:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ordnung gegen Chaos Risiken der Cybersicherheit im Jahr 2020
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Der Kampf zwischen Ordnung und Chaos tobt im gesamten Cyber-Universum. Wirtschaft und Regierungen bestehen natürlich darauf, dass sie die Kräfte der Stabilität und der Organisation darstellen, und Cyberkriminelle die Kräfte des Chaos seien. Aber die Ironie besteht darin, dass in vielerlei Hinsicht die Wirtschaft und die Regierungen derzeit im Chaos versinken, während die Cyberkriminalität immer organisierter vorgeht.
Beginnen wir mit Daten aus einer vermeintlich zuverlässigen Quelle: dem Weltwirtschaftsforum. Im Jahr 2018 wurden die weltweiten Kosten der Cyberkriminalität auf 600 Milliarden Dollar geschätzt. Bis 2020 werden sie schätzungsweise 3 Billionen Dollar erreichen. Unterdessen beziffert Gartner die weltweiten Gesamtausgaben für die Cybersicherheit im Jahr 2019 auf 124 Milliarden Dollar. Der Vergleich der Kosten mit den Verlusten sieht nach einer sehr schlechten Wette aus. Oder, wie der Analytiker Vikram Phatak, Gründer von NSS Labs, betont: „Die Bösen können ihre Forschung mit einer Rate finanzieren, die etwa fünfmal so hoch ist wie die der Guten. Das verheißt nichts Gutes für die Zukunft.“
Phatak schildert auch einen ernsthaften Mangel an Kompetenzen und dass es trotz aller guten Absichten von DevOps Leute gibt, die schnell über die Google-Suche programmieren, „die sich ein Open-Source-Repository schnappen, das von Nordkoreanern, Chinesen, Russen oder Iranern vielleicht oder vielleicht auch nicht mit Hintertüren versehen wurde. Der nächste Angriffsvektor wird buchstäblich in den Code eingebettet, den wir heute entwickeln“. Wo stehen wir also heute? Die meisten CSOs können diese Frage wahrscheinlich nicht beantworten. Und das, noch bevor sie sich überhaupt mit den Gefahren des IoT, von 5G und den Bedrohungen der physikalischen Infrastruktur befasst haben.
Eine Frage der Kompetenz
Haben Sie schon vom Dunning-Kruger-Effekt gehört? Er besagt, Dass Menschen, die inkompetent sind, oftmals so inkompetent sind, dass sie nicht wissen, dass sie inkompetent sind. Sie verfügen nicht über die Mittel, um ihre eigenen Fähigkeiten zu beurteilen. Die tatsächliche Performance der unteren 25 Prozent ist vollkommen unzureichend, während sie glauben, einen guten Job zu machen. Umgekehrt gehen Menschen, die hochkompetent sind, meist davon aus, dass, wenn die Dinge für sie einfach sind, sie auch für andere einfach sein werden. „Das passiert im Silicon Valley ständig und bei Softwareprodukten im Allgemeinen. Die besten Köpfe überschätzen die Fähigkeiten der anderen.“
Die NSS Labs haben einige aufschlussreiche Daten über die Anfälligkeit von Sicherheitsprodukten gegenüber „Umgehungsmöglichkeiten“ gesammelt - d.h. ein Angriff wird erfolgreich blockiert, aber der Angreifer passt ihn nur geringfügig an und die neue Version kommt unerkannt durch. Zwölf Firewalls der nächsten Generation wurden getestet, und 9 haben sich gegen einfache Klartext-Angriffe gut geschlagen. Aber alle 12 scheiterten an der Resilienz (Tiefe der Schutzbibliothek). NSS konnte bekannte bzw. blockierte Exploits geringfügig modifizieren und den Schutz in allen Geräten umgehen. Elf von ihnen konnten Exploits, die mit Hilfe von Complex App Layer Evasions (HTML / Javascript / VBScript) verschleiert wurden, nicht blockieren. Obwohl die Umgehung von IP-Fragmentierungen seit den 1990er Jahren bekannt ist und korrekt gehandhabt wird, stellen sie weiterhin 8 der Anbieter vor Herausforderungen.
