:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security-Coaching Security Awareness hilft, wo Technik an Grenzen stößt
DSGVO und Malware-Angriffe sorgen dafür, dass immer mehr Unternehmen die IT-Sicherheit ernst nehmen. Das ist zwar eine erfreuliche Entwicklung für die Gesellschaft, weniger erfreulich ist allerdings, dass es gerade bei kleineren und mittleren Unternehmen noch oft am kontinuierlichen Management mangelt und eine wichtige Komponente zu kurz kommt: Security Awareness.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Selten zuvor war IT-Sicherheit ein derart präsentes Thema wie im Jahr 2017. Kein Wunder: Erpressungstrojaner wie WannaCry haben Computersysteme an Bahnhöfen und in Krankenhäusern auf der ganzen Welt lahmgelegt und haben mehr als deutlich gezeigt, dass Cyberattacken schnell zu einem gesellschaftlichen Problem werden können. Dazu muss es auch nicht unbedingt eine kritische Infrastruktur sein, die durch eine Malware-Attacke getroffen wird. Denn die digitalen Schädlinge werden immer raffinierter und zerstörerischer. Gerade bei kleineren und mittleren Unternehmen, dem Rückgrat der deutschen Wirtschaftskraft, können sie einen existenziellen Schaden anrichten. Letztlich sind Cyberangriffe an jedem Ort eine Gefahr, an dem mit Computern gearbeitet wird. Durch die fortschreitende Digitalisierung gibt es dabei kaum noch eine Branche und kaum ein Unternehmen, in dem Computer keine Rolle spielen.
Wer IT-Sicherheit heute noch auf die leichte Schulter nimmt, hat schon verloren. Aber welche Strategie sorgt wirklich für den besten Schutz? Wie so oft, gibt es hier nicht die eine und einzig wahre Antwort. Doch wer auf ein langfristiges IT-Sicherheitsmanagement setzt sowie ein hohes Augenmerk auf die Security Awareness der Mitarbeiter legt, der bewegt sich eindeutig auf der sicheren Seite.
:quality(80)/images.vogel.de/vogelonline/bdb/1398900/1398991/original.jpg "Nur wenn Mitarbeiter ein echtes Verständnis für IT-Security entwickeln und nicht nur den Vorgaben der IT blind folgen, können sie die \"last line of defense\" bilden. (Pixabay)")
Mehr Erfolg mit Security Awareness
Verständnis wecken für IT-Sicherheit
Ein starkes Fundament: Patch- und Schwachstellen-Management
Was genau ist mit „IT-Sicherheitsmanagement“ gemeint? Management steht im gewissen Sinne für Proaktivität, Kontinuität und Planung – der Gegenpol zu Management ist die Improvisation, das Handeln in Ad-hoc-Manier. Nehmen wir als Beispiel das Patch-Management.
Patch-Management ist eines der ersten und wichtigsten Schritte in Richtung eines langfristigen, soliden IT-Systems. Seit jeher sind veraltete Softwareversionen ein gern benutztes Einfallstor für Schadsoftware seitens der Cyberkriminellen. Wie handhabt man also das Problem? Im besten Falle benutzt der Systemadministrator ein spezialisiertes Tool für ein zentralisiertes Patch-Management, mit dem er eine gute Übersicht über die benutzten Softwareversionen, mögliche Inkompatibilitäten und Konfigurationsfehler erhält. Darüber hinaus erlauben es solche Tools, die Patch-Verteilung automatisiert zu gestalten, wodurch eine geringere Fehleranfälligkeit bei der Installation erzielt werden kann. Leider wird dieser zeitgemäße Ansatz gerade von kleineren und mittleren Unternehmen noch unzureichend umgesetzt. Oft werden Updates nicht gemanagt, sondern – ad-hoc und händisch – nach bestem Gewissen des Systemadministrators aufgespielt, beziehungsweise nachinstalliert. Weil dies meist ohne die Sicht auf das Ganze erfolgt, können Lücken und Fehler bei den Updates leicht übersehen werden.
