:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Digital Risk Management Vier Schritte um das digitale Risiko zu senken
Cloud Computing gehört längst zur Best Practice, Big Data ist Alltag geworden und die digitale Transformation steht auf jeder Agenda. Für die Cybersecurity bedeutet das: Die Perimeter-Grenze verschwimmt, während die Angriffsfläche kontinuierlich wächst. Wer sich gegen digitale Risiken schützen will, ist auf die richtigen Strategien und Tools angewiesen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Schritt 1: Key-Assets bestimmen und schützen — Die erste Frage beim Digital Risk Management (DRM) sollte nicht lauten: Wie schütze ich mein Unternehmen, sondern was muss ich schützen? Erst wenn die geschäftskritischen und schützenswerten Assets feststehen, lassen sich entsprechende Strategien und Tools auswählen.
Rein technisch könnten Unternehmen sämtlich IT-Assets innerhalb ihrer Infrastruktur auflisten und System für System überprüfen. Weitaus sinnvoller ist es jedoch, den Begriff Assets weiter zu fassen. Neben dem Faktor Mensch (z. B. Kunden, Mitarbeiter, Partner, Dienstleister) sollten auch Organisationen (z. B. Peer-Organisationen, Zulieferer, Service-Abteilungen, gemeinsame Infrastrukturen) sowie alle kritischen Systeme mit externen Schnittstellen berücksichtigt werden, z. B. Websites, Portale, Datenbanken mit Kundendaten oder ERP-Anwendungen.
Der Fokus auf geschäftskritische Bereiche zahlt sich später im Risikomanagementprozess aus. Kriterien der Risikobewertung umfassen sowohl operative Resilienz, geistiges Eigentum, Marktvorteile (z. B. bei Produktneueinführungen) als auch geschäfts- oder investitionsrelevante Informationen. Diese Key-Assets zu ermitteln ist nicht immer einfach. Die Priorität von bestimmten Assets kann sich von Unternehmen zu Unternehmen unterscheiden. Und nicht immer stimmt die Einschätzung auf Unternehmensseite mit den taktischen Überlegungen potentieller Angreifer überein.
Eine bewährte Praxis ist es, eine große Bandbreite unterschiedlicher Marker festzulegen und Dateien und Dokumente zu taggen. Sie sind hilfreich, um bestimmte Arten von Assets im Bedarfsfall später zu identifizieren und aufzuspüren. Dabei ist es egal ob es sich um, technische Wasserzeichen, Fußzeilen, Domänen oder Schutzvermerke zur Kennzeichnung vertraulicher Dokumente handelt.
Schritt 2: Bedrohungen verstehen und kennen
Um das Risiko für Assets bewerten zu können, ist im nächsten Schritt ein Blick auf die Bedrohungslandschaft notwendig. Frameworks wie MITRE ATT&CK bieten eine gute Grundlage, um das Verhalten von Angreifern besser zu verstehen und die beobachteten Taktiken, Techniken und Verfahren (TTPs) bekannter Gruppen zu analysieren. Die dokumentierten Angriffe in Kombination mit einem dynamischen Bedrohungsmodell geben Hinweise, was bestimmte Bedrohungsakteure dazu veranlasst, das eigene Unternehmen ins Visier zu nehmen. Zu den drei gängigen TTPs gehören:
- 1. Kontoübernahmen durch geleakte oder öffentliche Login-Daten von Mitarbeitern
- 2. Ausnutzung von Sicherheitslücken in zugänglichen Anwendungen
- 3. Ausspionieren von technischen Informationen sowie psychologische Manipulation von angreifbaren Personen, um Sicherheitslücken für spätere Angriffe zu identifizieren
Schritt 3: Kostenlose Tools für das Monitoring
Sind die Key-Assets priorisiert und die relevanten Bedrohungen ausgelotet, geht es an die eigentliche Praxis: das Monitoring. Hier gilt es, eine Vielzahl an Quellen im Auge zu behalten. Cyberkriminalität spielt sich keinesfalls nur in zwielichtigen Foren im Dark Web ab. Die Mehrheit an kritischen oder personenbezogenen Daten findet sich frei zugänglich im Open und Deep Web – ob über offene Cloud Storage Services, falsch konfigurierte Websites, FTP- Smb- oder Rsync-Server, Paste Sites oder Code Repositories. Auf Grund von Konfigurationsfehler oder fehlenden Anweisungen kann es vorkommen, dass in robots.txt von Google Informationen indexiert und damit auffindbar sind, die im frei zugänglichen Web im Normallfall nichts zu suchen haben.
