Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

[datensicherheit.de, 13.11.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 12. November 2024 den Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ vorgestellt. Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro kommentiert: „Die Zahl der Cyber-Vorfälle in Deutschland hat erneut zugenommen. Dabei steht mit den kleinen und mittleren Unternehmen mithin das Rückgrat der deutschen Wirtschaft besonders im Fokus der Angreifer, ebenso wie IT-Dienstleister und Kommunen. Auch die Gefährdungslage für Kritische Infrastrukturen bleibt ‚angespannt‘. Angesichts einer instabilen politischen Weltlage wird deutlich, dass wir die Cyber-Sicherheit hierzulande dringend weiter ausbauen müssen.“

Foto: Trend Micro

Dirk Arendt fordert, auch die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen

Unternehmen benötigen auch in Fragen der Cyber-Sicherheit Planungssicherheit

Indes müsse bei allen innenpolitischen Unwägbarkeiten der Weg hin zur „Cybernation“ weiter konsequent verfolgt werden. Unternehmen brauchten Planungssicherheit – auch in der Cyber-Sicherheit. Deshalb sei die Politik gefordert, das deutsche NIS-2-Umsetzungsgesetz schnellstmöglich auf den Weg zu bringen.

Arendt führt hierzu aus: „Indem sie die Zahl der regulierten Unternehmen deutlich erhöht, auch kleinere Einrichtungen in den Blick nimmt und die Cyber-Risiken entlang von Lieferketten in den Fokus rückt, hat die NIS-2-Richtlinie das Potenzial, wichtige Impulse zur Erhöhung der Cyber-Resilienz, gerade in besonders von Angriffen betroffenen Bereichen, zu geben.“

Höchste Zeit, auch auf kommunaler Ebene die Cyber-Resilienz zu erhöhen!

Darüber hinaus sei es unabdingbar, die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen, „das ihrer Kritikalität für das Funktionieren des Gemeinwesens entspricht“. Könnten Kommunen ihre Aufgaben nicht erfüllen, habe dies unmittelbare Auswirkungen auf den Alltag der Bürger:

„Stehen sie längere Zeit still, kann dies das Vertrauen der Bevölkerung in die Leistungsfähigkeit des Staates empfindlich einschränken“, warnt Arendt. Gerade in solch unsicheren Zeiten könnten wir uns das nicht erlauben – es sei deshalb höchste Zeit, auch die kommunale Ebene entsprechend zu regulieren.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2024

datensicherheit.de, 31.10.2023
Hacker-Angriff auf Ämter und Kommunen in NRW unterstreicht Bedeutung der Cyber-Resilienz / Thomas Lo Coco nimmt Stellung zur Cyber-Attacke vom 30. Oktober 2023

datensicherheit.de, 20.10.2023
Weg in die Basis-Absicherung: BSI-Checklisten für Kommunen / BSI bietet ersten wesentlichen Schritt in Richtung systematischer Informationssicherheit

datensicherheit.de, 02.12.2021
DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen / IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim wurden mit Ransomware attackiert

KnowBe4-Bericht beleuchtet verstärkte, auf Kritische Infrastrukturen abzielende Cyber-Bedrohungen

[datensicherheit.de, 26.08.2024] KnowBe4 hat mit „Cyberangriffe auf Infrastrukturen: Die neue geopolitische Waffe“ seinen neuesten Bericht veröffentlicht – dieser beschreibt demnach die zunehmende Bedrohung durch Cyber-Angriffe auf Kritische Infrastrukturen (KRITIS) und soll Einblicke in Maßnahmen zum Schutz vor diesen potenziell verheerenden Attacken bieten.

Abbildung: KnowBe4

KnowBe4-Report „Cyber Attacks on Infrastructure – The New Geopolitical Weapon“

Cyber-Angriffe auf KRITIS hauptsächlich, um Kontrollsysteme zu stören oder auszuspionieren

In den letzten Jahren haben Cyber-Angriffe auf KRITIS weltweit offensichtlich stark zugenommen und stellen somit erhebliche Risiken für die Nationale Sicherheit und wirtschaftliche Stabilität dar. Im Gegensatz zu anderen Datenlecks zielten diese Cyber-Angriffe hauptsächlich darauf ab, Kontrollsysteme zu stören oder auszuspionieren.

Besonders betroffen sind laut KnowBe4 die Energie-, Transport- und Telekommunikationssektoren: „Dies ist wenig überraschend, da diese Sektoren, insbesondere in entwickelten Ländern, zunehmend digital vernetzt sind, wodurch neue Schwachstellen für Cyber-Angriffe entstanden sind. Die Konsequenzen solcher Angriffe können für Nationen verheerend sein, weshalb geopolitische Gegner diese Angriffe als mächtige Ergänzung ihres digitalen Waffenarsenals betrachten.“

Zu den wichtigsten Erkenntnissen des KnowBe4-Berichts gehören:

• Die Zahl der verwundbaren Punkte in den US-Stromnetzen wachse täglich um etwa 60, wobei die Gesamtzahl von 21.000 im Jahr 2022 auf heute zwischen 23.000 und 24.000 angestiegen sei.
• Weltweit habe sich die durchschnittliche Anzahl wöchentlicher Cyber-Angriffe auf Versorgungsunternehmen seit 2020 vervierfacht – mit einer Verdoppelung allein im Jahr 2023.
• Zwischen Januar 2023 und Januar 2024 seien weltweit über 420 Millionen Angriffe auf KRITIS verzeichnet worden – „das entspricht 13 Angriffen pro Sekunde – was einem Anstieg von 30 Prozent im Vergleich zu 2022 entspricht“.

