Aus den Fallstricken der DSGVO lernen / Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden –  vergrößerte Hacker-Angriffsflächen durch IoT

[datensicherheit.de, 10.06.2024] Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheits-Ansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der DSGVO (Datenschutzgrundverordnung) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung. 

Andy Grolnick, CEO bei Graylog, Bild: Graylog

„Der CRA stellt einen bedeutenden Schritt zur Sensibilisierung für Cyberrisiken auf Unternehmensebene dar. Es besteht jedoch die Gefahr, dass er zu einem bloßen Kontrollkästchen für die Einhaltung der Vorschriften verkommt, wie es bei der DSGVO der Fall ist.“, äußert Andy Grolnick, CEO vom Security-Anbieter Graylog, seine Bedenken.

Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte

„Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete.“, so Grolnick weiter.

Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete.

Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.

„Was wir nicht brauchen, ist eine weitere Verordnung, die die Hersteller dazu zwingt, die Vorschriften einzuhalten, ohne sich wirklich darauf zu konzentrieren, ihre Cybersicherheitslage zu verbessern, da wir immer mehr miteinander vernetzt sind.“, verdeutlicht Grolnick die Situation. „Der EU CRA wird die Unternehmen zwar zum Nachdenken darüber anregen, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Anforderung zur Einhaltung geben, und genau darin liegt das Problem.“

Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle

Bei jedem Produkt, das „intelligenter (smarter)“ wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.

„Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr. Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll – und das deutlich mehr als es der Norm entspricht.“, so Grolnick.

Lieferkettenbedrohung durch Hackerangriffe

Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.

Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.

APIs schützen und Sicherheitsmängel beseitigen

Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.

Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Kostenfalle Sicherheit

Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.

24 Milliarden vernetzte Geräte in 2050

Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.

„Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend erforderlich, aus den Fallstricken der DSGVO zu lernen und sicherzustellen, dass der EU CRA Unternehmen tatsächlich dazu ermutigt, der Cybersicherheit Priorität einzuräumen und ihre Widerstandsfähigkeit zu stärken.“, so Grolnick abschließend.

Wie man einen „Vergnügungspark“ sichert

Ein Beitrag von unserem Gastautor Harold Butzbach, Director Sales für Zentraleuropa at Sysdig Germany GmbH

[datensicherheit.de, 10.06.2024] Im Zuge der digitalen Transformation und der verstärkten Nutzung von Cloud-Technologien sehen sich Unternehmen mit neuen Herausforderungen in Bezug auf Cloud-Sicherheit und Compliance konfrontiert. Es steht die zentrale Frage im Raum, wie sich die Sicherheitsanforderungen in einer hybriden Cloud-Umgebung entwickeln und welche Lösungen zur Verfügung stehen, um diesen Anforderungen gerecht zu werden.

Harold Butzbach, Director Sales für Zentraleuropa at Sysdig Germany GmbH, Bild: Sysdig

Von der „Burg“ zum „Vergnügungspark”

Traditionelle Rechenzentren mit monolithischen Anwendungen können als Burgen mit einem festen Perimeterschutz betrachtet werden. Mit dem Übergang zu Multi-Cloud- und Microservices-Architekturen hat sich dieses Bild jedoch stark verändert. Heutige IT-Infrastrukturen ähneln eher einem Vergnügungspark mit ständig wechselnden Attraktionen. In diesem dynamischen Umfeld müssen Sicherheitsmaßnahmen flexibler und umfassender sein.

Der Übergang von monolithischen zu Cloud-nativen Anwendungen birgt sowohl Chancen als auch Risiken. Während Microservices eine höhere Skalierbarkeit und Agilität ermöglichen, vergrößern sie gleichzeitig die Angriffsfläche. Jeder Service kann potenziell ein Einfallstor für Angreifer sein. Daher ist es unerlässlich, Sicherheitsstrategien zu entwickeln, die diese neuen Paradigmen berücksichtigen und anpassen.

Herausforderungen und Lösungsansätze

Ein zentrales Thema ist die Notwendigkeit, nicht nur interne Vorgaben, sondern auch externe Regularien und Compliance-Anforderungen zu erfüllen. Hier ist es essenziell, sich flexibel an die unterschiedlichen, spezifischen Anforderungen anpassen zu können. Zu den relevanten Regularien zählen unter anderem NIS2, DORA und PCI.

Gerade in stark regulierten Branchen wie dem Finanz- oder Gesundheitssektor sind Compliance-Anforderungen von besonderer Bedeutung. Unternehmen müssen sicherstellen, dass ihre Sicherheitslösungen den entsprechenden Standards entsprechen, um Bußgelder und Reputationsverluste zu vermeiden. Eine Plattform, die regelmäßig aktualisiert wird und neue Bedrohungen und Compliance-Anforderungen berücksichtigt, ist dabei von unschätzbarem Wert.

Ein weiterer wichtiger Aspekt ist die Geschwindigkeit, mit der auf Sicherheitsvorfälle reagiert werden muss. Die 5/5/5-Faustregel – fünf Sekunden für die Erkennung, fünf Minuten für die Korrelation der Erkenntnisse und das Verständnis der
Vorgänge und weitere fünf Minuten für die Reaktion – bietet hier eine gute Orientierung. In einer Cloud-Umgebung, in der sich Bedrohungen schnell verbreiten können, ist eine schnelle Reaktionszeit von entscheidender Bedeutung.

Shift Left und Shield Right

Der „Shift Left and Shield Right“-Ansatz betont die Bedeutung von proaktiven Sicherheitsmaßnahmen in der Entwicklungsphase und reaktiven Schutzmaßnahmen zur Laufzeit. Echtzeittransparenz und kontinuierliche Überwachung sind entscheidend, um sowohl Compliance als auch Sicherheit in der Cloud zu gewährleisten.

„Shift Left“ bedeutet, dass Sicherheitsmaßnahmen so früh wie möglich im Entwicklungszyklus implementiert werden. Dazu gehören automatisierte Tests und Sicherheitsüberprüfungen in der CI/CD-Pipeline. Durch die frühzeitige Erkennung von Schwachstellen können Entwickler schnell reagieren und potenzielle Sicherheitsprobleme beheben, bevor sie in die Produktionsumgebung gelangen.

„Shield Right“ bezieht sich auf die kontinuierliche Überwachung und den Schutz der Produktionsumgebung. Durch Echtzeiteinblicke können Sicherheitsteams verdächtige Aktivitäten sofort erkennen und darauf reagieren. Die Integration von Technologien des maschinellen Lernens spielt dabei eine wichtige Rolle, um Anomalien zu identifizieren und False Positives zu minimieren.

Plattformansatz vs. Einzellösungen

Ein weiterer Ansatz, der immer wieder in den Vordergrund rückt, ist der Vorteil einer umfassenden Plattform gegenüber einzelnen Sicherheitslösungen. Eine Plattform bietet eine konsolidierte Sicht und ermöglicht eine effizientere Verwaltung und Reaktion auf Bedrohungen. Dies ist besonders wichtig in Zeiten akuten Fachkräftemangels im Bereich der Cybersicherheit, in denen Unternehmen zur Kompensation dessen auf die Expertise externer Experten und intelligente Lösungen angewiesen sind.

