:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Digitale Gesundheitsanwendungen im Test Schwachstellen bei vielen Medizin-Apps
Die Corona-Pandemie hat die Entwicklung von digitalen Gesundheitsanwendungen weiter vorangetrieben. Doch wie sieht es dabei mit der Sicherheit aus? Aus einer Studie des Beratungs- und Dienstleistungsunternehmens Intertrust geht hervor: 71 Prozent der getesteten Gesundheits-Apps weisen mindestens eine gravierende Schwachstelle auf.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Für den „2020 Security Report on Global mHealth Apps“ wurden 100 weltweit öffentlich verfügbare Medizin-Apps in einer Reihe von Kategorien getestet – darunter Telemedizin, Medizinprodukte, Health Commerce und COVID-Tracking –, um kritische Bedrohungen aufzudecken. Demnach fallen 91 der untersuchten Apps bei den kryptografischen Tests durch. Bei 71 Prozent wurden Fehler festgestellt, die ein hohes Risiko für Organisationen im Gesundheitswesen und deren Patienten darstellen. Insgesamt wurden 741 Schwachstellen in den 100 Apps entdeckt.
Betrachtet man die verschiedenen mHealth-App-Kategorien, so hatten Apps für Telemedizin und Patienten Engagement den größten Anteil mit mindestens einer schwerwiegenden Schwachstelle (80,3 Prozent). Darauf folgten Health-Commerce-Apps (80 Prozent) und Apps für medizinische Geräte (45,5 Prozent). Überraschenderweise wiesen COVID-Tracking-Apps den geringsten Prozentsatz mit einer schwerwiegenden Schwachstelle auf (38,5 Prozent). Jedoch legen 85 Prozent der Tracking-Apps Daten offen, heißt es in der Studie.
Wie sich weiterhin ergeben hat, weisen Android-Apps weit mehr Probleme auf als iOS-Apps. 28 Prozent der iOS-basierten Apps haben Schwächen in den Verschlüsselungsverfahren, während dies bei Android-basierten Apps sogar zu 34 Pozent der Fall war.
Nach den Aussagen der Studien-Autoren können Cyberkriminelle in diesen Fällen die Verschlüsselung der getesteten Apps leicht umgehen. Schwerwiegende Folgen sind nicht auszuschließen: So besteht das Risiko, dass vertrauliche Patientendaten ausgelesen oder manipuliert werden. Dabei hätten 83 Pozent der schwerwiegenden Bedrohungen mithilfe einer In-App Protection verhindert werden können, heißt es weiter.
Die Studie im Urteil von IT-Sicherheitsexperten
„Bei der Entwicklung von Apps liegt das Hauptaugenmerk auf Benutzerfreundlichkeit und Funktionalität. Leider wird Sicherheit immer noch als Hemmnis oder einschränkender Faktor betrachtet “, erklärt Boris Cipot, Senior Sales Engineer beim Software-Hersteller Synopsys. „Nicht wenige Unternehmen kämpfen, trotz bester Absichten, oft mit einer Vielzahl von Richtlinien für die sichere Kodierung.“ Hierfür würden sie spezifische Codeanalysen verwenden und eine vollständige Software Composition Analysis (SCA) durchführen, um zu prüfen, ob die Codes von Drittanbietern anfällig seien.
„Viele Sicherheitsüberprüfungen werden zum Ende des Entwicklungszyklus durchgeführt und fungieren während der Testphase als Endkontrolle. Das setzt Sicherheitsteams stark unter Druck, Probleme schnell zu identifizieren und mit den Entwicklungsteams vor der Veröffentlichung des Produkts an einer Lösung zu arbeiten. In solchen Fällen können die im Bericht beschriebenen Probleme tatsächlich auftreten“, so der Experte weiter.
Dabei lägen die Ursachen für die identifizierten Probleme nicht immer bei den App-Entwicklern. Beispielsweise, wenn ein Problem mit dem Betriebssystem vorliege oder wenn die Kommunikationstechnologie eine Schwachstelle aufweise. Boris Cipot fordert jedoch: „Medizinische Apps müssen Schutzmechanismen integrieren, die solche Probleme so weit als möglich ausschließen. Der Schutz der Daten durch korrekte Verschlüsselung, die Überwachung der Schnittstellenkommunikation und das Blockieren verdächtiger Aktivitäten sollten bereits Teil des App-Designs sein“.
Sascha Spangenberg, Senior Sales Engineer beim IT-Security-Anbieter Lookout bringt es auf den Punkt: „Dieser Report zeigt einmal mehr, dass zahlreiche mobile Gesundheits-Applikationen nicht den aktuellen Sicherheitsstandards entsprechen! Wenn sich die IoT-Kaffeemaschine zuhause durch einen Netzwerkangriff selbständig macht, ist das noch als begrenzt kritisch zu betrachten.“ Aber wenn sich eine solche Atacke gegen ein Gerät in einer Klinik richte, das bei einer Operation zum Einsatz komme, könnte das durchaus lebensbedrohlich für einen Patienten sein.
Worin liegen die Ursachen für diese Risiken? Spangenberg: „Oftmals in einem zu niedrigem Sicherheits-Budget, aber häufig sind auch App-Entwickler nicht auf mobile Endgeräte spezialisiert und zu wenig mit den erforderlichen Sicherheitsvoraussetzungen vertraut.“
Deshalb macht der Security-Fachmann auf „geeignete Tools, die solche Schwachstellen aufdecken und zeigen, ob eine Applikation eine aktuelle TLS-Version oder Certificate Pinning verwendet“ aufmerksam. Spangenberg resümiert: „Ein Schwachstellen-Management sollte zudem auf Lücken in den Applikationen sowie im Betriebssystem angewendet werden. Angreifer können, wie aufgezeigt, nicht nur über die Applikationen, sondern auch über Geräte-Schwachstellen eindringen.“
(ID:46917431)
:quality(80)/p7i.vogel.de/wcms/f8/b6/f8b6145a19cab8c4e41da9490747a02a/0112161927.jpeg "Der öffentliche Sektor hat bei der Verbesserung der Sicherheit seiner Anwendungen einen weiten Weg zurückgelegt. (Bild: frei lizenziert Peggychoucair / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")