:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bei Abhängigkeit vom Drittanbieter droht Kontrollverlust Schwachstellen in der digitalen Wertschöpfungskette
Mittels sicherer Software-Konfiguration und Patch-Management kann man lokale Systeme grundlegend gegen Cyberattacken absichern. Angriffe können aber auch außerhalb des eigenen Wirkungsbereichs erfolgen. Deshalb muss man auch aktiv für mehr Sicherheit beim Service-Anbieter sorgen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
In dem praxisorientierten IT-Sicherheits-Framework „20 Critical Security Controls“, das kürzlich beim Council for CyberSecurity eine neue Heimat gefunden hat, werden Konfigurations- und Patch-Management hoch priorisiert. Die beiden Aufgaben werden gleich nach der Hardware- und Software-Inventarisierung in den Kontrollen 3 und 4 behandelt.
Mit Patches und richtigen Konfigurationen sichern wir jedoch nur die erste Stufe unserer digitalen Wertschöpfungskette ab, und wir müssen auch auf die indirekteren Beziehungen in unserer Infrastruktur achten. Unter den Patches, die Microsoft im August bereitstellte, war eine neue Version von Microsoft Exchange – ein interessantes Beispiel dafür das, worauf wir achtgeben müssen.
Microsoft musste eine neue Version der Exchange Mail Server Software herausbringen, um eine Anfälligkeit in einer der Komponenten zu beheben, die das Unternehmen nicht selbst unter Kontrolle hat. Microsoft lizenziert diese Komponente von einem Drittanbieter und muss sie daher selbst auf Patches überwachen.
Microsoft leistet dabei zwar gute Arbeit, die betreffende Software („Outside In“ von Oracle) wird aber auch von anderen Unternehmen und Produkten verwendet. Dort unterliegt sie mitunter weniger strikten Prozessen. Im Augenblick sind mir keine anderen Software-Anbieter bekannt, die aufgrund dieser Anfälligkeit in Outside In neue Versionen ihrer Produkte herausgebracht hätten.
Angriff auf Umwegen
Ein weiteres Glied in unserer digitalen Wertschöpfungskette rückt durch die Angriffe ins Blickfeld, die die Syrian Electronic Army (SEA) jüngst auf die Websites der New York Times, der Huffington Post und Twitter durchgeführt hat. Die SEA attackierte diese Unternehmen nicht direkt, sondern über deren Domain-Registrar – einen Drittanbieter, den jedes Unternehmen mit einer Internet-Präsenz benötigt.
Der Domain-Registrar ist zuständig für die Beziehung zwischen der NY Times und dem Verwalter der Top-Level-Domain (.com) und überwacht insbesondere auch das Mapping von Nameservern. Im Falle der NY Times heißt der Nameserver normalerweise „dns.ewr1.nytimes.com“.
Der SEA gelang es, beim Domain-Registrar einzudringen und den Nameserver auf „m.sea.sy“ zu setzen. So konnte die SEA nun den Internetzugriff auf alle Server von nytimes.com kontrollieren – neben dem Webserver waren davon auch alle anderen Server wie etwa mail.nytimes.com betroffen. Damit war die SEA in der Lage, die Website teilweise zu manipulieren und lahmzulegen.
Twitter konnte den gleichen Angriff wesentlich besser abwehren, weil das Unternehmen bei VeriSign, dem Verwalter der Top-Level-Domain, ein Werkzeug namens „Registry Lock“ (Registrierungssperre) implementiert hat. Wenn diese Sperre aktiviert ist, überprüft ein Mitarbeiter Nameserver-Änderungen und holt bei dem anfordernden Unternehmen eine telefonische Bestätigung ein.
Wäre Twitters normale Einstellung „ns1.p34.dynect.net“ zu „m.sea.sy“ geändert worden, hätte dies jeder zuständige Mitarbeiter als verdächtig erkannt. Die Angreifer hätten somit zusätzlich Social Engineering einsetzen und sich als legitime Twitter-Mitarbeiter ausgeben müssen, was kaum zu bewerkstelligen sein dürfte.
Services in die Planung mit einbeziehen
Nehmen Sie dieses Beispiel zum Anlass, um sich einen Überblick zu verschaffen, wo Ihre Anfälligkeiten liegen und wie Sie sie gegebenenfalls minimieren können. Übrigens gelten ähnliche Überlegungen für alle Domains, die in Ihrem Unternehmen verwendet werden, also auch .net, .de, .co.uk und alle anderen Top-Level-Domains.
Für uns in der IT-Sicherheit wird dies zu einem weiteren Aspekt unseres Asset-Inventars. Wir müssen uns fragen, auf welche Ressourcen das Unternehmen angewiesen ist und welche potenziellen Probleme Auswirkungen auf sie haben könnten. Wir können nicht an den Grenzen des Unternehmens Halt machen, sondern müssen die Kartierung der Ressourcen auch auf unsere Dienstanbieter ausweiten und deren Infrastrukturen in unsere Abwehr- und Kontrollmaßnahmen einbeziehen.
Über den Autor
Wolfgang Kandek ist Chief Technical Officer bei Qualys.
(ID:42347535)
:quality(80)/p7i.vogel.de/wcms/f2/ba/f2bae72151052d9e84546b43ce6decfc/0109019639.jpeg "Wolfgang Kurz, CEO & Founder indevis erklärt die wichtigsten Trends fürs neue Jahr. (Bild: indevis)")
:quality(80)/p7i.vogel.de/wcms/18/0d/180de4fd64e9de52ac237abb630825f6/0109413068.jpeg "Für eine gestärkte Resilienz müssen im Wesentlichen die IT-Risikokultur verbessert und insbesondere alle dafür erforderlichen Maßnahmen in den Strategie-Prozess integriert werden. (Bild: Niall - stock.adobe.com)")