Einzellösungen können spezifische Probleme zwar gut lösen, erfordern aber oft eine separate Verwaltung und Integration, was den Betrieb komplex und fehleranfällig machen kann. Eine integrierte Plattform hingegen konsolidiert Sicherheitsfunktionen und -daten, bietet eine einheitliche Benutzeroberfläche und ermöglicht eine koordinierte Reaktion auf Vorfälle. Dies führt zu einer höheren Effizienz im Umgang mit den Ressourcen – Fachkräfte und deren Fachwissen einbezogen – und einer insgesamt besseren Sicherheitslage.

Fazit

Die Sicherheitslandschaft entwickelt sich ständig weiter und stellt Unternehmen vor neue Herausforderungen. Sie müssen auf eine Kombination aus proaktiven und reaktiven Sicherheitsmaßnahmen zurückgreifen, um sicher und und Anforderungskonform in einer hybriden Cloud-Welt zu agieren. Mit einer Plattformlösung, die Echtzeiteinblicke bietet und flexibel anpassbar ist, können sie dabei sicherstellen, dass man Angreifern immer einen Schritt voraus ist.

Ein umfassender Sicherheitsansatz, der sowohl die Entwicklungs- als auch die Betriebsphase abdeckt, ist unerlässlich, um den Herausforderungen moderner IT-Infrastrukturen gerecht zu werden. Mit den richtigen Ansätzen kann sichergestellt werden, dass man für die sich ständig ändernden Bedrohungen und Compliance-Anforderungen bestens gerüstet ist. Kurzum: Wer mit der nötigen Umsicht und Weitsicht an das Thema Sicherheit herantritt, der kann auch einen Vergnügungspark so widerstandsfähig gestalten, wie es früher nur Burgen waren.

Über den Autor

Harold Butzbach, Director Sales for Central Europe at Sysdig Germany GmbH ist ein sehr erfahrener IT-Vertriebsexperte. Im Laufe seiner Karriere konnte er umfangreiche Erfahrungen im Bereich Data Center und Cloud Computing sammeln. Aktuell liegt sein Fokus darauf, Unternehmen bei der Einführung und Umsetzung von ganzheitlichen Cyber Security Lösungen zu unterstützen.

Eindrücke von der Hausmesse Check Point CPX Wien 2024

[datensicherheit.de, 29.02.2024] Vom 20. bis 22. Februar fanden mehr als 4.000 IT-Sicherheitsexperten den Weg auf das Messegelände in Wien zur Hausmesse Check Point CPX 2024, bei der Cybersicherheit im Jahr 2024 im Fokus stand. Nach 2020 wurde die Veranstaltung erstmals wieder in der österreichischen Hauptstadt ausgerichtet. Angesichts der Veränderungen der Cyberbedrohungslandschaft durch die Generative KI (GenAI) auf beiden Seiten stand dann auch die Integration der Technologie in zahlreiche Lösungen im Vordergrund. Doch trotz den Möglichkeiten der Künstlichen Intelligenz (KI) betonten die Referenten stets die Notwendigkeit der aufmerksamen Überprüfung aller vorgeschlagenen Empfehlungen. So ist es nicht überraschend, dass letztlich die Zusammenarbeit, technologisch wie organisatorisch im Vordergrund stand.

Schwerpunkt liegt auf der Verbesserung der Sicherheit durch Zusammenarbeit

Gil Shwed, CEO bei Check Point Software eröffnete die Hausmesse des Security Anbieters mit den Worten: „Der Schlüssel zu unserem Erfolg liegt in der Zusammenarbeit. In diesem Jahr liegt unser Schwerpunkt auf der Verbesserung der Sicherheit durch Zusammenarbeit. Es geht darum, wie jedes Element unserer Plattform zusammenwirkt, um sicherzustellen, dass Unternehmen das höchstmögliche Sicherheitsniveau erreichen.“

Gil Shwed, CEO bei Check Point Software, Bild: Check Point

Während des Events wurde der diesjährige Security Report veröffentlicht, laut den Daten belegen deutsche Firmen weltweit den 4. Platz bei den Ransomware-Opfern. Die Zahl der öffentlich gewordenen Opfer stieg weltweit sogar auf etwa 5000 an und verdoppelte sich damit gegenüber dem Vorjahr. Der Bericht bietet Einblicke in Angriffstrends. Die Ergebnisse basieren auf den Daten der Check Point ThreatCloud AI Cyber-Threat Map. Zu den wichtigsten Erkenntnissen gehören:

• Ransomware-Entwicklung: Angreifer haben ihre Strategie verfeinert, nutzen Zero-Day-Schwachstellen und verbessern Ransomware-as-a-Service (RaaS) mit neuen Erpressungstaktiken. Lukrative Ziele geraten zunehmend ins Fadenkreuz, was den Bedarf an robusten Verteidigungsmechanismen verdeutlicht.
• Angriffe auf Geräte am Netzwerkrand: Der Bericht stellt einen wachsenden Trend bei Angriffen auf „Edge-Geräte“ fest und unterstreicht die Notwendigkeit umfassender Sicherheitsmaßnahmen, die alle Netzwerkelemente einbeziehen.
• Anstieg von Hacktivismus: Das staatlich unterstützte oder politisch motivierte Hacken ist eskaliert, wobei eine bemerkenswerte Zunahme von Cyber-Aktivitäten im Zusammenhang mit geopolitischen Konflikten zu verzeichnen ist. Der Einsatz von zerstörerischen Wipern zur Erzielung einer maximalen Wirkung unterstreicht die neue Natur der Cyber-Kriegsführung.

Cybersicherheit – Investitionen dringend notwendig

Maya Horowitz, VP of Research bei Check Point, kommentiert wie folgt: „In einer Ära sich stets neu erfindender Cyber-Kriminalität und zunehmender Spannungen zwischen nationalstaatlichen Hackern und Hacktivisten auf der ganzen Welt müssen sich Unternehmen anpassen. Investitionen in eine stärkere Verteidigung mit robusten KI- und Cloud-gestützten IT-Sicherheitsmaßnahmen und die Förderung der Zusammenarbeit sind der Schlüssel zu einem wirksamen Schutz gegen immer neue Gefahren.“

Maya Horowitz, VP of Research bei Check Point, Bild Check Point

Vor Ort resümierte sie die wichtigsten Bedrohungen des letzten Jahres in einem Vortrag mit dem Titel „Hacking like Da Vinci“: „Im Jahr 2023 spiegelt die Cyber-Bedrohungslandschaft die Komplexität eines Meisterwerks von da Vinci wider, wobei jeder Strich eine neue, komplizierte Angriffsmethode darstellt, die unsere kreative und proaktive Reaktion erfordert. Da Vincis Erfindungen waren seiner Zeit voraus, so wie auch die heutigen Cyber-Abwehrstrategien den neuen Bedrohungen voraus sein müssen, vor allem angesichts der Zunahme staatlich gesponserter Angriffe und ausgeklügelter Wipers. So wie da Vinci mit seinem visionären Geist Kunst und Wissenschaft revolutioniert hat, müssen wir ähnliche Innovationen im Bereich der Cybersicherheit nutzen, um den hochentwickelten Cyber-Bedrohungen des Jahres 2023 zu begegnen.“

Sie stellte im Vortrag heraus, dass „Leonardo da Vincis Neugier und sein vielfältiges Fachwissen erinnern uns daran, dass das Verständnis der sich entwickelnden Cyberangriffe im Jahr 2023 einen multidisziplinären Ansatz erfordert, der Technologie, Psychologie und Strategie miteinander verbindet.“