Allerdings kann dies auch mit dem besten Patch-Management nicht völlig ausgeschlossen werden. So hinken nicht selten Hersteller mit ihren Updates hinterher. Manchmal fallen einige Komponenten auch aus verschiedenen Gründen aus der zentralen Netzwerk-Architektur heraus. Darum gehört zu einem fortschrittlichen IT-Sicherheitsmanagement auch das Schwachstellen-Management mit dazu. Das Schwachstellen-Management beinhaltet vor allem regelmäßige und automatisierte Schwachstellenscans, die Lücken im Patch-Management aufdecken. Darüber hinaus werden nach jedem Scan Reports erstellt, mit denen Systemadministratoren die Probleme gezielt angehen können. Zusätzlich aufpolstern lässt sich das Schwachstellen-Management durch den Einsatz von Penetrationstests. Diese werden auf bestimmte und potentiell gefährdete Systeme angesetzt, wo das Schwachstellen-Management besonders schwierig zu schließende Lücken aufgedeckt hat. Durch Penetrationstests lässt sich zum einen herausfinden, inwieweit sie tatsächlich zu einer Gefahr werden können. Zum anderen lassen sich diese komplexen Lücken durch die gewonnenen Informationen meistens auch endgültig schließen.
:quality(80)/images.vogel.de/vogelonline/bdb/1363100/1363158/original.jpg "Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von Cyber-Bedrohungen. (bakhtiarzein - stock.adobe.com)")
Security-Startups im Blickpunkt: Securai
Security Awareness für Programmierer
Security Awareness setzt da an, wo Technik an Grenzen stößt
Der Dreiklang aus Patch-Management, Schwachstellen-Management und Penetrationstest liefert bereits die grundlegenden Bestandteile für ein zeitgemäßes IT-Sicherheitsmanagement. Noch effektiver wird das IT-Sicherheitsmanagement, wenn es auch die Schaffung der sogenannten Security Awareness unter den Mitarbeitern mit einschließt. Was Security Awareness ausmacht, ist eine höchst effektive Formel, die der chinesische Kriegsstratege Sunzi schon vor tausenden vor Jahren entdeckte: „Kenne deinen Feind und kenne dich selbst, und du wirst nicht verlieren.“ Im Kontext der IT-Sicherheit versteht man darunter im Wesentlichen die Sensibilisierung der Mitarbeiter für die Gefahren aus dem Cyberspace sowie für die Stärken und Schwächen des IT-Schutzes in ihrem Unternehmen.
Wofür eine solche Sensibilisierung gut ist, lässt sich anhand des Beispiels von Phishing-Mails veranschaulichen. Analog zu Malware sind auch Phishing-Mails mit der Zeit immer raffinierter geworden. Gebrochenes Englisch und Copy-Paste-Texte, das war einmal. Heute fallen nicht selten sogar mit allen IT-Security-Wassern gewaschene Mitarbeiter auf Phishing-Mails herein, weil diese speziell auf den einzelnen Mitarbeiter zugeschnitten werden. Das bedeutet, dass die Cyberkriminellen zunächst gründlich recherchieren, auf welche „Knöpfe“ sie bei einem bestimmten Mitarbeiter drücken müssen. Wissen sie beispielsweise, dass ein Mitarbeiter Jobbewerbungen bearbeitet, tarnen sie ihre Mail täuschend echt als eine Bewerbung. Im angehängten Word-Dokument, welches mitunter sogar tatsächlich einen Lebenslauf und ein Motivationsschreiben beinhalten kann, befindet sich dabei ein Makrocode, welcher schon direkt nach dem Öffnen des Dokuments Malware herunterlädt. Im ungünstigsten Fall kann sich die Infektion in Minutenschnelle auf andere Computer im Unternehmensnetzwerk ausbreiten. Nicht immer wird eine Firewall oder ein Malware-Scanner diesen Prozess bemerken. Genau deswegen ist die Security Awareness so wichtig: Ein Bewusstsein für aktuelle Phishing-Techniken würde in diesem Beispielfall den Mitarbeiter davor bewahren, ein Word-Dokument von einem unbekannten Absender überhaupt erst herunterzuladen.