Schwachstellen werden von Cyber-Kriminellen ausgenutzt, um Netzwerke und Systeme zu infiltrieren

Laut dem „Phishing Industry Benchmark Report 2024“ von KnowBe4 zählen KRITIS-Sektoren wie Gesundheitswesen und Pharma, Bildung sowie Energie und Versorgung zu den Hochrisikobereichen – „wenn es darum geht, dass Mitarbeiter auf Phishing-Taktiken hereinfallen“. Diese Schwachstellen würden von Cyber-Kriminellen ausgenutzt, um Netzwerke und Systeme zu infiltrieren.

„Die Ergebnisse unseres Berichts sind ein Weckruf für die Kritischen Infrastruktursektoren“, betont Stu Sjouwerman, „CEO“ von KnowBe4. Auch wenn der Anstieg der Cyber-Angriffe auf diese Sektoren äußerst besorgniserregend sei, sollte nicht vergessen werden, „dass wir nicht machtlos sind“. Er führt hierzu aus: „Durch die Förderung einer starken Sicherheitskultur, die Technologie, Prozesse und Menschen kombiniert, können wir diese Risiken erheblich mindern!“

Es gilt, Cyber-Sicherheit als grundlegenden Aspekt operativer Widerstandsfähigkeit und Nationaler Sicherheit zu verstehen

Jede Organisation, unabhängig von ihrer Größe oder ihrem Sektor, spiele eine Rolle beim Schutz unserer kollektiven Infrastruktur. „Es ist an der Zeit, Cyber-Sicherheit nicht nur als IT-Angelegenheit zu betrachten, sondern als einen grundlegenden Aspekt unserer operativen Widerstandsfähigkeit und Nationalen Sicherheit“, so Sjouwerman.

Der aktuelle KnowBe4-Bericht hebe jüngste hochkarätige Angriffe auf KRITIS weltweit hervor und zeige deren weitreichende Auswirkungen auf. Zudem biete er konkrete Empfehlungen für Organisationen und Institutionen, um ihre Cyber-Resilienz zu stärken.

Weitere Informationen zum Thema:

KnowBe4, 2024
Cyber Attacks on Infrastructure / The New Geopolitical Weapon

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

Die schleswig-holsteinische Behörde hatte 2023 den DSK-Vorsitz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

[datensicherheit.de, 12.01.2021] Das Analystenteam von CybelAngel hat nach eigenen Angaben seinen aktuellen Forschungsbericht „Full Body Exposure“ vorgestellt. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich, so die Warnung.

In Deutschland auf 251 Servern 39.204 frei zugängliche medizinische Aufnahmen

Der Bericht „Full Body Exposure“ basiere auf Untersuchungen von „Network Attached Storage“ (NAS) und „Digital Imaging and Communications in Medicine“ (DICOM), die über sechs Monate hinweg weltweit durchgeführt worden seien. DICOM sei der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwendeten. Die Analysten hätten im Rahmen ihrer Recherche aufgedeckt, daDSGVOss Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich seien – unverschlüsselt und ohne Passwortschutz.
Für den Bericht hätten CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern gescannt. Dabei seien mehr als 45 Millionen medizinische Bilder identifiziert worden, die für jedermann offen zugänglich gewesen seien. Allein in Deutschland hätten die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen gefunden. In Großbritannien seien im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt worden. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglicht hätte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für medizinische Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, stellt David Sygula, „Senior Cybersecurity Analyst“ bei CybelAngel und Autor des Berichts „Full Body Exposure“, klar. Trotzdem sei es ihnen ein Leichtes gewesen, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.
Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssten, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein „gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit“, um Datenpannen in Zukunft zu verhindern.

Medizinische Einrichtungen arbeiten meist mit Netz von Drittanbietern

Die Brisanz des Themas liege unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erläutert Sygula. Die Cloud sei dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Sicherheitslücken stellten in einer solchen Umgebung ein enormes Risiko dar. Dies gelte einerseits für die Personen, deren Daten kompromittiert würden, also die Patienten. Andererseits seien auch Einrichtungen des Gesundheitswesens, welche den Vorschriften zum Schutz der Patientendaten unterlägen, durch die aufgedeckten Sicherheitsmängel gefährdet.

Medizinische Aufnahmen könnten im Darknet zu Höchstpreisen verkauft werden

„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Sygula.
Der Bericht hebe die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug sei ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden könnten.

Wenige Schritte zu mehr medizinischem Datenschutz

Compliance habe im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So seien europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten seien sanktionspflichtig und könnten hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit könnten medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen seien:

• – Lecks bei Dritten identifizieren und stopfen.
• – Cloud-Zugriffe sperren, wo immer es angebracht ist.
• – Daten außerhalb des Netzwerks ausreichend überwachen.

