[datensicherheit.de, 30.05.2019] Heutzutage jagt offenbar eine Meldung zu Cyber-Angriffen die nächste. In den meisten Fällen handelt es sich um externe Eindringlinge. Doch, dass Sicherheitsbedrohungen auch intern lauern, gerät oftmals zu stark in den Hintergrund – was im Fall von „Snapchat“ deutlich werde, in dem Mitarbeiter Tools zum Ausspähen von Benutzern missbraucht hätten, meldet LogRhythm.

Unzureichende Erkennung von Insider-Bedrohungen

Bei so vielen großen externen Datenschutzverletzungen, die regelmäßig aufträten und für Schlagzeilen sorgten, „übersehen Unternehmen häufig die Notwendigkeit, Insider-Bedrohungen als oberste Priorität zu identifizieren“, betont Chris Petersen, „Chief Product & Technology Officer“ und „CO-Founder“ bei LogRhythm.
„Diese können jedoch für ein Unternehmen gleichermaßen oder sogar gravierender sein, wie wir es bei ,Snapchat‘ sehen. Es ist alarmierend, wenn man die jüngsten ,Verizon Data Breach Investigation‘-Berichte in Betracht zieht, denn in 69 Prozent der Unternehmen wurden Fälle von versuchten Datendiebstahls durch interne Mitarbeiter gemeldet“, kommentiert Petersen. 91 Prozent der Unternehmen berichteten jedoch von unzureichenden Programmen zur Erkennung von Insider-Bedrohungen.

Benutzer- und Entitätsverhaltensanalyse empfohlen

Die Lösung sei klar: Um einen Datenverstoß zu vermeiden, müssten Unternehmen anomale Aktivitäten schnell erkennen und darauf reagieren. Petersen: „Mithilfe der Benutzer- und Entitätsverhaltensanalyse (UEBA) können bekannte Bedrohungen und Verhaltensänderungen von Benutzerdaten überwacht werden. Dadurch wird eine kritische Sichtbarkeit gewährleistet, um benutzerbasierte Bedrohungen aufzudecken, die ansonsten möglicherweise nicht erkannt werden.“
Diese UEBA-Lösungen seien ausgereift – sie funktionierten gut und sollten in der heutigen Bedrohungslandschaft oberste Priorität haben, d.h. jedes Unternehmen sollte diese „als wichtigen Bestandteil seines Arsenals an Cyber-Sicherheit integrieren“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Innentäter bedrohen Unternehmenssicherheit

datensicherheit.de, 16.09.2010
Rechtevergabe für IT-Infrastruktur: Überberechtigung für Mitarbeiter kann diese zu Innentätern machen

[datensicherheit.de, 09.03.2017] „Im gleichen Tempo, mit dem sich IoT-Devices im praktischen Einsatz durchsetzen – und zwar sowohl in öffentlichen Institutionen als auch im Bereich Kritischer Infrastrukturen (Gesundheitswesen, Energie usw.) – steigt auch das Risiko, dass die Geräte für kriminelle Zwecke missbraucht werden“, warnt Chris Petersen, „CTO“ und Co-Founder von LogRhythm. In den letzten Monaten des Jahres 2016 etwa sei es zu einer massiven DDoS-Attacke, bei denen Hacker Zehntausende von privaten Geräten wie etwa moderne Babyphone oder Drucker für ihre Zwecke hätten einsetzen können, gekommen. Ziel dieses Angriffs sei die von Dyn verwaltete DNS-Infrastruktur gewesen – große Teile des Internets in Europa und Nordamerika seien praktisch lahmgelegt worden.

Nur die Spitze eines noch gewaltigeren „Eisbergs“

Dabei zeige selbst diese Attacke mit all ihren Folgen nur „die Spitze eines noch gewaltigeren Eisbergs“. Petersen: „Angriffe, die sich entweder gegen das IoT richten oder sich kompromittierte IoT-Devices zunutze machen, werden in Zukunft sowohl immer häufiger auftreten als auch immer schwerwiegendere Folgen haben.“ Die internetfähigen Geräte dienten dabei als Gateways in die Unternehmensnetzwerke und damit als Hilfsmittel für Datendiebstahl, die Verteilung von Ransomware und für die Zerstörung oder Beeinträchtigung umfangreicher Infrastrukturen im großen Stil.

Security-Monitoring der Infrastrukturen automatisieren!

Zur Beantwortung der Frage, wie sich die Verwundbarkeit durch solche Angriffe in Grenzen halten lässt, müssten zwei Aspekte hinsichtlich wirksamer Abwehrstrategien gegen die neuen Bedrohungen betrachtet werden:

• Erstens, was Unternehmen tun können, um sich gegen Angriffe dieser Art zu schützen, und
• zweitens, wie die IoT-Industrie ihre Produkte weniger anfällig machen kann.

