:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
GDPR-Compliance Risikobewertung von IT-Bedrohungen
Angriffe auf die Unternehmens-IT zu erkennen wird immer schwieriger. Unternehmen müssen sich deshalb auf sensitive Bereiche und die zielgerichtete Betrachtung von Vorgängen fokussieren. Durch die initiale Klassifizierung von Risikopotentialen schrumpft die zu betrachtende Masse an Daten auf ein verarbeitbares Volumen. Risiken werden transparent und managebar.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Banken und Kreditkartenunternehmen leben erfolgreich vor, wie Risiken auch bei zunehmender Digitalisierung erkannt und erfolgreich minimiert werden können. Für Einkäufe im Internet, durch Browser basiertes Online-Banking oder mit mobilen Applikationen, erhält der Nutzer von E-Commerce und Mobil-Banking zu jeder Zeit und an jedem Ort Zugang zur gewünschten Information und Funktionalität.
Handelsplattformen und digitale Portale gibt es nicht nur bei Vermittlern und Online-Portalen wie Uber und airbnb, auch klassische Industrien präsentieren ihre Serviceleistungen und Produkte bereits in vergleichbarer Form. Der Erhalt der eigenen Marktposition erfordert es, sich der Digitalisierung zu öffnen und Lösungen für die daraus resultierenden Risiken zu implementieren. Diese Veränderung im Nutzerverhalten erhöht permanent die Anforderungen an die Datensicherheit.
Es ist eine Aufgabe mit vielen Dimensionen, da Unternehmen nicht nur Opfer von Cyberkriminellen werden, sondern Angriffsversuche und Manipulationen oft zu spät bemerken. Beispiele wie Yahoo oder Dropbox zeigen, dass es in der Vergangenheit auch Jahre dauern konnte, bis Datenlecks der Öffentlichkeit bekannt wurden. Erhebungen von FireEye zu Folge dauert es in Deutschland im Durchschnitt 469 Tage bis Unternehmen Hackerangriffe bemerken - die Welt braucht durchschnittlich 150 Tage.
Nur 72 Stunden
72 Stunden – länger darf es aber nicht mehr dauern, bis ein Unternehmen die Behörden informiert, wenn personenbezogene Daten unberechtigt abgeflossen sind. Diese herausfordernde Zahl ist eine bindende Vorgabe nach der neuen EU-Datenschutz-Grundverordnung 2016/679 des Europäischen Parlaments und des Rates (DS-GVO bzw. GDPR). Vergleicht man die Werte, wird der Handlungsdruck der Unternehmen zur Umsetzung von Verbesserungen und zur Schließung dieser Lücke deutlich.
Viele Security-Tools helfen bereits, schnell und automatisiert Angriffe zu entdecken und abzuwehren. Bei der Vielzahl der Anwendungen steht jedes Unternehmen vor der praktischen Herausforderung, die angemessene Lösung für sich selbst zu finden. Die solide Auswahl des passenden Angebots und Partners bildet die stabile Basis zum Aufbau einer zuverlässigen und wirksamen Security-Architektur.
Auch wenn die Meldepflicht der Datenschutz-Grundverordnung nur für Daten der Privatsphäre besteht, hilft diese Begrenzung nicht bei der Auswahl der adäquaten systemseitigen Lösung. Durch die Menge der Angebote fehlt die Transparenz, welches Security-Tool welches Maß an Sicherheit bringt und Sicherheitsrisiken sind zusätzlich in ihren Auswirkungen sehr unterschiedlich.
Da der Stellenwert eines jeden Security-Problems unterschiedlich ist, empfiehlt es sich, den Fokus der Risikobewertung auf eine klare Priorisierung der Schwachstellen und Anwender mit dem höchsten Schadenspotential zu legen. Dann steht die konsequente und zielgerichtete Betrachtung bestimmter Klassen von Daten in den Vordergrund, nicht die Analyse der Masse.