Weitere Informationen zum Thema:

CybelAngel
Full Body Exposure / CybelAngel Analysis of Medical Data Leaks

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

Malwarebytes veröffentlicht aktuellen Cyber-Sicherheitsberichts zu den Auswirkungen von „Covid-19“ auf die Unternehmenssicherheit

[datensicherheit.de, 21.08.2020] Malewarebytes hat nach eigenen Angaben am 21. August 2020 seinen aktuellen Cyber-Sicherheits-Bericht 2020 veröffentlicht. Die Analysen der Sicherheitsforscher zeigten gravierende Sicherheitslücken und Gefahren für Unternehmen durch Mitarbeiter im Home-Office auf: „Ein Anstieg von 20 Prozent bei Sicherheitsverletzungen, gestiegene Kosten für die Behebung entstandener Schäden, 61 Prozent der befragten Organisationen haben kein Sicherheitskonzept für den Einsatz persönlicher Geräte im Home-Office – seit Beginn der ,Pandemie‘.“ Beispielhaft für die Gefahr für Unternehmen stehe die Zunahme der Verbreitung der Malware „AveMaria“ um über 1.200 Prozent im Vergleich zum Vorjahr, 2019.

Abbildung: Malwarebytes

Malwarebytes‘ neuer Cyber-Sicherheitsbericht „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“

Aktueller Cyber-Sicherheitsbericht kombiniert Telemetrie von Malwarebytes mit Umfrageergebnissen

Die Unternehmen seien nun unter Zugzwang, denn der neue Malwarebytes-Bericht offenbare massive Sicherheitslücken durch Mitarbeiter im Home-Office, so ein Ergebnis einer Umfrage unter Entscheidungsträgern im Bereich IT- und Cyber-Sicherheit – diese lasse auf einen Anstieg von 20 Prozent der Cyber-Sicherheitsverletzungen in Folge des verstärkten Einsatzes von Mitarbeitern im sogenannten Home-Office – „bedingt durch Covid-19“ – schließen.
Nach Angaben von Malwarebytes kombiniert der aktuelle Cyber-Sicherheitsberichts „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“ die Telemetrie von Malwarebytes mit den Ergebnissen einer Umfrage unter 200 IT- und Cyber-Sicherheits-Entscheidungsträgern von kleinen Unternehmen bis hin zu Großkonzernen. Ziel sei es, Sicherheitslücken in der für viele Mitarbeiter ungewohnten neuen Arbeitssituation aufzudecken.

Malwarebytes warnt: 61% der Organisationen fordern Mitarbeiter nicht auf, Sicherheitslösungen auf persönlichen Geräten aufzuspielen

Die Daten zeigten, dass das Potenzial für Cyber-Angriffe und Sicherheitsverletzungen zugenommen habe, seit Organisationen auf ein „Work from Home“-Modell (WFH) umgestiegen sind. 20 Prozent der Befragten gäben an, dass sie seit Beginn der „Pandemie“ mit einer Sicherheitsverletzung durch einen Remote-Mitarbeiter konfrontiert gewesen seien. Das bringe Kosten mit sich: 24 Prozent der Befragten sagten, dass sie für unerwartete Kosten für die Behebung einer Cyber-Sicherheitsverletzung oder eines Malware-Angriffs aufkommen müssten.
Darüber hinaus gäben 28 Prozent der Befragten an, auch persönliche Geräte zu nutzen, was neue Möglichkeiten für Cyber-Angriffe eröffne. Diese Zahl werde noch problematischer beim Blick auf einen weiteren Umfragewert, „der zeigt, dass 61 Prozent der befragten Organisationen ihre Mitarbeiter nicht dazu auffordern, Sicherheitslösungen auf ihren persönlichen Geräten zu verwenden“.

Malwarebytes-CEO: Unternehmen noch nie einem größeren Risiko ausgesetzt als jetzt!

„Der grundlegende Wechsel zur Arbeit im Home-Office hat die Notwendigkeit eines umfassenden Sicherheitskonzepts sowie von IT-Anleitungen und Schulungen zur Vermeidung von Sicherheitsverletzungen dramatisch unterstrichen. Viele Organisationen haben die Lücken in ihren Cyber-Sicherheitsplänen nicht behoben, als sie zu einer Remote-Belegschaft übergingen und mit Sicherheitsproblemen als Folge“, berichtet Marcin Kleczynski, „CEO“ und Mitbegründer von Malwarebytes.
Die Verwendung von mehr, oft unautorisierten Geräten offenbare die „dringende Notwendigkeit“ nicht nur eines vollständigen, mehrstufigen Sicherheitsmodells, sondern auch neuer Richtlinien für die Arbeit von zu Hause aus. „Unternehmen waren noch nie einem größeren Risiko ausgesetzt als jetzt und Hacker werden immer aktiver“, warnt Kleczynski.

