:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schwachpunkte am Büroarbeitsplatz Warum Sicherheits-Software nicht alle Bedrohungen beseitigt
Hackerattacken auf Ämter und Behörden sind heute an der Tagesordnung. Die wenigsten davon, nur die ganz großen, dringen auch bis an die Öffentlichkeit durch – wie der Hackerangriff auf den Bundestag im letzten Jahr.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Dass diese Bedrohung auch schon vorher in der Politik ernst genommen wurde, zeigt die Verabschiedung des „Gesetz(es) zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) etwa zur gleichen Zeit. Das Bundeskabinett hat am 13. April 2016 die erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes beschlossen. Sie trat am 03. Mai 2016 in Kraft.
Das Gesetz adressiert die private Wirtschaft und Öffentliche Hand gleichermaßen, sofern es sich um kritische Infrastrukturen aus den Bereichen Energie, Ernährung, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser sowie Finanz- und Versicherungswesen handelt. Sie alle müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und dieses auch nachweisen können. Einrichtungen des Bundes sowie die öffentliche Wasserver- und Abwasserentsorgung werden in den Erläuterungen explizit genannt.
Vielfältige Szenarien
Insofern sind die Ämter und Behörden dazu aufgefordert, ihre IT-Infrastruktur zu erneuern und unter dem Aspekt der IT-Sicherheit zu stärken. Zwar haben längst alle öffentlichen Institutionen in gewisser Weise darauf reagiert und auf den Servern und PCs und den neueren Geräte-Klassen wie Tablets und Smartphones Anti-Viren-Software zum Schutz installiert. Firewalls und Software-Updates, Schulungen der Mitarbeiter und Zugangskontrolle ergänzen die Sicherheitsvorkehrungen.
Sind diese Mechanismen implementiert, ist alles gut, könnte man meinen. Doch dem ist bei weitem nicht so. Die Bedrohungsszenarien sind mittlerweile so vielfältig, dass sich eine genauere Betrachtung eines normalen Büroarbeitsplatzes durchaus lohnt, um Schwachstellen zu erkennen, über die sich bisher vielleicht nicht jeder potenziell Betroffene ausreichend Gedanken gemacht hat.
Wichtig ist zunächst einmal zu wissen, dass heute in nahezu allen Geräten eines PC-Arbeitsplatzes – je nach Gerät mal mehr, mal weniger – Intelligenz bzw. Speicher eingebaut ist. Das reicht von Maus und Tastatur über moderne Telefone bis hin zu Monitoren, Webcams und anderen Geräten.
Lautsprecher und Telefone als Mikrophon nutzen
Denn nicht nur der Hack von intelligenten Geräten kann spannend sein, sondern auch scheinbar ganz banale Systeme wie Lautsprecher lassen sich von Experten „umdrehen“ und so nicht zur Wiedergabe verwenden, sondern als Mikrophon nutzen.
Das gleiche gilt im Übrigen auch für Telefone. Moderne Telefonanlagen haben oft leistungsfähige Computersysteme im Hintergrund, um den Anwendern eine große Funktionsvielfalt zur Verfügung zu stellen. Über die Manipulation der Anlage lassen sich Telefone in Abhöranlagen umfunktionieren. Insbesondere die letztere Tatsache ist mittlerweile vielen bekannt und in der Regel werden entsprechende Sicherheitsmechanismen implementiert.
Für Hacker bietet sich jedoch eine Vielzahl weiterer Möglichkeiten, die Computernetzwerke zu infiltrieren und somit zu missbrauchen. Beispiel gefällig? Peripheriegeräte wie Mäuse, Tastaturen, Drucker, Scanner (Multifunktionsgeräte) und Monitore.
Maus, Monitor & Tastatur als Ziel
All diese Geräte verfügen über internen Speicher. Versierte Hacker können sich dies zunutze machen, beispielsweise um möglichst wenig aufzufallen, wenn sie schädliche Software in scheinbar ungefährlichen Geräten platzieren. Die Hacker verbreiten dann aus dem kompromittierten Gerät heraus die Malware und lesen über ihren Einbruch die Eingabedaten der Tastatur aus, verfolgen die Bewegungen mit der Maus und sehen irgendwo auf der Welt das Bild Ihres Monitors.