Am Beispiel von Kreditkartenumsätzen wird deutlich, wie Banken und Zahlungsinstitute seit geraumer Zeit bereits Betrugsrisiken bei Ausführung der Transaktion direkt bewerten. Die Ziele sind hierbei die Verhinderung von Fälschungen und der Schutz der Karteninhaber durch starke Authentifizierung. Branchenspezifische und gesetzliche Vorgaben werden eingehalten, ohne die operative Arbeitslast zu steigern. Diese präventiven Maßnahmen sind einfach handhabbar und werden vom Kunden als Mehrwert und Serviceleistung wahrgenommen. Erfolgreiche Sicherheitskonzepte stellen keine Belastung der Kundenbeziehung dar – es lohnt deshalb, sich die konkrete Umsetzung der Finanzbranche anzusehen.
Skalierbar und in Echtzeit
Authentifizierung und Betrugsprävention funktionieren nach dem Muster verhaltensbasierter neuronaler Netze, die als selbstlernend angesehen werden. Für diesen Prozess werden kontinuierlich Daten zum Nutzungsverhalten gesammelt, die die Entscheidung auf Transaktionsebene unterstützen. Bei jedem Einzelfall wird sichtbar, ob der Vorgang vom Anwender selbst oder von einem unberechtigten Dritten ausgelöst wird. Die Risikoeinstufung erfolgt in quasi Echtzeit und möglicher Betrug wird unmittelbar transparent. Nur wenn eine Transaktion als bedeutend und riskant identifiziert wurde, werden weitere Kriterien zur Bewertung abgefragt: Wie hoch ist das tatsächliche Risiko? Worin besteht es? Was wäre die Folge?
Diese weitergehende Bewertung erfordert eine sehr präzise Unterscheidung zwischen legitimen und betrügerischen Vorgängen, da nur im konkreten Verdachtsfall eine weitere Authentifizierung verlangt oder die Transaktion abgelehnt wird. Diese Präzision wird durch ein ausgefeiltes Regelwerk im Hintergrund gewährleistet, das granular und vor allem schnell an neue Bedrohungen und Verhaltensweisen angepasst werden kann. Die so entwickelten Bewertungskriterien (Score) helfen nicht nur, Manipulationen und Angriffe öfter und schneller zu entdecken, sie stellen auch sicher, dass lediglich eine begrenzte Anzahl von Transaktionen von zusätzlichen Überprüfungen betroffen ist. Kosten für die Bewertung und Bearbeitung von Transaktionen werden reduziert und die Zufriedenheit der Kunden mit dem Service erhöht sich.
Ein derart gestaltetes Risiko-Management-System ist granular, extrem skalierbar und arbeitet in Echtzeit. Die Überprüfung erfolgt im Hintergrund. Sie beeinträchtigt die Transaktionsverarbeitung nur in wenigen, definierten Fällen, wird von Anwendern kaum wahrgenommen und von Kunden als Mehrwert eingestuft.
Klassifizierung des einzelnen Risikos
Dieses in der Finanzbranche bereits eingesetzte System lässt sich auf die generelle Security-Infrastruktur in Unternehmen aller Branchen übertragen. Übergeordnet werden die Eintrittswahrscheinlichkeit eines Hacker-Angriffs und die potentielle Schadenshöhe einer Sicherheitsverletzung bewertet. In jedem Verarbeitungsprozess wird dann zunächst die tatsächliche Identität des Nutzers überprüft. Im nächsten Schritt wird der Wert des Vorgangs, also die Bedeutung der Daten, auf die dieser Anwender Zugriff hat, eingestuft, denn es gibt in jedem Unternehmen viele Mitarbeiter und Aufgabenbereiche, die keinen oder nur begrenzten Zugriff risikorelevante, sensitive Daten haben.
Aus diesen Analysen wird eine Art Matrix abgeleitet, mit der berechnet wird, wie hoch das tatsächliche Unternehmensrisiko ist und wie ein Anwender und die von ihm angefragte Aktion im Einzelfall abgesichert werden muss. Die Reaktionszeiten werden stark reduziert, da den Mitarbeitern je nach Aufgabe, Rolle und Zugriffsrechten ein eigenes Risikoprofil zugeordnet wird. Wird dann ein Angriff registriert, ist sofort deutlich, welches Risiko dieser in Bezug auf welches Profil darstellt.