Malwarebytes-Sicherheitsforscher: Spezialisierung der Cyber-Kriminellen

In Bezug auf die Bedrohungslandschaft beobachten Sicherheitsforscher von Malwarebytes demnach, dass Cyber-Kriminelle sich darauf spezialisiert hätten, unsachgemäß gesicherte Firmen-VPNs, cloudbasierte Dienste und geschäftliche E-Mails auszunutzen. Auch die Zahl von Phishing-E-Mails, die „Covid-19“ als Köder benutzten, sei stark angestiegen. Diese E-Mails enthielten Malware wie „AveMaria“ und „NetWiredRC“, die einen Remote-Desktop-Zugriff, eine Steuerung der Webcam, Passwortdiebstahl und mehr ermöglichten.
Daten von Malwarebytes zeigten, dass „AveMaria“ von Januar bis April 2020 einen „enormen Anstieg von 1.219 Prozent“ verzeichne. Danach ziele „AveMaria“ vor allem auf große Unternehmen ab. „In ähnlicher Weise beobachten die Sicherheitsforscher bei NetWiredRC einen 99-prozentigen Anstieg von Januar bis Juni 2020, wobei hier in erster Linie kleine und mittelständische Unternehmen im Visier waren.“

Direktor der Malwarebytes Labs: Bedrohungsakteure passen sich schnell an

„Die Bedrohungsakteure passen sich schnell an, um neue Wege zu finden, aus der neuen Arbeitssituation Kapital zu schlagen“, führt Adam Kujawa, Direktor der „Malwarebytes Labs“, aus. Man habe einen erheblichen Anstieg von Angriffen auf Cloud- und Kollaborationstools beobachtet. Kujawa: „Dies zeigt uns, dass wir die Cyber-Ssicherheit in Bezug auf diese Tools sowie die Schwachstellen bei der Arbeit in verteilten Umgebungen neu bewerten müssen, um Bedrohungen wirksamer einzudämmen.“
Trotzdem schienen die Unternehmen ein hohes Maß an Vertrauen in den Übergang zur Heimarbeit zu haben, denn rund drei Viertel (73,2 Prozent) der Befragten bescheinigten ihren Organisationen bei der Vorbereitung auf den Übergang zum WFH eine Punktzahl von sieben oder mehr (Skala 1-10; 10 Maximalpunktzahl). Im Zuge der Verlagerung ins Home-Office allerdings führten 45 Prozent der Organisationen nicht die notwendigen Sicherheits- und Online-Datenschutzanalysen von Software-Tools durch. Zwar stellten 61 Prozent der Organisationen ihren Mitarbeitern bei Bedarf Geräte für die Arbeit zur Verfügung, allerdings hätten 65 Prozent keine entsprechende Virenschutzlösung für diese Geräte installiert.

Weitere Informationen zum Thema:

Malwarebytes, 21.08.2020
Enduring from home / COVID-19‘s impact on business security

datensicherheit.de, 19.08.2020
Mittelstand im Home-Office: 5 IT-Sicherheits-Tipps / Yuriy Yuzifovich gibt Hinweise, wie auch ohne eigene IT-Abteilung Sicher im Home-Office gearbeitet werden kann

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

datensicherheit.de, 11.07.2020
Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken / Gerald Beuchelt plädiert für zielgruppenorientierte regelmäßige Vermittlung von Grundlagen der IT-Sicherheit

Prof. Ulrich Kelber begrüßt Evaluierungsbericht der Europäischen Kommission zur DSGVO

[datensicherheit.de 28.06.2020] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt nach eigenen Angaben den Evaluierungsbericht der Europäischen Kommission zur Datenschutz-Grundverordnung (DSGVO): Dieser Bericht sei ein wichtiger Schritt zur weiteren Vereinheitlichung und verbesserten Durchsetzung des Datenschutzes.

Foto: Bundesregierung/Kugler

Professor Ulrich Kelber: DSGVO weltweit als Vorbild für neue gesetzliche Regelungen etabliert

Wichtigste Zielsetzungen der DSGVO erreicht

„Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotenzial. Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert“, bilanziert Professor Kelber.

Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden

Wesentliche Kernaussagen ihrer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz fänden sich auch im Bericht der Kommission. „Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Europäische Kommission äußert sich nicht zu Scoring und Profiling

Der BfDI führt weiter aus: „Es war abzusehen, dass der Gesetzestext der DSGVO nach derzeitigem Stand nicht geändert werden soll. Kritisch sehe ich hingegen, dass die Europäische Kommission sich zu einigen Herausforderungen für den Datenschutz nicht äußert, wie zum Beispiel zum Thema ,Scoring‘ und ,Profiling‘“.

Besondere Schutzmaßnahmen bei Datenübermittlung in Drittstaaten gefordert

Die Europäische Kommission fordere in ihrem Evaluationsbericht außerdem den Europäischen Datenschutzausschuss (EDSA) auf, die Arbeiten zu bestimmten Themen zu intensivieren. Dazu zählten beispielsweise die Leitlinien für besondere Schutzmaßnahmen bei der Datenübermittlung in Drittstaaten oder die inhaltlichen Abstimmung bei der Genehmigung sogenannter Binding Corporate Rules. Der EDSA habe bereits vor Veröffentlichung des Berichts und trotz der „Corona-Pandemie“ seine Arbeiten mit Nachdruck vorangetrieben.