Nun verfügen aber eine ganze Reihe von Behörden auch über sehr komplexe Arbeitsumgebungen, bei denen z. B. nicht nur ein Monitor am PC hängt, sondern gleich mehrere. Oftmals finden sich aber Installationen, bei dem der Anwender über eine Maus und eine Tastatur nicht nur einen PC mit mehreren Monitoren, sondern mehrere Rechner mit je mehreren Monitoren steuert.
In einem solchen Szenario setzen die Behörden oftmals auf logisch getrennte PCs in unterschiedlichen Netzwerken (so genannte Network Segregation). Dadurch steigt die Sicherheit, denn ein geknackter PC oder ein geknacktes Netzwerk bedeutet nicht automatisch, dass der komplette Multi-PC-/Multi-Screen-Arbeitsplatz davon sofort betroffen ist, sondern eben nur ein bestimmtes System oder Netzwerk-Segment.
Damit hier nicht nur die Netzwerk-Architektur sicher ist, sondern auch die andere Seite mit Maus, Tastatur, Monitor und vielleicht noch einigen Peripheriegeräten, ist der Einsatz sicherer KVM-Umschaltsysteme (Keyboard, Video, Maus-Switch) Pflicht. Geschieht das nicht, ist durch die Verbindung der unterschiedlichen Computer über gemeinsam genutzte Maus und Tastatur die Sicherheit plötzlich komplett ausgehebelt, denn auch USB-Geräte eignen sich als Einfallstore für Hacker.
Bitte lesen Sie auf der nächsten Seite weiter.
USB unter Beschuss
Entsprechend ist die Verbindung zwischen PC und Peripherie über den USB-Port ohne Überwachung extrem gefährlich. So geht ANSSI (Agence nationale de la sécurité des systèmes d'information) in ihrem Report „Essential Measures for a Healthy Network” davon aus, dass jedes zehnte persönliche Gerät, das an das Netzwerk des Arbeitsgebers angeschlossen wird, durch Malware kompromittiert ist. Dabei sind das nur zufällige Attacken, nicht per se auf eine Behörde.
Das Paradebeispiel sind USB-Speichersysteme, die auf Grund ihres geplanten Einsatzes geradezu prädestiniert sind, als Datenträger auch Malware in PC-Netzwerke zu tragen. Und dabei reicht es, dass nur ein einzelner Anwender eines Amtes oder einer Behörde sich keine Gedanken darüber macht, welche Schäden er unter Umständen anrichtet, wenn mal eben wichtige vertrauliche Daten mit dem so genannten USB-Stick von einem PC zum anderen transportiert werden, weil z. B. der Server-Zugriff vielleicht gerade nicht funktioniert oder der neue Kollege noch nicht alle Rechte im System hat.
Dabei sind schon heute genau dafür Switches verfügbar, die diese Schwachstellen beseitigen. So lassen sich z. B. über besondere KVM-Switches sichere Verbindungen zwischen PC(s) und Peripherie-Geräten herstellen. Zu empfehlen sind dabei Switches, die zum einen über sehr feste Mechanik im USB-Port verfügen, so dass ein versehentliches Abstecken und dann ein Anschluss an einem nicht zugelassenen Port unmöglich sind.
Zum anderen müssen diese Switches besondere Konfigurationsmechanismen aufweisen. Beispielsweise sollten die IT-Administratoren sie so konfigurieren können, dass nur genau ein Typ Drucker, Tastatur und Maus zugelassen ist. Darüber hinaus muss es auch möglich sein, bestimmte Geräteklassen wie USB-Speicher von der Nutzung auszuschließen, so dass diese direkt beim Einstecken in den USB-Port vom System zurückgewiesen werden.
Zertifizieren
Um hier bestmögliche Ergebnisse zu erzielen, ist es jedoch unumgänglich, dass die IT-Verantwortlichen entsprechende Sicherheitsrichtlinien nicht nur vorgeben, sondern sich auch um deren korrekte Implementierung kümmern. Denn nur wenn der PC an sich sicher konfiguriert ist, können die Peripheriegeräte diese Sicherheit weiter ausbauen. Ist dies jedoch nicht der Fall, so gleichen die sicheren Peripheriegeräte dies nicht aus, es fehlt schlicht die notwendige Basis.