Es gibt jedoch nicht nur schlechte Nachrichten. So erreichte etwa Versa Networks' FlexVNF die begehrte „Recommended“-Bewertung der NSS Labs aufgrund einer 99%igen Exploit-Blockrate und der hohen Bewertungen sowohl bei den Kriterien SSL/TLS-Funktionalität als auch bei den Gesamtbetriebskosten.
Vikram Phatak sagt zusammenfassend: „Wir fallen zurück, und die Bösen haben die Oberhand gewonnen. Es wird schlimmer. Die Werkzeuge, auf die wir uns verlassen, sind unglaublich komplex und werden nicht einfacher. Hoffentlich wird es bei einigen der KI-Entwicklungen so sein, aber dafür gibt es keine Garantie.“
Das Motiv erkennen
Wie bei jeder Detektivarbeit hilft es, mit dem Motiv zu beginnen: Was wollen die Übeltäter erreichen? Wenn man jemanden vom US Secret Service - einem Teil des Heimatschutzministeriums - fragt, könnte man eigentlich erwarten, dass er politische Bedrohungen und Cyber-Krieg als Hauptursache anführt. Aber Tom Edwards vom US Secret Service betont, dass Geld nach wie vor der größte Antrieb ist: „Der Geheimdienst hat eine doppelte Mission. Er schützt nicht nur den Präsidenten und den Vizepräsidenten, deren Familien und ausländische Staatsoberhäupter, aber die meisten Menschen wissen nicht, dass er auch gegen cybergestützte Finanzkriminalität ermittelt. Wir begannen 1865 mit der Untersuchung von Finanzkriminalität mit gefälschtem Geld, und wir haben uns parallel mit den Kriminellen bis heute weiterentwickelt“.
Edwards erklärt: „Die Cyber-Akteure, mit denen wir es zu tun haben, sind weltweit organisierte Gruppen, und sie sind gewinnorientiert, sei es im öffentlichen oder privaten Sektor, durch Lösegeldzahlungen oder durch die Kompromittierung von geschäftlichen E-Mails. Sie sind hinter dem Geld her, sie sind hinter Kreditkartendaten her, sie sind hinter persönlichen, identifizierbaren Informationen her und machen daraus Profit. Die nächste Stufe ist dann der Diebstahl von Zugangsdaten. Sie dringen in Cloud-basierte Server ein und stehlen diese Daten, um sie im Dark Web oder an anderen Orten zu monetarisieren. “
Ted Ross, CEO und Gründer von SpyCloud, verfügt über ein Forscherteam, das mit Kriminellen interagiert und von ihnen Daten per Social Engineering stiehlt, damit diese an die Kunden weitergegeben werden können, um Account-Übernahmen zu verhindern. „Wir haben das Unternehmen vor drei Jahren gegründet. Derzeit haben wir über 13.000 Verstöße in unserer Datenbank. Fast 80 Milliarden Sätze. Wenn Sie über eine Online-Identität verfügen, haben wir sie wahrscheinlich in unserer Datenbank - was bedeutet, dass auch die Kriminellen sie haben. Sie sind hochgradig organisiert und bauen ihre eigenen Datenbanken auf“.
Welche Lösungen weisen nach vorn?
Die Menschen unterschätzen die Fähigkeit des Kriminellen, kreativ zu sein. Sie gehen davon aus, dass Unternehmen wie Akamai die Informationen, sobald sie im tiefen und dunklen Netz angekommen sind, aufspüren und ihre Kunden schützen können. Tatsächlich aber können diese Daten bis zu zwei Jahre lang weiter analysiert werden: „Als erstes werden die Daten in qualitativ hochwertige Ziele aufgeteilt - eine spezielle Kategorie für sehr raffinierte gezielte Angriffe. Den Rest belassen sie für später und führen damit automatisierte Angriffe durch.“ Einer seiner Kunden, eine Finanzorganisation, die mit vielen Krypto-Währungen zu tun hat, berichtete, dass 10 Prozent der Angriffe auf ihr Netzwerk gezielt sind, aber 80 Prozent der Verluste verursachen.