Datenschutzaufsichtsbehörden müssen angemessen ausgestattet sein

Das Dokument enthält demnach auch eine der Kernforderungen des BfDI: „Die Datenschutzaufsichtsbehörden müssen finanziell, personell und technisch angemessen ausgestattet werden. Es ist Zeit, dass die verschiedenen Regierungen endlich handeln“, betont Professor Kelber.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt / Prof. Dr. Johannes Caspar kritisiert „verpasste Chance zum Nachsteuern“

Zeit und Geld in erster Linie in die Verbesserung der technischen Sicherheit investieren und erst dann Angestellte schulen

[datensicherheit.de, 12.06.2020] Bekanntermaßen sind gefälschte E-Mails noch immer das Medium der Wahl für Cyber-Kriminelle, um sich vertrauliche Daten zu erschleichen oder Schadprogramme einzuschleusen. Einige Unternehmen versuchen daher, die Resistenz ihrer Mitarbeiter gegen solche Angriffe mit Hilfe von Phishing-Kampagnen zu prüfen und vermeintlich zu verbessern – hierzu werden den Angestellten bewusst simulierte Phishing-Mails geschickt. Ein aktueller Bericht von Wissenschaftlerinnen des Karlsruher Instituts für Technologie (KIT) und der Ruhr Universität Bochum beleuchtet Phishing-Kampagnen unter den Aspekten „Security, Recht und Faktor Mensch“.

Foto: Amadeus Bramsiepe, KIT

Öffnen oder nicht? Absender von Phishing-Mails geben sich oft als bekannte Dienstleister oder Kollegen aus!

Phishing: E-Mails haben Anschein hoher Glaubwürdigkeit

Solche gefälschten E-Mails haben den Anschein hoher Glaubwürdigkeit, denn deren Absender geben sich als bekannte Dienstleister, Kollegen oder Vorgesetzte aus. Das Ziel der cyber-kriminellen Absender ist klar: Arglose Empfänger sollen dazu verleitet werden, auf einen Link zu klicken, um in der Folge Kontodaten und Passwörter abzufischen oder Schadprogramme aufzuspielen.
Das KIT warnt: Es genüge, dass ein einzelner Angestellter einem Phishing-Angriff Glauben schenkt, um großen Schaden zu verursachen. Um zu testen, wie ihre Mitarbeiter auf Phishing-Mails reagieren, nutzten manche Firmen und Institutionen Phishing-Kampagnen externer Dienstleister. Mit Wissen der Unternehmensleitung würden fingierte Phishing-Mails an die Angestellten geschickt.

Phishing: Abwehr-Kampagnen müssen rechtlich, sicherheitstechnisch und ethisch vertretbar sein

„Die Kampagnen haben das Ziel, Mitarbeiterinnen und Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen, aber es herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist“, so die Professorinnen Melanie Volkamer, Leiterin der Forschungsgruppe „SECUSO – Security, Usability and Society“ am KIT, und Franziska Boehm vom Zentrum für Angewandte Rechtswissenschaft des KIT gemeinsam mit der Bochumer Professorin für „Human-Centred Security“ am Horst-Görtz-Institut für IT Sicherheit, M. Angela Sasse.
Ihr online frei zugänglicher Forschungsbericht beschreibt demnach verschiedene Gestaltungsformen und -ziele von Phishing-Kampagnen und damit verbundene Fragen im Kontext von IT- und Informationssicherheit, Fragen zum Arbeitnehmer- und Datenschutz sowie Fragen der Vertrauenskultur und der Selbstwirksamkeit von Angestellten. Er nehme die Aussagekraft und Fallstricke der Kampagnen in den Blick und biete Information unter anderem für IT- und Informationssicherheitsbeauftragte.

Phishing-Kampagnen bringen auch Sicherheitsprobleme mit sich

„Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen“, erläutert Professorin Boehm, die neben ihrer Professur am KIT auch Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) am FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur ist.
„Eine Kampagne zu starten ohne die Angestellten vorher darüber aufzuklären, ist schlicht unfair und trägt nicht zum Vertrauen in die Leitung bei“, betont Professorin Sasse, die am Exzellenzcluster „Cyber-Sicherheit im Zeitalter großskaliger Angreifer“, kurz CASA, forscht und Abschlüsse in Arbeitspsychologie und Informatik hat. Zu erfahren, dass man auf Phishing-Nachrichten hereingefallen ist, wirke sich schlecht auf die Selbstwirksamkeit aus: „Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation, sie bemühen sich nicht einmal mehr, Phishing-Nachrichten zu erkennen“, warnen die Autorinnen.

Phishing: Meldepflicht für IT-Sicherheitsvorfälle vor Abwehr-Kampagne etablieren

„Wenn die Mitarbeiter aber wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt“, weiß Professorin Volkamer zu berichten, die am Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) Karlsruhe forscht, einem von deutschlandweit drei Kompetenzzentren für Cyber-Sicherheit.
Verstärkt werde das Problem, wenn ein Mitarbeiter merkt, dass er doch einen gefährlichen Link angeklickt hat und sich nicht traut, dies zu melden. Im Unternehmen sollte deshalb vor Start einer Phishing-Kampagne bereits eine Meldepflicht für IT-Sicherheitsvorfälle etabliert sein, betont die Informatikerin.

Phishing: Abwehr-Kampagnen könnten IT-Sicherheit negativ konnotieren

Bei einer angekündigten Kampagne sei zu erwarten, dass die Mitarbeiter weitaus mehr Nachrichten kritisch hinterfragen und übervorsichtig sein würden, dadurch könne sich der Zeit- und Leistungsdruck erhöhen, was sich ebenfalls negativ auf das Vertrauen in die Geschäftsleitung auswirke. „Security wird meist ohnehin als lästig und störend empfunden, aus unserer Sicht ist es ein großes Problem von Phishing-Kampagnen, dass sie das Thema noch negativer belegen, denn letztlich greift dabei die Leitung ihre Angestellten an“, führt Professorin Sasse aus.
Die Autorinnen raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren und erst dann die Angestellten zu schulen, welche Phishing-Nachrichten sie trotz der aktuellen Sicherheitssoftware und des neuesten Betriebssystems dann noch erreichen können – und wie sie diese erkennen.