Um all das noch ein bisschen komplizierter zu machen: Woher weiß denn die IT nun, welche Systeme sie einsetzen soll oder besser nicht? Alle Lösungen, die verfügbar sind, selbst zu testen, das übersteigt dann doch die Ressourcen nahezu aller IT-Abteilungen. Aber das ist auch gar nicht notwendig.
Denn schon seit einigen Jahren können Anbieter ihre Hard- und Software ausführlich unter Sicherheitsaspekten testen und zertifizieren lassen. Wichtig ist dabei, dass es sich um eine unabhängige Zertifizierung handeln muss. Diese weist nach, dass es sich bei den Angaben der Hersteller nicht nur um eigene Marketingaussagen handelt, sondern dass die Lösungen Tests durchlaufen, und diese natürlich bestanden haben. Die bekannteste davon ist Common Criteria (CC), andere, zum Teil im Zusammenhang stehende sind EAL (Evaluation Assurance Level) oder NIAP (National Information Assurance Partnership).
Polizei und NATO als Vorrreiter
Bisher sind es vornehmlich Institutionen wie die NATO oder die Polizei, die hier die Vorreiter sind. In Großbritannien gibt es ein Amt, das CESG (Communications-Electronics Security Group), das sich hier mit den aktuellen Bedrohungen auseinandersetzt und z. B. die Polizei zur Nutzung der CC-zertifizierten Geräte verpflichten kann. Hier könnten andere Bereiche von den Erfahrungen der Polizei profitieren.
Doch speziell für die Öffentliche Hand gilt, konsequent auf die vollumfängliche Sicherheit der Infrastruktur zu setzen. Die Konsequenz ist deshalb so wichtig, da für die Sicherheitsinfrastruktur genau das gleiche gilt, wie für eine Kette: Sie ist nur so stark, wie das schwächste Glied.
Ist in der IT-Umgebung vielleicht nur genau ein unsicherer Switch, so ist genau dieser ein lohnendes Ziel für Hacker. Das Einschleusen von Viren, Trojanern & Co ins Netz kann dann verhältnismäßig einfach erfolgen. Und dieser eine Schwachpunkt macht – wie gezeigt – alle anderen Sicherheitsanstrengungen hinfällig und gefährdet nicht zuletzt die Sicherheit und Identität der Bürger.
*Der Autor: Alan Colley ist Director Commercial Networking Europe bei Linksys.
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609060/original.jpg "Server des Zollkriminalamts und der Bundespolizei werden gehackt, darunter ein Server, auf dem das Patras-System läuft: ein Geodaten-Programm, das den Standort von Ermittlern und Tatverdächtigen anzeigen kann. Sie veröffentlichen Rufnummern von GPS-Trackern, Namen von Beamten und Angaben zu observierten Fahrzeugen. Als Täter wird die Hacker-Gruppe No-Name-Crew genannt. Jüngst wurde bekannt, dass der Hack einen Familienstreit zum Ursprung hat, in dem ein Bundespolizeimitarbeiter seiner Tochter einen Trojaner auf den Rechner spielte, um deren Internetaktivitäten zu überwachen. Ein Hacker-Freund der Tochter bemerkte dies und drang über den PC des Vaters in den Server der Bundespolizei.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609061/original.jpg "Hacker dringen in das Netzwerk der Bundes-CDU und gelangen so an 5.800 Datensätze mit eMail-Adressen, Namen und Mitgliedsnummern.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609057/original.jpg "Das Computersystem des Internationalen Währungsfonds (IWF) ist Ziel eines Hacker-Angriffs. Nach Medienberichten werden eMails und andere Dokumente entwendet.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609055/original.jpg "Mit einem Trojaner gelangen Unbekannte in Computer des französischen Wirtschafts- und Finanzministeriums. Ziel sind vertrauliche Dokumente zur französischen G20-Präsidentschaft.10.000 Computer werden vorsichtshalber heruntergefahren.")
(ID:44625838)
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/46/07/46074d1f31bc68a62906e7b52cbab583/0112335090.jpeg "17.000 Teilnehmer vor Ort, Million Zuschauer weltweit – die Cisco Live 2023 war die bisher größte Cisco-Konferenz. (Bild: Cisco)")