung ausgeschlossen. Besonders elegant lässt sich die Anmeldung über Wireless Internet Service Provider Roaming (WISPr) abwickeln. Mit diesem Protokoll ist kein Browser mehr notwendig, der VPN-Client streamt die notwendigen Daten mittels XML an den Hotspot-Server.
Firewalls benötigen unterschiedliche Regeln für das heimische LAN und für nicht-vertrauenswürdige Netze. Was im LAN erlaubt ist, ist vermutlich in einem fremden Netz verboten. Wer sich über ein fremdes Netz per VPN mit dem LAN verbindet, ist erst dann im sicheren Netz angekommen, wenn der Tunnel korrekt etabliert ist und nicht umgangen werden kann.
Für die Personal Firewall stellt das natürlich ein Problem dar, da sie nicht wissen kann, wie ein Netz zu behandeln ist. Die Entscheidung nur auf den IP-Adressbereich zu basieren funktioniert in vielen Fällen nicht. Gerade kleine und mittelgroße Firmen nutzen intern einen Standard-IP-Bereich wie 192.168.x.x und NAT für die Verbindung mit dem Internet. Verbindet ein Mitarbeiter von Firma A seinen Laptop mit dem Netz von Firma B, die zufällig den gleichen IP-Adressbereich nutzt, schaltet seine Firewall im schlimmsten Fall alle Ports und Protokolle frei.
Automatik für Freund oder Feind
Um hier automatisiert die richtige Wahl zu treffen, sollte die Firewall selbst in der Lage sein, das heimische Netz durch einen Friendly Net-Server (FNS) im LAN zu erkennen. Ist er erreichbar, kann die Firewall den reduzierten Regelsatz anwenden, fehlt er im internen Netz, gelten automatisch die restriktiveren Regeln. Komfortabel ist es auch, wenn der VPN-Client mit Firewalls am Hotspot umgehen kann, die keine IPsec-Verbindung zulassen. Mit der neuen Path-Finder-II-Technologie schaltet der NCP Secure Client automatisch von IPsec auf SSL um, falls spezielle Application Firewalls oder Proxies den Aufbau des klassischen IPsec-Tunnels blockieren. Für den Anwender erfolgt der Wechsel transparent, ein Icon zeigt den aktiven SSL-Modus an.
Trotz automatisierter Hotspot-Anmeldung und Friendly Net-Detection ist es sinnvoll, grundlegende Sicherheitsmaßnahmen zu beachten. Natürlich ist ein Hotspot der deutschen Telekom oder der Bahn vertrauenswürdiger als der Hotspot eines Restaurants oder ein gänzlich unidentifizierter Access-Point. Wenn mehrere verfügbar sind, sollte man immer den bekannteren Anbieter wählen.
Bye, bye, Störerhaftung
Von diesen verlässlichen Anbietern könnte es bald viel mehr geben. Die unsägliche Störerhaftung, die Betreiber offener WLAN-Hotspots für Rechtsverstöße der Nutzer verantwortlich machte, ist gefallen. Nachdem die konservative politische Fraktion lange auf der Störerhaftung bestanden hatte, kam nach einem Gutachten des EuGH-Generalanwalts im März Bewegung in die Situation. Das Gutachten ergab, dass zumindest Gewerbetreibende, die der Öffentlichkeit ein kostenloses WLAN zur Verfügung stellen, nicht für das verantwortlich sind, was die Nutzer damit tun.
In Deutschland wird noch nicht einmal zwischen gewerblichen und privaten Hotspots unterschieden, es war klar, dass ein folgendes Urteil des europäischen Gerichtshofs die deutsche Gesetzgebung als europarechtswidrig demaskieren würde. Nun einigte sich die große Koalition auf die lange umstrittene Reform des Telemediengesetzes (TMG), mit der Hotspot-Betreiber praktisch vollständig von der Störerhaftung befreit werden. Lief bisher jeder Hotspot-Anbieter Gefahr, straf- und zivilrechtlich belangt zu werden, wenn Nutzer illegale Aktivitäten über seinen Hotspot durchführten, herrscht jetzt bald Rechtssicherheit für die Anbieter. Die Folge dürfte eine Vielzahl von neuen privaten und gewerblichen Hotspots im öffentlichen Raum sein.
Noch ist das Gesetz nicht verabschiedet, aber die Regierungskoalition hat sich auf die lange umstrittene Reform des Telemediengesetzes (TMG) geeinigt. Auch private und nebengewerbliche Anbieter, wie ein Restaurant, sollen das so genannte Providerprivileg der gewerblichen Anbieter genießen. Sie müssen ihr WLAN nicht mehr mit einer Vorschaltseite oder mit einer Passwortsperre sichern. Das Gesetz könnte bereits im Herbst 2016 in Kraft treten. Dann gibt es endlich den passenden rechtlichen Rahmen für die bereits zuhauf verfügbaren technischen Lösungen.
Die Angebotspalette reicht vom Heim-Router über dedizierte Gateways auf Linux-Basis und Windows-10-PCs bis hin zu gewerblichen Hotspot-Lösungen. Egal welche Plattform zum Einsatz kommt, wichtig ist in jedem Fall, auf die Trennung von lokalem Netz und dem Netzsegment mit dem Hotspot-Traffic zu achten. Gerade bei Routern für den Hausgebrauch ist nicht immer klar, ob der Hotspot-Teil in einem VLAN separiert oder auf eine andere Art und Weise vom Rest des LANs getrennt ist.
(ID:44080464)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945969/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1909100/1909133/original.jpg "Remote Access (zu Deutsch „Fernzugriff“) bedeutet Zugriff auf entfernte Computer, Server, Netzwerke oder andere IT-Systeme zu erhalten. (gemeinfrei)")