Weitere Informationen zum Thema:

KIT, 12.05.2020
Phishing-Kampagnen zur Mitarbeiter-Awareness : Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch / Volkamer, Melanie; Sasse, Martina Angela; Boehm, Franziska

Ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills bei CISOs gefragt

[datensicherheit.de, 13.05.2020] Das Unternehmen Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft „Building the Future of Security Leadership“ (Aufbau künftiger Sicherheitsexperten). Dieser Bericht enthält exklusive Erkenntnisse und umsetzbare Empfehlungen für Unternehmen, damit diese ihre größte Herausforderung meistern können – die Einstellung, Bindung und Weiterentwicklung der nächsten Generation von Sicherheitsexperten. Entwickelt wurde der Bericht in Zusammenarbeit mit dem Client Advisory Council von Kudelski Security, einer Expertenkommission für Cybersicherheit bestehend aus Informationssicherheitsexperten von internationalen Unternehmen.

Gefragte Eigenschaften von CISOs

Im Bericht werden verschiedene Trends aufgezeigt, welche die Suche und Bindung qualifizierter Chief Information Security Officer (CISOs) und deren Mitarbeiter zu einer Herausforderung machen – eine Herausforderung, die durch die neuen standortunabhängigen Arbeitsumgebungen noch verschärft wird. Erfolgreiche CISOs sollten zum Beispiel über ein ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills wie Kommunikationsfähigkeit, Aufbau von Beziehungen sowie die sogenannte Executive Presence verfügen. Der Bericht zeigt jedoch, dass eine solche Mischung nur extrem selten anzutreffen ist. CISOs benötigen diese Soft Skills, um neue Geschäftsmodelle effektiv umsetzen zu können, die wahrscheinlich auch nach Abklingen der aktuellen Krise auf standortunabhängiges Arbeiten setzen werden.

„Internationale Unternehmen müssen die neue Rolle des CISO jetzt mehr denn je verstehen, um Bedrohungen einen Schritt voraus zu sein und wettbewerbsfähig zu bleiben“, so Andrew Howard, CEO von Kudelski Security. „Wir sind fest davon überzeugt, dass die Cybersicherheitsbranche vom Austausch zwischen erfahrenen Experten profitieren kann. Die Mitglieder unseres Kundenbeirats haben unseren Kunden wertvolle Erkenntnisse geliefert und wir freuen uns, dass wir diese der breiten Sicherheits-Community zur Verfügung stellen können.“

Führungskräfte in der IT-Sicherheit gefragt, © Kudelski Security

Der Bericht enthält praktische Hinweise und Erkenntnisse für drei Hauptakteure: CISOs, angehende Sicherheitsexperten und Recruiter für Führungskräfte. Für die einzelnen Gruppen ergeben sich die folgenden wichtigen Erkenntnisse:

• CISOs: Angesichts der wachsenden Verantwortlichkeiten in ihrem Zuständigkeitsbereich sollten CISOs die Cybersicherheit in Rollen einbetten, die sie normalerweise nicht einschließen, sodass die Aufrechterhaltung und der Ausbau der Cyber-Resilienz zu einer organisationsweiten Verantwortung werden. Auf die Frage nach wichtigen Fähigkeiten von CISOs sahen 82 Prozent der Befragten die Kommunikationsfähigkeiten als kritisch an, während nur 52 Prozent der Meinung sind, dass praktische Erfahrungen in Technologien entscheidend sind.
• Angehende Sicherheitsexperten: Alle Experten, die die Position eines CISOs anstreben, sollten sich in der Branche einen Namen machen. Zudem sollten sie sich dauerhaft und bewusst um den Aufbau einer Reputation sowie mehr Präsenz in sozialen Medien bemühen. Auch wenn die meisten Befragten (29 Prozent) angaben, dass Positionen im Bereich Governance, Risk und Compliance die besten Vorstufen auf dem Weg zur Rolle des CISO sind, gibt es verschiedenste Rollen, die ebenfalls zu diesem Karriereziel führen. Im Bericht werden diese Rollen ausführlich untersucht.
• Recruiter für Führungskräfte: Durchweg alle befragten CISOs rieten Personaler, sich bei ihrer Suche nicht nur auf ihre eigene Branche zu beschränken. Das gilt besonders, wenn diese beim Thema Cybersicherheit im Rückstand ist. Fast die Hälfte der Befragten in den USA und 92 Prozent der Befragten in Europa gab an, dass die Einstellung eines CISO durchschnittlich sechs bis zwölf Monate dauert. Angesichts dieser beträchtlichen Zeitspanne sollten Recruiter für Führungskräfte in der Zwischenzeit einen Virtual CISO (vCISO) anstellen. Um die Risiken im Zusammenhang mit hoher CISO-Fluktuation und Entschädigungszahlungen zu minimieren, sollten sie bei Einstellungen weiterdenken und einen Talentpool fördern, der an Orten wie Universitäten, Technikschulen und dem Militär ansetzt.