:quality(80)/images.vogel.de/vogelonline/bdb/1379400/1379423/original.jpg "Die technische Kompetenz der Hacker steigt an. Toolsets, die heute allgemein verfügbar sind, waren vor 20 Jahren High-End. Angreifer verändern sich und ihre Methoden immer schneller. (Pixabay)")
Neue Methoden und neue Akteure
Der moderne Hacker im Visier der Behörden
Lernen, wie Hacker zu denken
Den Feind – um bei Sunzi zu bleiben – wirklich zu kennen, ist allerdings einfacher gesagt als getan. Es ist schließlich der „Job“ von Cyberkriminellen, Sicherheitsarchitekturen zu penetrieren und zu infiltrieren. Sie trainieren täglich dafür und entwickeln immer neue Techniken, wodurch sie Schutzmechanismen oft einen Schritt voraus sind. Was kann da helfen? Ganz einfach: Sich in deren Lage zu versetzen und zu versuchen, den eigenen IT-Schutz zu hacken! Wir bei mod IT Services bieten zum Beispiel seit etwa zwei Jahren einen Hacking-Workshop an, sowohl für Anfänger als auch in einer Ausführung für technisch fortgeschrittene Mitarbeiter. Vier Tage lang lernen die Teilnehmer in kleinen Teams, wie Hacker zu denken: In einer kleinen simulierten Firmenumgebung machen sie Schwachstellen in der Sicherheitsarchitektur eines Unternehmens ausfindig und penetrieren diese mittels verschiedener aktueller Angriffstechniken.
Die Resonanz der Teilnehmer ist jedes Mal überwältigend – und überzeugt uns jedes Mal aufs Neue davon, dass Security Awareness aus einem umfassenden IT-Schutzkonzept kaum wegzudenken ist. Wer einmal mitmacht, kommt nicht selten auch im nächsten Jahr wieder, um die neuesten Tricks der Cyberkriminellen zu lernen und auf Basis dieser Erfahrungen auch die IT-Sicherheitsarchitektur im eigenen Unternehmen kontinuierlich zu verbessern. Durch die Verknüpfung von Patch-Management, Schwachstellen-Management und Penetrationstests mit Security-Awareness-Training bekommen sie alle Zutaten für ein effektives IT-Sicherheitsmanagement zusammen.
:quality(80)/images.vogel.de/vogelonline/bdb/1132700/1132752/original.jpg "Die Akzeptanz und Unterstützung von Security Awareness bzw. IT Sicherheit durch Mitarbeiter ist keine universelle Voraussetzung. Man muss auch damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren. (geralt-Pixabay)")
Lohnt sich Sicherheits-Training?
Security Awareness ist Zeitverschwendung!
Wer am falschen Ende spart, kann empfindlich getroffen werden
Ein Wermutstropfen bleibt dabei jedoch: Leider sind kleine und mittlere Unternehmen noch ungleich schwerer von der Notwendigkeit eines Security-Awareness-Trainings zu überzeugen als größere Konzerne. Dies zeugt erneut von einer Diskrepanz in der Ernsthaftigkeit, mit der kleinere und größere Unternehmen das Thema IT-Sicherheit angehen. Natürlich variiert der finanzielle Spielraum für die Aufstockung des IT-Schutzes je nach Unternehmensgröße. Und doch sind alle den gleichen Gefahren ausgesetzt. Es sind in letzter Konsequenz eben die „Kleinen“, denen ein erfolgreicher Malware-Angriff den meisten Schaden zufügen kann. Im Bereich IT-Sicherheit zu sparen, ist im Jahre 2018 der denkbar schlechteste Ansatz – und das gilt für alle.
Über den Autor: Sebastian Brabetz ist Leiter des Teams Professional Security Solutions bei mod IT Services. Seit mehreren Jahren führt er verschiedene Awareness-Workshops durch und bloggt sowohl privat als auch im mod-Blog zu Themen rund um IT Security.
(ID:45376757)
:quality(80)/p7i.vogel.de/wcms/bd/b1/bdb1c5f7bae6e974a52cec40dd4b970a/0109497915.jpeg "Rückblick auf 2022: Check Point verzeichnet einen Anstieg von 27 Prozent bei Cyberangriffen in Deutschland. Bestimmte Sektoren stechen in der Statistik besonders hervor. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/cd/41cd9d8a4c3f3870f5afc73b17dff7a7/0108282153.jpeg "Mit regelmäßig durchgeführten Analysen lassen sich IT-Systeme schnell auf ihre Schwachstellen überprüfen. So könnnen IT-Verantwortliche ein wirkungsvolles Schwachstellenmanagement etablieren, welches die IT-Sicherheit dauerhaft erhöht. (Bild: Nmedia - stock.adobe.com)")