Oft werden Daten-Manipulationen von eigenen Mitarbeitern ermöglicht oder ausgelöst. Nur eine ganzheitliche Lösung kann das verhindern. Anwender mit besonderen Berechtigungen und aufgabenbezogenen Privilegien, wie z.B. Administratoren und root-Accounts erhalten passende Risikoprofile und werden stärker abgesichert. Diese Einordnung dient dem Schutz des Unternehmens und auch der Absicherung des privilegierten Anwenders, da diese Technologie sein rechtschaffendes Handeln bestätigt.
Die Meldepflicht der Datenschutz-Grundverordnung bleibt bestehen, wir zeigen aber einen praktikablen Lösungsweg auf, bei dem die größtmögliche Sicherheit in einem gesunden Verhältnis zum operativen Aufwand steht.
Übertragung in die Praxis
In vielen Unternehmen hapert es aber schon an den Grundvoraussetzungen für Datensicherheit. Es fehlt das umfassende und vollständige Wissen, an welchen Stellen im Unternehmen sensitive Daten gehalten und von welchen Prozessen sie abgerufen werden. Eine granulare Differenzierung von Rollen und Berechtigungen für den Datenzugriff nach dem Need-to-Know-Prinzip ist oft nicht durchgängig vorhanden. Diese Aufgabe ist bei Unternehmen mit vielen Niederlassungen, externen Mitarbeitern oder Subunternehmern noch komplexer.
Fehlt Transparenz über Berechtigungen und Zugriffsmöglichkeiten auf Daten oder ist z.B. nicht bekannt, welche Anwender Daten verändern können, werden Risikoeinstufungen in der Praxis nicht wirksam. Rechte müssen deshalb durchgängig in einer Identity Management und Identity Governance-Lösung dynamisch verwaltbar und protokollierbar sein.
Hoher Bedarf besteht zusätzlich an einer zuverlässigen, durchgängigen Authentifizierung der Anwender und an einer besonderen Prüfung der Anwender mit hohen Privilegien und Berechtigungen. Advanced Authentication nutzt eine Multi-Factor sowie Omni-Channel Authentifizierung, die den Zugriff auf die Zielsysteme auf Basis der Identität gewährleistet.
Die Akzeptanz für den eingesetzten Lösungen steigt, wenn jederzeit berücksichtigt wird, dass Sicherheitsmechanismen von Kunden und Anwender nicht oder kaum wahrgenommen werden sollen. Ziel ist daher neben der Verwaltung von Identitäten und dem Management von Zugriffen auch die Überwachung der Performance von Systemen und Applikationen und des gesamten Geschäftsprozesses.
Klasse statt Masse
Hacker-Angriffe und Datenmanipulationen zeitnah und wirksam zu erkennen wird immer eine anspruchsvolle und dynamische Aufgabe sein. Unternehmen sollten sich deshalb auf sensitive Bereiche und die zielgerichtete Betrachtung von Vorgängen fokussieren. Durch die Investition in die initiale Klassifizierung von Risikopotentialen schrumpft die zu betrachtende Masse an Daten auf ein verarbeitbares Volumen. Risiken werden durch die Umsetzung eines umfassenden Security-Konzepts transparent und managebar.
Ein Identity Centric Security-Ansatz mit User Behaviour Monitoring am Endpunkt erhöht die Sicherheit in Unternehmen und lässt Security machbar werden. Die heute bereits überlasteten Security-Teams und die engen Budgets werden es begrüßen, wenn nicht mehr die Masse an Warnhinweisen überwacht und verfolgt werden muss, sondern dass zielgerichtet nach bewährten Risikoklassen agiert werden kann.
* Markus J. Krauss ist Senior Director Security Sales bei CA Technologies.
(ID:44352241)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952700/1952758/original.jpg "Der Datenschutz schützt nicht einfach nur Daten, sondern schützt Menschen. Er ist kein Verhinderer, sondern ein wichtiger Regulator und Steuerungsfaktor und trägt zu Akzeptanz und Vertrauen in der Bevölkerung bei. (peterschreiber.media - stock.adobe.com)")