Welche technischen Lösungen weisen also den Weg nach vorn? Es wird viel über KI und Techniken des maschinellen Lernens zur Automatisierung, Beschleunigung und Verfeinerung der Angriffserkennung gesprochen - aber denken Sie daran, was Phatak über die F&E-Ressourcen gesagt hat. Die Bösewichte wenden diese Techniken wahrscheinlich bereits an. Vielleicht ist ein naheliegender Ansatz, sich auf die Visibilität zu konzentrieren? Das ist ein natürlicher menschlicher Instinkt: Wenn wir mitten in der Nacht ein verdächtiges Geräusch in unserem Haus hören, schalten die meisten Menschen instinktiv das Licht ein, obwohl sie dadurch für den Eindringling sichtbar werden könnten. Sobald die Menschen sehen können, was passiert, können sie schnell und oft sehr effektiv handeln.
Paul Kraus, Vice President of Engineering for Cybersecurity bei NetScout Systems, weist auf diesen Punkt hin: „Woher wissen Sie, was Sie überwachen müssen, oder wie legen Sie Wert auf die Assets in Ihrer Organisation, wenn Sie nicht einmal wissen, dass sie da sind? Der erste Aspekt ist die Bestandsaufnahme dessen, was man tatsächlich besitzt. Und zweitens stellt sich die Frage, ob sich tatsächlich Statistiken erheben lassen. Lassen sich Veränderungen Sie weit kontrollieren, dass die Organisation das Risiko einer Beeinträchtigung dieser Assets in Kauf nehmen kann?“ Kraus hat eine Gruppe von Sicherheitsingenieuren gefragt: „Wenn das Entwicklungsteam Ihrer Organisation etwas in die Cloud verschiebt, sind Sie dann involviert? Von 300 Personen hob ein halbes Dutzend die Hand. Versteht das Sicherheitsteam überhaupt, was da draußen ist? Versteht das IT-Team überhaupt, was draußen vorgeht? Gehen wir zurück zur Sichtbarkeit. Das ist der Schlüssel zum Verständnis der Risikohaltung. Ohne diese Sichtbarkeit haben Sie wirklich keine Chance.“
Faktor Mensch
Dies ist eine subtile Verlagerung des Schwerpunkts: von der Konzentration auf Software oder Geräte, die uns schützen sollen, hin zum Nachdenken darüber, was die Menschen brauchen, um sich zu wehren. Für einen Soldaten könnte ein Fernglas mit Nachtsicht mehr wert sein als eine Waffe. Cyber-Security-ExperteTed Ross greift dies auf: „Wenn man ein Netzwerk installiert, installiert man damit auch die Security. Sie ist ein Teil der Installation. Und hoffentlich geschieht das auch in den meisten Fällen. Nur wird bei der Implementierung einer Sicherheitspraxis oftmals der menschlichen Faktor vergessen. Das ist schwächste Glied. Es reicht nicht aus, die Geräte zu schützen, wir sollten auch mit der Ausbildung der Menschen anfangen und sie über Konzepte wie Zero Trust aufklären. Wenn Sie eine E-Mail vom CEO erhalten, in der Sie gebeten werden, Geschenke bei Apple zu kaufen, rufen Sie Ihren CEO an, um zu sehen, ob er die Geschenke tatsächlich gemacht hat. Das sind wirklich grundlegende Dinge“.