Zusätzlich zu den Beiträgen der Mitglieder des Kundenbeirats von Kudelski Security stützt sich der Bericht auf Interviews und Umfragen, die im vorigen Jahr in den USA und Europa mit mehr als 110 CISOs von weltweit führenden Unternehmen geführt wurden. Der Kundenbeirat liefert Erkenntnisse und Anleitungen zu Lösungen, die Kudelski Security seinen Kunden bereitstellt. Zu den Mitgliedern des Beirats zählen Sicherheitsexperten der obersten Management- und VP-Ebene aus Unternehmen wie Aaron‘s, Inc., AES Corporation, BKW, Blue Cross Blue Shield, BNP Paribas, Capital One, Technicolor, Urenco und Zebra Technologies.

In zwei Webinaren von Kudelski Security am 14. Mai und 28. Mai sprechen die Advisory CISOs von Kudelski Security Joe Bennett (früher CISO bei Hertz) und Jason Hicks (früher CISO bei Ares Management) sowie der Digital Security CISO-as-a-Service Youssef Mahraoui über die wichtigsten Erkenntnisse im Bericht und beantworten Fragen zu den verschiedenen Karrieremöglichkeiten, mit denen die Position des CISO erreicht werden kann.

Weitere Informationen zum Thema:

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (14. Mai 2020)

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (28. Mai 2020)

Kudelski Security
Addressing the Security Leadership Talent Gap (Vollständiger Bericht)

Datendiebstahl, Cyber-Spionage sowie disruptive und destruktive Bedrohungen

[datensicherheit.de, 21.08.2019] Der Gesundheitssektor sieht sich laut FireEye „mit einer Reihe von Cyber-Angriffen und Bedrohungen mit bösartiger Malware konfrontiert“. Angesichts der sensiblen Daten in der Gesundheitsbranche und der wichtigen Rolle der Gesundheitsbranche für die Gesellschaft sei das Risiko für bösartige Bedrohungen in diesem Sektor besonders groß. FireEye hat am 21. August 2019 einen Bericht veröffentlicht, der nach eigenen Angaben zeigt, „dass chinesische Hacker-Gruppen – darunter auch die gerade erst neu angekündigte Gruppe ,APT41‘ – Angriffe im Gesundheitswesen vornehmen“. Zudem gebe er einen Überblick über die drei am häufigsten verwendeten Arten von Bedrohungen, die gegen Gesundheitsorganisationen eingesetzt werden: Datendiebstahl, Cyber-Spionage sowie disruptive und destruktive Bedrohungen.

Abbildung: Screenshot

FIREEYE veröffentlicht Bericht „Beyond Compliance: Cyber Threats and Healthcare“

Medizinische Forschungseinrichtungen im Visier

Medizinische Forschungseinrichtungen – insbesondere solche, die sich auf die Krebsforschung konzentrieren – sind demnach eines der Hauptziele von mehreren Cyber-Spionagegruppen (darunter „APT41“ und „APT22“). Ziel sei es wohl, „Wettbewerbsvorteile zu erlangen, um Medikamente schneller herstellen zu können“.

Gesundheitsbezogenen Datenbanken auf dem Schwarzmarkt

Es gebe eine große Anzahl von gesundheitsbezogenen Datenbanken, die online verkauft würden – die meisten für unter 2.000 US-Dollar (basierend auf einer Stichprobe der letzten sechs Monate). Das Gesundheitswesen insgesamt sei „eine der Branchen, die am häufigsten erneut Ziele von Bedrohungen werden“.

Weitere Informationen zum Thema:

FIREEYE, 2019
Beyond Compliance: Cyber Threats and Healthcare

datensicherheit.de, 03.07.2019
Gesundheitswesen: Datenschutz und Verschlüsselung mangelhaft

datensicherheit.de, 30.06.2019
Digitalpolitik: Kurswechsel im Gesundheitswesen gefordert

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

Malwarebytes veröffentlicht Bericht „Cybercrime tactics and techniques: Q2 2019“

[datensicherheit.de, 11.08.2019] Sicherheitsforscher von Malwarebytes haben am 8. August 2019 ihren Quartalsbericht zu den zwischen April und Juni 2019 verzeichneten Cybercrime-Taktiken und -Techniken veröffentlicht. Der komplette englischsprachige Bericht „Cybercrime tactics and techniques: Q2 2019“ steht zum Download bereit. Diese Sonderausgabe des vierteljährlichen Berichts zeigt laut Malwarebytes die Entwicklung der Ransomware-Angriffe auf: Demnach sind deutsche Unternehmen mit einer 85 prozentigem Zunahme konfrontiert – der Fokus liege auf Software und Technologiefirmen.