Die wichtigste Produktankündigung vor Ort war Quantum Force. Dies ist eine Reihe von zehn High-Performance-Firewalls, die entwickelt wurde, um die strengen Sicherheitsanforderungen von Unternehmensrechenzentren, Netzwerkperimetern und Unternehmen aller Größenordnungen zu erfüllen. Die Quantum Force Security Gateways basieren auf der Plattform Check Point Infinity, welche Cloud-basierte Sicherheitsintelligenz, ein automatisches Bedrohungsabwehrsystem und über 50 integrierte KI-Engines vereint. Sie sind in der Lage, bis zu 1 TBit/s an KI-gestützter Bedrohungsabwehr zu leisten und erreichen eine Malware-Blockrate von 99,8 Prozent. „Quantum Force stellt den nächsten Schritt in der Cybersicherheit dar, indem es die Leistung von Quantencomputern mit KI verbindet, um die Möglichkeiten der Erkennung und Abwehr von Bedrohungen neu zu definieren. Mit Quantum Force verbessern wir nicht nur die Sicherheit, wir verändern sie, indem wir Quantenfähigkeiten nutzen, um den fortschrittlichsten Bedrohungen einen Schritt voraus zu sein“, erklärte Shwed auf der Bühne.

Nataly Kremer, Chief Product Officer & Head of R&D bei Check Point ergänzte: „Vor dreißig Jahren hat Check Point die Firewall erfunden. Mit Quantum Force können Anwender sicher durch das digitale Terrain navigieren, sind vor den ausgefeitesten Malware- und Supply-Chain-Bedrohungen geschützt und profitieren gleichzeitig von einer verbesserten Netzwerkleistung, optimierten Abläufen und einer automatisierten Reaktion auf Bedrohungen sowie deren Beseitigung. Unser Ansatz für Cloud-Sicherheit betont eine präventive und kollaborative Strategie, die darauf abzielt, Sicherheitsmaßnahmen zu vereinfachen und zu verbessern. Performance sollte kein Engpass sein. Uns liegt darüber hinaus die Nachhaltigkeit am Herzen. Aus diesem Grund setzen wir uns dafür ein, dass unsere Appliances einen möglichst geringen Energie-Fußabdruck haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2023
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz

Check Point
Check Point Resources

[datensicherheit.de, 07.12.2023] Eines haben alle kommenden IT-Sicherheitsgesetze – allen voran der EU Cyber Resilience Act (CRA-E) – gemeinsam: Künftig muss eine Software Bill of Materials (SBOM) nachweisen, welche Softwarekomponenten in einem Gerät enthalten sind. „Zahlreiche Cyber-Sicherheitsvorfälle der letzten Jahre zeigen, dass von unerkannt installierter Gerätesoftware bzw. Firmware erhebliche Gefahren ausgehen. Viele dieser Schwachstellen sind auf unausgereifte Sicherheitspraktiken zurückzuführen. Eine Software Bill of Materials macht die Komponenten mit Schwachstellen sichtbar“, sagt Jan Wendenburg, CEO von ONEKEY. Das auf IoT und OT-Cybersicherheit spezialisierte Unternehmen betreibt eine als SaaS-Dienst nutzbare Sicherheitsplattform, die eine automatisierte Prüfung und Risikobewertung der Software von Geräten vornimmt und ebenso automatisiert eine SBOM, d.h. Software-Stückliste, erstellt. Mit einem eigenen Sicherheitsteam, bestehend aus anerkannten Experten und White Hackern, konnte ONEKEY in den letzten Jahren durch eigene Recherchen auf schwerwiegende Sicherheitslücken hinweisen, die in der Folge geschlossen werden konnten. „Dies unterstreicht den dringenden Bedarf an Software-Stücklisten (SBOMs), die für transparente Software-Lieferketten und Verantwortlichkeit in der Softwareproduktion und -distribution sorgen. Richtlinien dazu gibt es bereits jetzt– und mit der endgültigen Verabschiedung des EU Cyber Resilience Act werden SBOMs in Kürze auch gesetzlichverpflichtend“, so Wendenburg weiter.

Umfassendes Whitepaper bietet Leitfaden und technische Unterstützung

Das europäische Unternehmen mit Hauptsitz in Deutschland, das für seine Verdienste rund um die Cybersicherheit von IoT und OT Geräten mehrfach ausgezeichnet wurde, hat zu diesem Thema ein umfassendes Whitepaper in englischer Sprache mit dem Titel „Software Supply Chain Regulations: How to Achieve Effective & Efficient SBOM Management“ erstellt. „Die Erstellung und Pflege von SBOMs ist ein wesentlicher Bestandteil der gesamten Software-Lieferkette – nicht nur für Hersteller, die Komponenten zukaufen, sondern auch für Anlagen mit digitalen Elementen, die bereits seit Jahren im Einsatz sind. Immer wieder finden unsere und andere Cybersecurity Experten Zero Day-Schwachstellen in IoT oder OT-Technologie, die jahrelang völlig unter dem Radar geflogen sind“, warnt Jan Wendenburg. Das Whitepaper beleuchtet sämtliche Aspekte wie Form und Aufbau, rechtliche Anforderungen, standardisierte Formate von SBOMs und die besonderen Herausforderungen bei IoT und OT-Geräten, die eine Vielzahl versteckter Softwaremodule enthalten und zudem häufig Software aus Open Source Quellen enthalten, und bietet damit einen Leitfaden für ein effektives und effizientes SBOM-Management.

BSI bestätigt SBOM als zentrale Sicherheitskomponente

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist mit der Technischen Richtlinie TR-03183 auf die Bedeutung von SBOMs hin. Diese sollen laut BSI bei jedem Softwarehersteller und -anbieter vorhanden sein, um die Komplexität der eingesetzten Programme transparent darstellen zu können. Dieses Wissen sei für Managementprozesse wie den Produktlebenszyklus und insbesondere für einen durchgängigen IoT/ OT Cybersicherheitsprozess unabdingbar. Die Software Bill of Materials dient als transparente Dokumentation der Software-Lieferkette.

„Die Erstellung und laufende Pflege der SBOM muss zum Teil des Workflows werden – sowohl in der Entwicklung (CI/CD Pipeline) als auch im Vertrieb und im laufenden Betrieb (PSIRT Teams) von IoT und OT-Technologie. Die automatische Erstellung der SBOM hilft sowohl bei Audits, aber vor allem auch im Krisenfall, wenn Nachweispflichten entstehen“, erklärt Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 29.11.2023
Kubernetes mit KBOM sicherer machen

ONEKEY
„Software Supply Chain Regulations: How to Achieve Effective & Efficient SBOM Management“

Hacking als Anwendungsfall für ChatGPT

Von unserem Gastautor Thorben Jändling, Principal Solutions Architect in der Global Security Specialist Group bei Elastic

[datensicherheit.de, 07.12.2023] Während Künstliche Intelligenz (KI) und KI-Modelle einen immer größeren Einfluss auf die Welt der Technologie haben, wächst die Sorge, wie sie für betrügerische Zwecke genutzt werden können: für Cyberangriffe, Phishing, Desinformation, soziale Manipulation oder gefälschte Video- und Bilddateien. Denn die Technologie, mit der solche irreführenden Darstellungen von Personen erstellt werden können, ist mittlerweile weit verbreitet. Sie wird nicht nur von Unternehmen eingesetzt, um realistische Identitäten zu schaffen, sondern könnte auch von böswilligen Akteuren für ihre eigenen Zwecke missbraucht werden.