Vikram Phatak fügt hinzu: „Cybersicherheit ist wie eine Mitgliedschaft im Fitnessstudio geworden. Die Leute kaufen es, es gibt ihnen ein gutes Gefühl, aber sie setzen es nicht wirklich ein und benutzen es nicht richtig. Sie gehen nicht wirklich hin und tun, was sie tun müssen.“
Michael Levin, ehemaliger stellvertretender Direktor des US-Heimatschutzministeriums, ist jetzt CEO des Centre for Information Security Awareness und hilft Organisationen, Sicherheit in ihre Organisation zu bringen und eine Sicherheitskultur zu schaffen. Er betont diesen Aspekt des Social Engineering: „Dies ist eines der Dinge, über die wir Unternehmen und Mitarbeiter aufklären. Es geht nicht nur um Phishing-E-Mails, sondern um die verschiedenen Möglichkeiten, wie Mitarbeiter dem Social Engineering ausgesetzt werden können. Es könnte über das Telefon sein, es könnte persönlich sein, es könnte durch soziale Medien geschehen. Es gilt, Mechanismen und Erinnerungshilfen für die Mitarbeiter in der Organisation zu schaffen, damit sie täglich auf der Hut sein können“.
Gute Ratschläge
Das alles zeichnet ein eher deprimierendes Bild. Wenn wir schon nicht jubeln können, so können wir doch zumindest Ratschläge geben:
- Vergessen Sie die alte Idee, dass Hacker tief hängende Früchte bevorzugen, was bedeutet, dass sie faul sind. Wie Michael Levin sagt: „Was ist das erste, was ein intelligenter Autoknacker tun sollte? Den Türgriff überprüfen, um zu sehen, ob er unverriegelt ist. Viele Hacker machen eine sehr gute Erkundungsarbeit und finden alle offenen Fenster in unseren Netzwerken“. Sie sind nicht nur gebildet, sondern auch hoch motiviert. Für die meisten Mitarbeiter ist Sicherheit ein zweitrangiges Thema, für Hacker ist es ihr Job.
- Denken Sie über die Beziehung zwischen Ihren sozialen Medien und Ihrem Unternehmen nach. Ein Firmenchef twitterte seinen Freunden, dass er für ein paar Tage nach Peking reisen würde. Ein paar Tage später erhielt sein CFO eine E-Mail - angeblich von ihm, in der er sagte, er sei von der chinesischen Regierung verhaftet worden und brauche Geld. Sie schickten ihm das Geld, weil es genug Details in den sozialen Medien gab, um es glaubwürdig erscheinen zu lassen.
- Seien Sie misstrauisch, wenn Sie ein Gefühl der Dringlichkeit haben. Wie Levin sagt: „In neun von zehn Fällen werden die Menschen gezwungen, sehr schnell Entscheidungen zu treffen, und das führt oft zu einem Betrug. Wenn eine Nachricht „Beeilung, Beeilung“ sagt, klicken Sie nicht einfach darauf. Rufen Sie an und prüfen Sie.
- „Unterstützen Sie eine offene Kultur gegenüber Cyber-Bedrohungen“, sagt Tom Edwards. Wenn Arbeitgeber zu viel Angst vor dem Chef haben, um zu gestehen, dass sie auf eine Phishing-E-Mail geklickt haben, dann ist das Unternehmen in Schwierigkeiten. Michael Levin stimmt dem zu: „Es sollte eine Möglichkeit geben, aus der Situation herauszukommen und das Unternehmen wissen zu lassen, dass sie etwas falsch gemacht haben könnten, ohne bestraft zu werden.“
- Wenn sich Ihr Sicherheitsdenken nur auf die Technologie konzentriert, dann denken Sie mechanisch. Denken Sie stattdessen an die menschlichen Faktoren, die Motivation des Hackers und die Schwachstellen des Opfers, und Sie werden einen viel breiteren Überblick über den Kampfplatz gewinnen.
Über den Autor: Lionel Snell ist Editor bei NetEvents.
(ID:46392191)
:quality(80)/p7i.vogel.de/wcms/5a/67/5a67c779d595812c4927333b8a92749f/0109712519.jpeg "Unabhängig davon, mit welchen Bedrohungen Firmen im Jahr 2023 konfrontiert werden: Die Art und Weise, wie sie Geräte und Daten schützen, muss sich weiterentwickeln. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/c5/40c55c7404610d62b82c9b6843b282f3/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")