Abbildung: Malwarebytes

Quartalsbericht zu den zwischen April und Juni 2019 verzeichneten Cybercrime-Taktiken und -Techniken

Verschiebung der Ransomware-Angriffe von Endverbrauchern auf Organisationen, Unternehmen und Gemeinden

Malwarebytes hat die Ergebnisse seines Sonderberichts zu Cybercrime-Taktiken und -Techniken des zweiten Quartals 2019 mit einer speziellen Ransomware-Retrospektive präsentiert. „Der detaillierte Bericht untersucht die komplette Verschiebung von Ransomware-Angriffen von Endverbrauchern auf Organisationen, Unternehmen und Gemeinden und analysiert Angriffsmethoden sowie Trends in verschiedenen Regionen, um einen beispiellosen Einblick in den Ansatz von Ransomware zu erhalten.“

Ransomware macht mehr Schlagzeilen als je zuvor

„Wir konnten in diesem Jahr feststellen, dass Ransomware mehr Schlagzeilen macht als je zuvor. Ransomware feiert ein Wiederaufleben und zielt speziell auf große, schlecht vorbereitete öffentliche und private Organisationen sowie leicht anzugreifende Schwachstellen von Städten, gemeinnützige Organisationen oder Bildungseinrichtungen“, berichtet Adam Kujawa, Direktor der Malwarebytes Labs.

Insbesondere KRITIS muss sich gegen Ransomware-Bedrohung wappnen

Kujawa betont: „Besonders kritische Infrastrukturen müssen sich anpassen und gegen diese Bedrohungen wappnen, da sie zunehmend Ziel von Cyber-Kriminellen werden, was allen Menschen, die von öffentlichen Diensten abhängig sind und diesen Einrichtungen im Umgang mit ihren Daten vertrauen, große Sorgen bereitet.“

Auswahl einiger Haupterkenntnisse des aktuellen Malwarebytes-Reports:

• Die Gesamtzahl an Ransomware-Erkennungen, „die auf Unternehmen zwischen dem zweiten Quartal 2018 und dem zweiten Quartal 2019 abzielten“, seien um 363 Prozent gestiegen.
• Von 2018 bis 2019 sei die Gesamtzahl an Bedrohungen, „die sich an große bis hin zu kleinen Unternehmen richteten“, um 235 Prozent gestiegen, wobei Ransomware einen wesentlichen Beitrag daran ausmache.
• Kommunen, Bildungseinrichtungen und Gesundheitsorganisationen seien zu Hauptzielen geworden, „wahrscheinlich aufgrund der bestehenden Infrastruktur, veralteter Hard- und Softwareanwendungen und fehlender Sicherheitsfinanzierung in diesen Sektoren“.
• Zu den wichtigsten Ransomware-Familien hätten im Q2/2019 gehört: „GandCrab“, „Ryuk“, „Troldesh“, „Rapid“ und „Locky“. Bei den Ransomware-Erkennungen bei Unternehmen habe es einen stetigen Anstieg von Ransomware-Familien gegeben, insbesondere bei „Ryuk“ und „Phobos“. „Die ,Ryuk‘-Erkennungen stiegen im Vergleich zum letzten Quartal um 88 Prozent, während ,Phobos‘ im Vergleich zum ersten Quartal 2019 um 940 Prozent explodierte.“
• Der Aufstieg und kolportierte Rückzug von „GandCrab“ habe zur Entstehung von „Sodinokibi“-Ransomware geführt, „einem weiteren Typ von ,Ransomware-as-a-Service‘ (RaaS) mit ähnlichen technischen Komponenten“.
• Aufteilung der Ransomware nach Ländern: Die USA seien mit 53 Prozent der Erkennungen führend, gefolgt von Kanada mit zehn Prozent und Großbritannien mit neun Prozent. „Kurz dahinter folgen auf den Plätzen die Länder Italien, Frankreich, Russland, Deutschland, Südafrika und Spanien.“
• Im Quartalsvergleich sei in Deutschland die Zahl der erkannten Ransomware-Angriffe im Quartalsvergleich (Q1 gegenüber Q2 2019) um 85 Prozent gestiegen. „Dabei war es vor allem Ransomware vom Typ ,Ryuk‘, der den ,GandGrab‘ in Bezug auf Anstiegszahlen ablöste.“
• Speziell in Deutschland seien die Ransomwaretypen „GandCrab“, „Rapid“ und „Locky“ am weitesten verbreitet gewesen. Mit Blick auf die fünf größten Länder Deutschlands hätten im Q2/2019 vor allem Unternehmen mit Sitz in Nordrhein-Westfalen, Bayern, Hessen und Baden-Württemberg mit Ransomware zu kämpfen gehabt.
• „Beim Blick auf die individuellen Unternehmensbranchen fällt auf, dass in Deutschland vor allem Organisationen aus dem Bereich Technologie und Software, Business Services sowie der Bildungssektor am stärksten von Ransomware im zweiten Quartal 2019 betroffen waren.“

Graphik: Malwarebytes

Top-5-Ransomware-Familien in den fünf größten Bundesländern Deutschlands

Weitere Informationen zum Thema:

Malwarebytes LABS, 08.08.2019
Labs quarterly report finds ransomware’s gone rampant against businesses

Malwarebytes, August 2019
CTNT REPORT / CYBERCRIME TACTICS AND TECHNIQUES: Ransomware Retrospective

datensicherheit.de, 08.08.2019
Ransomware: Das Netzwerk als effektivste Waffe Cyber-Krimineller

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

datensicherheit.de, 24.07.2019
Ransomware: Tipps zur Vermeidung des Digitalen Supergaus

datensicherheit.de, 21.04.2017
Warnung von Malwarebytes vor einer Serie an Malvertising-Angriffen