Thorben Jändling, Principal Solutions Architect in der Global Security Specialist Group bei Elastic, Bild: Elastic

Die Revolution der Künstlichen Intelligenz

Die Geschichte der Modelle mit Künstlicher Intelligenz (KI), auch als Artificial Intelligence (AI) bekannt, reicht bis in die 1950er Jahre zurück. Allein in den letzten fünf Jahren hat es rasante Fortschritte gegeben: Von Modellen mit einigen Millionen Parametern ist die Entwicklung heute beim neuesten Modell GPT-4 angelangt, bei dem die Zahl der Parameter auf mehr als 100 Billionen geschätzt wird. Zum Vergleich: Das menschliche Gehirn hat durchschnittlich 86 Milliarden Neuronen und 100 Billionen Synapsen. Mithilfe von KI-Beschleunigern erreichen Large-Language-Modelle (LLM) diese Größe, um beachtliche Mengen an Textdaten aus dem Internet verarbeiten zu können.

Angesichts dieser Entwicklung wächst die Besorgnis über die Auswirkungen der KI auf die Zukunft der Menschheit. Vor diesem Hintergrund haben Sicherheitsexperten begonnen, sich intensiv mit der Frage zu beschäftigen, wie sich Abwehrstrategien angesichts dieser fortgeschrittenen KI-Modelle entwickeln müssen, um Unternehmen vor möglichen Angriffen zu schützen. Noch spannender ist jedoch die Frage, inwieweit diese KI-Modelle, zum Beispiel ChatGPT, böswilligen Akteuren bei Angriffen helfen können.

Der „Golden Ticket“-Angriff und ChatGPT

Ein Beispiel für einen solchen komplexen Angriff ist der so genannte „Golden Ticket“-Angriff, bei dem Angreifer Schwachstellen im Kerberos-Identitätsauthentifizierungsprotokoll ausnutzen, das für den Zugriff auf das Active Directory (AD) verwendet wird. Dieser Angriff erfolgt in mehreren Phasen, beginnend mit dem Erstzugriff, der oft durch Phishing erreicht wird. Anschließend folgt die Erkundungsphase, in der Informationen über die Domäne gesammelt werden. Die nächsten Schritte zielen darauf ab, Zugriff auf Anmeldeinformationen zu erlangen und einen NTLM-Hash des Active Directory Key Distribution Service Accounts (KRBTGT) zu stehlen. In der Phase Privilege Escalation erhält der Angreifer mit dem KRBTGT-Passwort ein Kerberos Ticket Granting Ticket (TGT). Dieses gewährt ihm nahezu uneingeschränkten Zugang zu den Netzwerkressourcen.

Um zu testen, inwieweit KI-Modelle wie ChatGPT bei einem solchen Angriff helfen könnten, verwendeten die Sicherheitsexperten von Elastic ChatGPT (basierend auf GPT-4). Sie baten die KI, eine Phishing-E-Mail zu schreiben. Doch ChatGPT wies darauf hin, dass es als ethische und verantwortungsbewusste Technologie nicht dafür programmiert sei, bösartige Inhalte zu erstellen.

Bild: Elastic

Daraufhin versuchten die Experten, die KI zu täuschen, indem sie sie zu Trainingszwecken baten, eine Phishing-E-Mail zu verfassen. Die KI generierte zwar eine Antwort, allerdings ohne Inhalt oder Verlinkungen, die für böswillige Zwecke verwendet werden konnten. Dennoch zeigte sich, dass eine Änderung der Absicht oder eine harmlose Rechtfertigung das Modell schließlich dazu brachte, eine Phishing-E-Mail zu schreiben.

Bild: Elastic

Die Untersuchung ergab, dass generative KI-Modelle wie ChatGPT in der Lage sind, Inhalte auf der Grundlage von gelernten Mustern zu erstellen. Ihre Leistung variiert jedoch je nach Kontext. In einem Experiment testeten Sicherheitsexperten ChatGPT auf seine Fähigkeit, Schritte eines Golden-Ticket-Angriffs zu erklären, und fanden heraus, dass das Modell in einigen Fällen bestimmte Informationen als potenziell böswillig erkennen konnte, während es in anderen versagte.

Darüber hinaus fragten die Experten, ob ChatGPT bei der Verschleierung eines für den Angriff benötigten Werkzeugs behilflich sein könne. ChatGPT betonte jedoch, dass es nicht für bösartige Zwecke entwickelt wurde. Die Erstellung von Malware, Exploits oder Skripten war nicht möglich, selbst nach Deaktivierung der Schutzmaßnahmen. Das könnte sich jedoch in Zukunft aufgrund des technologischen Fortschritts ändern.

Bild: Elastic

Generative KI-Modelle wie GPT-4 haben das Potenzial, das Verständnis von Sicherheitsereignissen zu verbessern und sie zu erklären. Dazu greifen sie auf institutionelles Wissen zu und können bei verschiedenen Aufgaben helfen: zum Beispiel Analysten zu schulen, Reaktionsprozesse zu optimieren, zur Host-Trage anzuleiten und Ereignisabläufe zu interpretieren. Es gilt jedoch zu beachten, dass diese Modelle den menschlichen Teil der Sicherheitsgleichung nicht vollständig ersetzen können.

KI-Unterstützung und menschliche Verantwortung

Zusammenfassend zeigt das Experiment, dass aktuelle generative Modelle Angreifer in verschiedenen Szenarien unterstützen können. Es gibt jedoch mehrere Gründe, warum diese Modelle voraussichtlich nicht in der Lage sein werden, komplexe Angriffe von Anfang bis Ende durchzuführen. Dazu gehören ihre begrenzte Autonomie, das Fehlen eigener Absichten und Motivationen sowie ihr begrenzter Fokus.

Letztendlich ist KI eine unterstützende Technologie, und ihre Auswirkungen hängen davon ab, wie der Mensch sie verwendet. Es gibt bereits Präzedenzfälle für „Dual-Use“-Werkzeuge in der Sicherheitswelt, die sowohl von Verteidigern als auch von Angreifern genutzt werden können. Die Zukunft der KI und ihre Auswirkungen auf die Sicherheit werden von unseren Entscheidungen und Maßnahmen geprägt sein.

Weitere Infromationen zum Thema:

datensicherheit.de, 07.12.2023
Künstliche Intelligenz – Trends im Jahr 2024

datensicherheit.de, 27.11.2023
KI – mehr als ein Hype

[datensicherheit.de, 30.11.2023] Tenable® betont heute, dass 44 % der Cyberangriffe, denen deutsche Unternehmen in den vergangenen zwei Jahren ausgesetzt waren, erfolgreich verliefen. Sicherheitsteams sind daher gezwungen, Arbeitszeit und Maßnahmen auf eine reaktive Eindämmung von Cyberangriffen zu fokussieren, anstatt diese schon im Vorfeld zu verhindern. Da weniger als die Hälfte (48 %) der deutschen Unternehmen davon überzeugt ist, die eigene Risikoexposition mithilfe ihrer Cybersecurity-Verfahren erfolgreich reduzieren zu können, besteht offenkundig Handlungsbedarf. Diese Ergebnisse basieren auf einer Studie unter 102 deutschen Cybersecurity- und IT-Führungskräften, die Forrester Consulting 2023 im Auftrag von Tenable durchgeführt hat.