Unternehmen können auf einfachem und sicherem Weg einen ersten Einblick gewinnen. Viele kostenlose Tools bieten hier einen guten Ausgangspunkt:
Exponierte Daten aufspüren: Google Alerts mögen auf den ersten Blick als Monitoring-Tool banal erscheinen. Tatsächlich stellen sie jedoch eine einfache Methode dar, um fortwährend über geleakte Daten informiert zu werden. Mit einfachen Hacks wie der Erweiterung der Google-Syntax um „site:pastebin.com“ AND „aceme.com“ meldet Google beispielsweise alle Instanzen, in denen die Unternehmens-Domän auf Pastebin veröffentlicht und von der Google-Engine indiziert wurde.
Über „Google Hacking“ /„Google Dorks“ lässt sich die Suchmaschine über die erweiterte Suche gezielt nutzen. Beispielsweise liefert das Kürzel „filetype:“ in Kombination mit der entsprechenden Dateierweiterung ausschließlich DOC-, XLS- oder PDF-Dateien. Über den Befehl „site:“ kann eine bestimme Domain oder Website untersucht werden.
Darüber hinaus findet sich im Netz eine breite Palette spezifischer Services und Tools, die kostenlos genutzt werden können. Die Website HaveIBeenPwned zeigt beispielsweise an, ob Zugangsdaten des eigenen E-Mail-Kontos öffentlich zugänglich und wo diese zu finden sind – natürlich ohne Angabe der Kennwörter. Die Enterprise-Version bietet darüber hinaus die Möglichkeit, die eigene Domäne zu registrieren. Mit TestDrive erhalten Sicherheitsexperten sieben Tage lang vollen Zugriff auf Lösung ShadowSearch und können nach exponierten Daten im Open, Deep und Dark Web suchen. Die Google Hacking Database und das Projekt Bishop Fox’s Diggity stellen ebenfalls gute Anleitungen bereit, mit denen sich die Unternehmenspräsenz im Web tracken lässt. Diejenigen, die mit Google Hacking nicht vertraut sind, finden unter Yandex intuitive Dropdown-Menüs für die Filterung nach Dokumenttyp. Man sollte sich aber nicht auf eine einzige Suchmaschine verlassen, da die Ergebnisse variieren.
Programmiercode- und Snippets lassen sich über GitHub finden. Dabei sucht man entweder nach dem Unternehmensnamen oder diversen vorab definierten Software- und Versionskennungen. So lässt sich feststellen, ob kritische Daten (z. B. AWS Keys, proprietärer Code) von Entwicklern, Zulieferern oder Dritten veröffentlicht wurde.
Phishing-Websites und Fake-Social Media Profile: Manipulationsversuche des eignen Domänennamens (z. B. Phishing Websites) lassen sich über das Phyton-Skript DNS Twist erkennen. Ein etwas anderes Konzept verfolgt Phishing Catcher von X0rz. Anwender von Kali Linux können mit URL Crazy ihren Domänennamen auf Typosquatting testen. Zudem sollte man stets auf bekannte Phishing-URLs achten. Wer in der Finanzbranche oder im Einzelhandel tätig ist, sollte sich überlegen, Informationen von urlhaus.abuse.ch zu beziehen. Hierüber werden fundierte Daten über Domains bereitgestellt, die als Teil von Spam- oder sonstigen kriminellen Kampagnen registriert wurden.
Über die Twitter API erhalten registrierte Unternehmen Programmierzugriff auf Twitter Daten und können so über Schlüsselbegriffe (z. B. Produktname, CEO) falsche Profile und Konten auf dem sozialen Kanal aufdecken.