Was den ersten Aspekt betrifft, so Petersen, sollte sich jede Organisation von nun an explizit damit auseinandersetzen, „dass es in ihrem Netzwerk auch IoT-Geräte gibt oder geben wird“. Denke man allein daran, wie schwierig die Härtung von Alt-Systemen sei, die nie dafür gebaut worden seien, Cyber-Angriffen zu widerstehen, dann sei unmittelbar klar, dass die Implementierung einer schnellen Bedrohungserkennung und -behandlung auch im neuen Kontext unumgänglich sei.
Organisationen müssten das Security-Monitoring ihrer Infrastrukturen automatisieren, um sicherzustellen, dass sie auf IoT-Systeme gerichtete Bedrohungen und Cyber-Angriffe mit der geringstmöglichen Verzögerung aufdecken, bekämpfen und neutralisieren könnten.
Zum zweiten Aspekt sei anzumerken, dass IoT-Anbieter bereits jetzt eine ganze Reihe relativ einfacher Maßnahmen ergreifen könnten, um das Sicherheitsniveau ihrer existierenden Produkte zu erhöhen. „Zunächst sollten sie sicherstellen, dass Default-Kennwörter in ihren Geräten grundsätzlich beim ersten Setup geändert werden müssen“, rät Petersen. Dann sollten sie das Patching bei ihren Produkten so einfach gestalten wie es nur geht. Idealerweise sollte das Patching vom Anbieter aus gesteuert werden. „Anders ausgedrückt: Die Standard-Einstellungen sollten Aktualisierungen vorsehen, die automatisch und ohne Anwender-Interaktion ablaufen. Welcher Anwender möchte schon das Patch-Management für alle nur denkbaren Küchenmaschinen, Multimedia—Devices und Gadges in seinem Umfeld bewusst übernehmen?“, merkt Petersen an.

Auf sicherheitstechnisch gehärtete Betriebssysteme setzen!

„Was neue Produkte betrifft, so wäre es zu wünschen, dass die Hersteller von vornherein auf sicherheitstechnisch gehärtete Betriebssysteme setzen, die von sich aus eine geringere Zahl von Angriffspunkten bieten. Darüber hinaus sollten die Anbieter ihre Entwickler in Programmiertechniken trainieren, die verhindern, dass bereits in der Entwicklungsphase Sicherheitslücken eingeschleust werden.“
Zusätzlich sei es sinnvoll, in statische und dynamische Code-Analyse-Tools zu investieren, die „Source Code“ noch während des Entstehens automatisch nach Schwachstellen absuchten und kompilierte Programmversionen selbsttätig auf Sicherheitslücken hin testeten, erläutert Petersen.

Bedeutung für die Cyber-Sicherheit der Zukunft

Das IoT-Sicherheitsproblem zu lösen, stelle durchaus eine Herausforderung dar. „Jene Geräte, die jetzt schon in den Regalen der Einzelhändler stehen und millionenfach in Betrieb genommen werden, wurden gebaut, ohne dass man sich um Sicherheit große Gedanken gemacht hätte“, so Petersen. Hierbei noch nachträglich für Security zu sorgen, sei oft gar nicht mehr möglich. Auch die Anwender würden sich größtenteils nicht um Sicherheitsaspekte kümmern, weil sie dazu weder die Zeit noch das nötige Wissen hätten.

Foto: LogRhythm

Chris Petersen: Internetfähigen Geräte dienen als Gateways in die Unternehmensnetzwerke

Immer alle verfügbaren Updates des Herstellers einspielen!

„Wenn Sie schon IoT-Devices zuhause haben, ändern Sie zumindest die vorgegebenen Kennwörter und verwenden Sie eigene. Versuchen Sie außerdem, immer alle verfügbaren Updates vom Hersteller einzuspielen – das macht es allerdings vielleicht nötig, regelmäßig aktiv auf der Website des Anbieters nach Aktualisierungen zu suchen“, schlägt Petersen vor.
Diese zwei einfachen Schritte erschwerten es Cyber-Kriminellen, Geräte zu „übernehmen“ und zu missbrauchen, und sie stellten sicher, dass die Produkte „immer genau das tun, wofür Sie sie gekauft haben: Ihnen das Leben ein wenig leichter zu machen“.

Weitere Informationen zum Thema:

datensicherheit.de, 19.01.2017
Forderung für 2017: Sicherheitslücken im Internet der Dinge besser schließen

datensicherheit.de, 24.10.2016
Themenkomplex Industrie 4.0 – Internet der Dinge: Risiken jetzt methodisch begegnen