Faktor Zeit spielt Sicherheitsteams nicht in die Karten

Aus der Studie wurde deutlich, dass der Faktor Zeit Sicherheitsteams nicht in die Karten spielt. Nahezu drei Viertel der Befragten (73 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde. Doch die Hälfte der Befragten (50 %) gibt an, dass das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt ist, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren.

Besonderte Risiken im Zusammenhang mit Cloud-Infrastrukturen

Besonders besorgt zeigten sich die Befragten über Risiken in Zusammenhang mit Cloud-Infrastrukturen, da dort die Korrelation von Nutzer- und Systemidentitäten, Zugang und Berechtigungsdaten äußerst komplex ist. Deutschland wurde bei der Nutzung von Cloud Computing als eines der wachstumsstärksten Länder Europas identifiziert, was sich auch in der Studie zeigt: Sieben von zehn Unternehmen (77 %) geben an, Multi-Cloud- und/oder Hybrid Cloud-Umgebungen einzusetzen. Dennoch führen 60 % der Befragten Cloud-Infrastruktur als einen der Bereiche mit dem größten Cyberrisiko in ihrem Unternehmen an. Der Reihe nach geordnet entstehen die größten wahrgenommenen Risiken aus der Nutzung von Multi-Cloud- und/oder Hybrid Cloud-Infrastruktur (24 %), Public Cloud-Infrastruktur (22 %) und Private Cloud-Infrastruktur (15 %).

Genaues Bild der Angriffsoberfläche fehlt

Cyber-Experten zufolge ist eine reaktive Haltung zum größten Teil darauf zurückzuführen, dass ihre Teams Schwierigkeiten haben, sich ein genaues Bild von ihrer Angriffsoberfläche zu machen, inklusive Einblick in unbekannte Assets, Cloud-Ressourcen, Code-Schwachstellen und Systeme für Benutzerberechtigungen. Die Komplexität von Infrastruktur – und die damit verbundene Abhängigkeit von mehreren Cloud-Systemen, zahlreichen Tools zur Verwaltung von Identitäten und Berechtigungen sowie verschiedenen Assets mit Internetanbindung – hat zur Folge, dass es an diversen Stellen zu Fehlkonfigurationen und übersehenen Assets kommen kann. Mehr als die Hälfte der Befragten (62 %) führen an, dass mangelnde Datenhygiene sie daran hindert, hochwertige Daten aus Systemen für Benutzer- und Zugriffsmanagement sowie aus Schwachstellen-Management-Systemen zu gewinnen. Die meisten Befragten (71 %) geben zwar an, Benutzeridentitäten und Zugriffsrechte zu berücksichtigen, wenn sie Schwachstellen für Patching- und Behebungsmaßnahmen priorisieren. Doch 52 % erklären, dass es ihrem Team an einer effektiven Möglichkeit fehlt, solche Daten in ihre präventiven Cybersecurity- und Exposure-Management-Verfahren einzubinden.

Cybersecurity – Mangelnde Kommunikation verschäft die Situation

Ein Mangel an Kommunikation auf höchster Ebene verkompliziert und verschärft das Cybersecurity-Problem in Unternehmen. Während Angreifer Umgebungen fortlaufend unter die Lupe nehmen, finden Meetings zu geschäftskritischen Systemen bestenfalls in monatlichen Abständen statt. Knapp über die Hälfte der Befragten (54 %) trifft sich eigenen Angaben zufolge monatlich mit Geschäftsverantwortlichen, um zu erörtern, welche Systeme geschäftskritisch sind. Bei 17 % finden solche Besprechungen jedoch nur einmal im Jahr und bei 2 % überhaupt nicht statt.

„Deutsche Unternehmen standen der Nutzung von Cloud-Technologie in der Vergangenheit eher zurückhaltend gegenüber. Doch dies hat sich in den letzten Jahren drastisch geändert, wie unsere Studie bestätigt. Angesichts der immer komplexer werdenden Angriffsoberfläche muss sich etwas ändern, um die Flut an erfolgreichen Angriffen aufzuhalten“, so Roger Scheer, Regional Vice President of Central Europe. „Sicherheitsteams haben erkannt, dass ein präventiver Sicherheitsansatz weitaus effektiver ist als ein reaktiver. Doch sie sind überfordert von der schieren Menge an Cyberangriffen, die es für einen solchen Fokuswechsel zu bewältigen gilt. Der deutsche Digitalverband Bitkom gab vor kurzem bekannt, dass Cyberkriminalität die deutsche Wirtschaft im Jahr 2023 insgesamt 206 Milliarden € kosten wird. Um den Ansturm erfolgreicher Cyberangriffe aufzuhalten, sind Veränderungen notwendig. Sicherheitsverantwortliche müssen frühzeitiger in unternehmerische Entscheidungen auf höchster Ebene eingebunden werden, wie etwa in Strategien der Cloud-Bereitstellung, damit das Team nicht überrumpelt wird. Funktionsübergreifende Zusammenarbeit verbunden mit ganzheitlicher Transparenz über die Infrastruktur des Unternehmens ist notwendig, um auftretende Risiken effektiv und effizient zu reduzieren und Cyberangriffe schon im Vorfeld zu unterbinden.“

Ein Whitepaper mit weiteren Ergebnissen aus der Studie ist verfügbar. Es zeigt unter anderem auf, wie Unternehmen die Herausforderungen bewältigen und von einer reaktiven Sicherheitsaufstellung zu einem präventiven Ansatz übergehen können.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2023
Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit

Partnerschaft mit SANS Institute zur Abmilderung der Skill Gap

[datensicherheit.de, 20.11.2023] Das SANS Institute, der weltweit führende Anbieter von Schulungen und Zertifizierungen im Bereich Cybersicherheit, arbeitet mit der Allianz zusammen, um die Allianz Cyber Talent Academy 2023 ins Leben zu rufen. Am 13. November wurde die Initiative gestartet, um den Skills Gap in der IT-Sicherheit abzumildern. Unter der Schirmherrschaft und Leitung der Allianz arbeitet das Programm mit mehreren Organisationen zusammen, darunter die von Siemens geleitete African Girls Can Code Initiative (AGCCI), Youth Enlightenment Empowerment and Self- and Sustainability (Yeessi), Women in CyberSecurity (WiCys), Charter of Trust und andere gemeinnützige Organisationen.