Schwachstellen in der Infrastruktur: Es lohnt sich, eine Karte der technischen Angriffsfläche sowohl Ihres Unternehmens als auch Ihrer Partner zu erstellen. Dies kann bei richtiger Anwendung fast vollständig passiv erfolgen. Für die Suche nach falsch konfigurierten Datenbanken, Servern und Geräten eignen sich beispielsweise Shodan und Censys. Schwache oder auslaufende Zertifikate innerhalb der eigenen Infrastruktur findet man mit Testssl. Für erfahrene Anwender stehen über die Kali Linux Distribution weitere kostenlose Tools zur Verfügung, wie zum Beispiel die Community-Edition von Paterva Maltego und OSINT-Frameworks, wie beispielsweise Recon-ng. Die Buscador -Tools von Michael Bazell könnten dabei helfen, sich ein Bild von der eigenen Angriffsfläche zu machen.
Schritt 4: Risiken mindern und beseitigen
Digital Risk Management schließt neben der Aufdeckung digitaler Risiken auch den konkreten Schutz vor Bedrohungen mit ein. Bei diesem vierten Schritt kann zwischen taktischen, operativen sowie strategischen Maßnahmen unterschieden werden. Taktisch sinnvoll ist es, die Angriffsfläche zu reduzieren und Services auf ein Mindestmaß zu reduzieren. Das setzt eine enge Zusammenarbeit mit den einzelnen Abteilungen voraus. Um fragwürdige Inhalte aus dem Web zu entfernen gibt es unterschiedliche Möglichkeiten – von Takedown-Verfahren der Social Media-Betreiber über das Einreichen von Beschwerden beim Webhosts und ISPs bis hin zu rechtlichen Maßnahmen.
Operativ sollten alle gesammelten Informationen zu Vorfällen und Bedrohungen langfristig in die weitere Strategie zur Aufdeckung von Bedrohungen einfließen. Die Integration in Incident-Response-Prozesse ermöglicht es, ein Alarmsystem aufzustellen. Zudem schafft die Analyse der digitalen Risiken einen wertvollen Kontext, der für die weiteren Sicherheitsoperationen entscheidend ist. Hierzu zählt der Hosting-Verlauf einer besetzten Domäne, der Status von Kennwort-Leaks für ein bestimmtes Konto sowie das bisherige Verhalten von Angreifern.
So gut das Monitoring und die Aufdeckung digitaler Risiken auch sind, unterliegt die Risikolage eines Unternehmens immer einer gewissen Ungenauigkeit. Grundsätzlich gilt aber: Je tiefer das Verständnis der Inputs, desto genauer und richtiger ist das Modell. Wichtig ist auch die fortlaufende Aktualisierung der Risikobewertungen sowie die Berücksichtigung von Risiken Dritter und der Lieferkette. Teams, denen ein möglichst vollständiges Bild der Risiken vorliegt, können Sicherheitsvorfälle besser priorisieren und Ressourcen und Werkzeuge dort einsetzen, wo sie am dringendsten nötig sind.
Über den Autor: Stefan Bange ist Country Manager DACH bei Digital Shadows.
(ID:45981542)
:quality(80)/p7i.vogel.de/wcms/37/d5/37d522ba8e6f71a8dff239cd222c8adb/0108684027.jpeg "Die Anwendungsszenarien für einen graphenbasierten digitalen Zwilling, der das IT-Netzwerk realitätsnah abbildet, sind auch ind er IT-Security nahezu unbegrenzt. (Bild: Michael Traitov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/9f/8e9faca728834581597d5bbd5a2eae9b/0113340942.jpeg "Hacker arbeiten hart daran, die Milliarden von Facebook-Nutzern weltweit zum Herunterladen von Malware zu verleiten, indem sie gefälschte Seiten und Anzeigen für beliebte KI-Marken einrichten: ChatGPT, Google Bard, Midjourney und Jasper. (Bild: Real - stock.adobe.com)")