Cyber Talent Flyer 2023

Cybersicherheit ist von grundlegender Bedeutung für die Erhaltung des Friedens und die Sicherheit unserer heutigen Gesellschaft; für unsere Wirtschaft, unsere Infrastruktur und für jeden Einzelnen. Der Bedarf an Arbeitskräften in diesem Bereich ist akut und wächst angesichts der täglich zunehmenden Bedrohung. Auch für Berufsanfänger und Berufsanfängerinnen sowie Quereinsteiger und Quereinsteigerinnen bietet sich hier eine hervorragende Karrierechance. Für eine wirksame Verteidigung braucht die Cybersicherheit neue Perspektiven, Kreativität und eine Hartnäckigkeit, die den Cyberkriminellen ebenbürtig ist oder sogar übertrifft. Wie die Cyberbedrohung umspannt auch die Cyber Talent Academy die Welt und bietet den Teilnehmenden den ersten Schritt auf der Cyber-Karriereleiter. Dieses bahnbrechende Programm bietet einen Weg in eine Cybersecurity-Karriere ohne vorherigen IT-Hintergrund. Das Bewerbungsverfahren läuft, Interessierte erfahren hier mehr: https://form.jotform.com/sans_training/cybertalentacademy

Die Bewerber und Bewerberinnen werden eingeladen, das SANS Cyber Talent Enhanced Aptitude Assessment & Selection-Verfahren zu absolvieren, woraufhin die erfolgreichen Bewerber und Bewerberinnen zur Teilnahme am Programm eingeladen werden. Zunächst erhalten diese die Möglichkeit an dem SANS Kurs SEC 275 (Foundations: Computers, Technology, and Security) teilzunehmen. Danach sollen die erworbenen Fähigkeiten mit der GIAC-Zertifizierung GFACT bestätigt werden. Die besten zehn Absolventen und Absolventinnen werden eingeladen an dem Kurs SEC 401 (Security Essentials – Network, Endpoint, and Cloud) zu partizipieren und mit der GAIC-Zertifizierung GSEC abzuschließen.

James Lyne, CTO beim SANS Institute, Bild: SANS

James Lyne, CTO beim SANS Institute und inhaltlich verantwortlich für das Training, erklärt: „Mit der Cyber Talent Academy und den anderen fantastischen Partnern aus der Privatwirtschaft, Verbänden und gemeinnützigen Organsationen sorgen wir dafür die Qualifikationslücken in der Cybersicherheit zu füllen. Darüber hinaus ermöglichen wir Menschen, die vielleicht sonst nicht im Fokus stehen, eine ‚Once in a Lifetime‘-Gelegenheit zu einer Karriere in der Cybersicherheit. Wir freuen uns auf jeden Bewerber und jede Bewerberin, die sich mit unserem Anliegen identifizieren und ich persönlich neue Cyber Talente und Persönlichkeiten kennenzulernen und zu unterrichten. Letztlich brauchen wir Menschen mit unterschiedlichen Ideen und Hintergründen, um das Ziel zu erreichen, die Cybersicherheit voranzubringen.“

Bettina Dietsche, Allianz Group Chief People & Culture Officer (CPCO) kommentiert: „Bei der Allianz setzen wir uns für lebenslanges Lernen und die Entwicklung unserer Mitarbeitenden ein. Dazu gehört die Vermittlung von Finanzwissen ebenso wie umfassende Cybersicherheit. Neue Technologien erfordern neue Denkweisen in Bezug auf Cyber-Bedrohungen und Cybersicherheit. Wir müssen sicherstellen, dass unsere derzeitigen und künftigen Mitarbeiterinnen und Mitarbeitern bei diesen neuen Entwicklungen an der Spitze stehen, um die Zukunft unserer Kundinnen und Kunden, unserer Mitarbeitenden und der Gesellschaft insgesamt zu sichern.“

Dr. Ralf Schneider, Allianz SE I Senior Fellow Cybersecurity & Next-Generation IT fügt hinzu: „Das menschliche Element ist vielleicht der wichtigste Faktor in der Cybersicherheit. Wir müssen als Security Community für mehr Diversität sorgen, damit wir auch in Zukunft über die nötige Kreativität zum Schutz vor Cyberbedrohungen verfügen. Letztlich werden alle Tools und alle Prozesse und Kampagnen auf beiden Seiten immer noch durch kreatives Denken angetrieben.“

Jonathan Reynolds, Leiter der Taskforce Education bei der Charter of Trust, fügt hinzu: „Cybersicherheit ist für die Zukunft unserer digitalen Gesellschaft von entscheidender Bedeutung. Es sind die Menschen, die im Zentrum unserer digitalen Gesellschaft stehen, die sie sicher machen. Cybersecurity ist ein Beruf, der Menschen mit unterschiedlichem Hintergrund die Möglichkeit bietet, etwas Sinnvolles zu tun, das wirklich etwas bewirkt.“

Hier erfahren Sie mehr über die Partner der Cyber Talent Academy 2023: Allianz, Siemens, AGCCI, Metafinanz, Charter of Trust, Women in Cyber und Yeessi. Wenn Sie sich bewerben möchten, klicken Sie hier: https://form.jotform.com/sans_training/cybertalentacademy

Darüber hinaus gibt es auch hier die Möglichkeit sich bei Interesse zu melden: cybertalent [at] metafinanz [dot] de

Über die Allianz Cyber Talent Academy

Die Cyber Talent Academy bietet eine beschleunigte, qualitativ hochwertige Ausbildung und GIAC-Zertifizierungen, um Karrieren im Bereich der Cybersicherheit effektiv zu starten. Dieses kostenlose Programm befähigt die Teilnehmer, branchenweit anerkannte Zertifizierungsprüfungen zu bestehen, und stattet sie mit Fähigkeiten aus, die in der Praxis vom ersten Tag an einen Unterschied machen. Mehr erfahren Sie hier: https://www.sans.org/mlp/cyber-talent-academy/

Über das SANS Institute

Das SANS Institute wurde 1989 als kooperative Forschungs- und Bildungsorganisation gegründet. SANS ist der vertrauenswürdigste und größte Anbieter von Cybersicherheitsschulungen und -zertifizierungen für Fachleute in staatlichen und kommerziellen Organisationen weltweit. Die renommierten SANS-Instructors unterrichten über 60 verschiedene Kurse im Klassenraum und virtuell während der Live-Schulungsveranstaltungen zur Cybersicherheit. Sie sind alle auch über die OnDemand-Plattform jederzeit verfügbar. GIAC, eine Tochtergesellschaft des SANS-Instituts, bestätigt die Qualifikation mit mehr als 35 praktischen, technischen Zertifizierungen im Bereich der Cybersicherheit. Das SANS Technology Institute, eine regional akkreditierte, unabhängige Tochtergesellschaft, bietet Master-Abschlüsse im Bereich der Cybersicherheit an. SANSSecurity Awareness, eine Abteilung des SANS Institutes, bietet Organisationen eine vollständige und umfassende Lösung für Security Awareness, die es ihnen ermöglicht, ihr „menschliches“ Cyber-Sicherheitsrisiko einfach und effektiv zu verwalten. SANS stellt der InfoSec-Gemeinschaft eine Vielzahl kostenloser Ressourcen zur Verfügung, darunter Konsensprojekte, Forschungsberichte und Newsletter; außerdem betreibt es das Internet-Frühwarnsystem, das Internet-Sturmzentrum. Das Herzstück von SANS sind die vielen Sicherheitsexperten, die verschiedene globale Organisationen von Unternehmen bis hin zu Universitäten vertreten und gemeinsam daran arbeiten, der gesamten Informationssicherheitsgemeinschaft zu helfen: https://www.sans.org

Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 20.11.2023] Die beiden europäischen Rechtsakte sollen die Cybersicherheit im Finanzsektor der EU stärken. Doch das Nebeneinander von zwei Regularien könnte auch zu unnötig viel Bürokratie führen. Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services, schlägt vor, Auditverfahren zu harmonisieren und Zuständigkeiten zusammenzuführen.

Ingolf Rauh, Swisscom Trust Services, Bild: Swisscom Trust Services

Cyberangriffe sind für Unternehmen aller Branchen eine elementare Gefahr. Im selben Takt der wachsenden Bedrohungslage erlässt die EU neue Verordnungen, Richtlinien und Regularien. Für die Finanzwelt spannend sind aktuell vor allem NIS2 und DORA. Zwar helfen solche Vorgaben, die Resilienz zu stärken, allerdings erhoffen sich betroffene Parteien, wie Banken und ihre Software-Zulieferer häufig mehr gegenseitige Absprachen zwischen den Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, beziehungsweise mehr Abstimmung zwischen den einzelnen Mitgliedsstaaten der europäischen Union.

Unterschiede in den Rechtsvorschriften

• NIS2 (Network and Information Security 2) soll die Cybersecurity-Anforderungen für viele Bereiche der Grundversorgung und lebenswichtigen Infrastrukturen der EU harmonisieren. Sie stellt grobe Anforderungen, hohe Strafen bis auf Geschäftsleitungsebene, Meldungswege und Einrichtungen für die Cybersecurity in den Vordergrund. Sie ist eine Richtlinie, die bis Oktober 2024 in nationales Recht umzusetzen ist. Jedes Land der EU kann diese Umsetzung allerdings anders realisieren, was multinationalen Unternehmen wie Banken häufig Probleme bereitet. Auch die Wettbewerbssituation kann dadurch in den verschiedenen EU-Ländern verzerrt werden.
• DORA (Digital Operational Resiliance Act) ist eine Verordnung, das heißt ein direkt gültiges, europäisches Gesetz und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft. Stellt NIS2 noch das Risikomanagement in den Vordergrund, konzentriert sich DORA mehr auf die Betriebsstabilität im Finanzsektor, sodass diese einem Cyberangriff standhalten kann und Finanzdienstleistungen weiter verfügbar sind. Die Ausgestaltung von Strafen wird hierbei den nationalen Behörden überlassen.

Beide Rechtsvorschriften setzen einen besonderen Schwerpunkt auf die Supply Chain. Software-Zulieferer müssen eng in das Riskmanagement und in die Betrachtung der Betriebsstabilität einbezogen werden. DORA legt hierbei Wert auf Pen-Tests und Sicherheitsüberprüfungen (alle drei Jahre), NIS2 erfordert zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Zu viele Zuständigkeiten

Schwierig wird es dann wieder bei den Zuständigkeiten: Für NIS2 entfällt die Prüfkompetenz in Deutschland auf das BSI bzw. die BaFin. Artikel 46 von DORA enthält eine ganze Reihe von Behörden, die darüber hinaus die Einhaltung der Regularien garantieren sollen – bestenfalls die EZB bzw. auch die BaFin.

Für den Bereich der Vertrauensdienste erarbeitet das Europäische Institut für Telekommunikationsnormen (European Telecommunications Standards Institute; ETSI) gerade Anforderungen, die auch NIS2 mit beinhalten, sodass bestenfalls das Auditschema und auch die Meldekette eines Vertrauensdienstes dieselben bleiben könnte. Ein ähnliches Vorgehen wäre auch im Finanzsektor wünschenswert. Nichts verlangsamt die Maßnahmen gegen eine Cyberbedrohung mehr, als wenn Vorfälle im Dickicht der unterschiedlichen behördlichen Zuständigkeiten untergehen und Unternehmen ganze Meldeorganisationen aufrechterhalten müssen, um im Fall der Fälle aktiv zu werden. Die damit einhergehenden erhöhten Kosten für die geforderte Cyber-Resilienz werden Finanzinstitute und andere NIS2-Betroffene letztlich an ihre Kunden weitergeben müssen. Eine Zusammenführung und Vereinfachung der Zuständigkeiten und Harmonisierung der Audits bzw. Zertifizierungen wäre also auch im Interesse der Verbraucher.

Weitere Informationen zum Thema:

datensicherheit.de, 05.06.2023
NIS2 – Neue Richtlinie für Cybersicherheit

Was kommt auf Unternehmen zu kommt

[datensicherheit.de, 05.06.2023] Die NIS2-Richtlinie stellt innerhalb der Europäischen Union neue Anforderungen an das Management der Cybersicherheit. Öffentliche Einrichtungen und private Unternehmen sind verpflichtet, die Bestimmungen regelkonform umzusetzen. Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, nimmt im Gespräch mit Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, aus Expertensicht zu wichtigen Fragen rund um NIS2 Stellung.

Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX, Bild: WALLIX

ds: Herr Rabben, was genau verstehen wir unter der NIS2-Richtlinie?

Rabben: Die im Dezember 2022 veröffentlichte NIS2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016. Ziel der Europäischen Union war es damals, „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ zu initiieren. NIS2 geht nun deutlich darüber hinaus und erweitert das Regelwerk. Die Notwendigkeit hierfür sah die EU in dem stark zunehmenden Bedrohungspotenzial durch Cyberkriminelle. NIS2 soll dazu beitragen, im gesamten europäischen Raum ein Maximum an IT-Sicherheit zu gewährleisten. Darüber hinaus dient die neue Richtlinie dazu, die nationalen Maßnahmenpakete der EU-Mitgliedstaaten auf ein einheitliches Fundament zu stellen. Diese sind verpflichtet, NIS2 innerhalb von etwa 20 Monaten in nationales Recht zu überführen.

ds: Worin unterscheiden sich die beiden Richtlinien im Wesentlichen?

Stefan Rabben: Der Regelungsbereich der NIS-Richtlinie umfasste neben konventionellen IT-Systemen und Netzwerken auch die Kritischen Infrastrukturen (KRITIS). NIS2 erweitert nun den ursprünglichen Anwendungsbereich: Das Regelwerk gilt für sogenannte wesentliche und wichtige Einrichtungen sowie für Institutionen der öffentlichen Verwaltung. Diese sind in der Pflicht, alle sicherheitsrelevanten Vorfälle in ihren IT-Systemen unverzüglich zu melden. Zudem müssen sie diverse Kontrollverfahren der nationalen Aufsichtsbehörden zulassen.

ds: Welche Sanktionen drohen bei Nichteinhaltung?

Stefan Rabben: Wird die Richtlinie missachtet, können die Behörden empfindliche Bußgelder anordnen. Halten die betroffenen Einrichtungen und Unternehmen die Anforderungen von NIS2 nicht konsequent ein, müssen die EU-Mitgliedsstaaten ihre Sanktionen gegenüber der NIS-Richtlinie sogar noch verschärfen. So können gegen wesentliche Einrichtungen Bußgelder von bis zu zehn Millionen Euro oder in Höhe von zwei Prozent des weltweiten Umsatzes erlassen werden.

ds: Worauf müssen Unternehmen bei der Umsetzung der neuen Richtlinie achten?

Stefan Rabben: Die NIS2-Richtlinie bringt für die jeweiligen Einrichtungen beträchtlichen organisatorischen Aufwand mit sich, was die Anpassung ihrer IT-Infrastrukturen betrifft. Um die erforderlichen Sicherheitsmaßnahmen zu realisieren und die entsprechenden Risiken einzudämmen, müssen die Akteure die typischen Gefahren neuer Technologien und IT-Praktiken im Detail kennen. Daher ist eine regelmäßige Risikobewertung und Einschätzung von Cybergefahren durchzuführen. Wesentliche und wichtige Einrichtungen sind darüber hinaus zur Umsetzung vorbeugender Maßnahmen zur Abwehr von Angriffen auf die IT-Sicherheit verpflichtet. Hierfür benötigen sie ausgefeilte technische Lösungen, welche die entsprechenden Anforderungen gezielt adressieren.

ds: Welche Maßnahmen unterstützen hierbei konkret? Und wie lassen sie sich technisch realisieren?

Stefan Rabben: Eine zentrale Rolle in diesem Kontext spielt ein durchdachtes Identitäts- und Berechtigungsmanagement. Dies hilft betroffenen Einrichtungen dabei, effektive Maßnahmen zur Prävention und Erkennung von Cybergefahren zu ergreifen und dadurch ein Maximum an Compliance-Sicherheit zu gewährleisten. Essenziell ist hierbei die Implementierung eines dreistufigen Sicherheitsverfahrens aus Identifizierung, Authentifizierung und Autorisierung. Dies stellt sicher, dass ausschließlich legitimierte Personen auf sensitive Applikationen und kritische Daten zugreifen können. Eine weitere Anforderung von NIS2 betrifft die umfassende Gewährung von Zugangsrechten zu privilegierten Konten. Eine praktikable Lösung hierfür bilden Tools für die privilegierte Zugangskontrolle (Privileged Access Management, PAM) wie etwa der PAM4ALL-Ansatz von WALLIX. Dieser erlaubt IT-Administratoren ein zentrales Management sämtlicher User und Systeme. Dies stellt sicher, dass ausschließlich legitimierten Anwendern zur richtigen Zeit der Zugang zu vertraulichen Ressourcen gewährt wird. Organisationen profitieren dadurch von einem optimalen Schutz ihrer Daten vor Cyberangriffen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.12.2022
NIS2: Neue EU-Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit

Wicjtigste Trends werden in diesem Jahr sind die API-Security und die Automatisierung von Cybersicherheitsprozessen

[datensicherheit.de, 30.03.2023] Im Rahmen der Veranstaltung CPX 360 vom 14. bis 16. März des Herstellers und Firewall-Pioniers Check Point Software Technologies in München kamen Mitarbeiter, Kunden und Partner des Anbieters zusammen. Anlässlich des 30-jährigen Jubiläums konnte Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow, mit dem Gründer und CEO Gil Shwed über Aspekte der Cybersicherheit sprechen. In seiner Eröffnungsrede hatte er zuvor das Jahr der KI ausgerufen.

Gil Shwed, CEO von Check Point, © Martin Hangen/Check Point

ds: Können Sie uns die wichtigsten Punkte Ihrer Keynote noch einmal für unsere Leser im Hinblick auf Ihre Aussage zu Künsctlicher Intelligenz (KI) zusammenfassen?

Gil Shwed: Alle paar Jahre erlebt die Branche einen großen Wandel und wir befinden uns gerade mitten in der KI-Revolution. Seit einem Jahrzehnt investieren wir bei Check Point konsequent in diese Technologie und bauen sie in unsere Systeme ein. Zusätzlich nutzt mehr als die Hälfte unserer Threat Engines eine KI, um sicherzustellen, dass komplexe IT-Infrastrukturen geschützt bleiben. Für mich ist das Jahr 2023 der Wendepunkt für KI, da wir im täglichen Leben immer abhängiger von ihr werden und sie sich als integraler Bestandteil der Verteidigung unserer sich ständig entwickelnden Netzwerke etabliert hat.

ds: Welche Herausforderung bringt der „Working from Anywhere“-Trend für die Cybersicherheit?

Gil Shwed: Das anhaltende Engagement von Unternehmen und Mitarbeitern für hybrides Arbeiten hat zu einem Anstieg der verwendeten digitalen Geräte pro Person um durchschnittlich mehr als 50 Prozent geführt. Wir bei Check Point haben im letzten Jahr weltweit einen Anstieg der Cyberattacken von 38 Prozent festgestellt, der mit der Zunahme dieser Geräte korreliert. Für viele Unternehmen besteht das Problem darin, dass ihre Produkte nicht zusammenarbeiten – die Koordinierung ist einfach zu komplex. Wir müssen sicherstellen, dass alle Systeme kommunizieren, um das Risiko eines Angriffs einzudämmen. Dies ist derzeit nicht gängige Praxis und im Jahr 2023 wird dieses Defizit Unternehmen verwundbar machen.

ds: Welchen technologischen Trend sehen Sie in diesem Jahr abseits von KI im Vordergrund stehen?

Gil Shwed: Zwei der wichtigsten Trends werden in diesem Jahr die API-Security und die Automatisierung von Cybersicherheitsprozessen sein. APIs sind ein wachsender Teil der Angriffsfläche vieler Unternehmen im Internet, und ihre Eigenschaften machen sie zu einem idealen Ziel für automatisierte Angriffe. Es ist von entscheidender Bedeutung, dass Unternehmen API-Sicherheitslösungen in ihre Application Security-Strategie integrieren, um Missbrauchsversuche ihrer Web-APIs zu erkennen und zu verhindern. Die Automatisierung von IT-Sicherheitsprozessen bietet zahlreiche Vorteile für Sicherheitsteam, um die wachsenden Workloads trotz Personalmangel und vielfältiger Aufgaben zu bewältigen.

Carsten J. Pinnow im Interview mit Gil Shwed, © Martin Hangen/Check Point

ds: Sie propagieren seit Jahren den Ansatz, dass Präventionsmaßnamen besser sind als die nachträgliche Erkennung. Warum?

Gil Shwed: Der präventive Ansatz zur IT-Sicherheit beruht auf drei Grundprinzipien des höchstmöglichen Schutzes: Umfassend, konsolidiert und kooperativ. Unternehmen benötigen eine Lösung, die alle Vektoren abdeckt (um einen Vorfall von vornherein zu verhindern), eine konsolidierte Cybersicherheitsarchitektur, um die Sicherheitskoordination und -effektivität zu verbessern, und die Integration in Systemen von Drittanbietern, um möglichst genaue Echtzeitdaten zu liefern.

ds: Sie gelten als Förderer der IT-Security Start-Up-Szene in Israel. Wie unterstützt Check Point hier junge Unternehmen?

Gil Shwed: Zunächst einmal empfinde ich es als große Freude, dass wir eine so aktive Start-Up Szene in Israel speziell im Bereich Cybersicherheit haben. Sie führen mit innovativen Ideen und Konzepten dazu, dass auch wir immer wieder herausgefordert werden, uns und unsere Lösungen zu erneuern. Aktuell fördern wir unter anderem über unser CyberUp Accelerator Programm zahlreiche Start-Ups. Bislang profitierten 43 junge Unternehmen von unseren Erfahrungen. Viele dieser Unternehmen werden außerdem von ehemaligen Check Point-Mitarbeitern gegründet, die dann auch ab und zu wieder zu uns stoßen, indem wir sie und ihre Technologien in unsere Lösungen integrieren. Dadurch entstehen steter Austausch und Erneuerungsprozesse, die letztlich allen zugutekommt.

ds: Wir danken für das Gespräch.

Ankündigung von Infinity Global Services

Während der Veranstaltung stellten weitere Mitarbeiter die fortschreitende Entwicklung des Produkt- und Lösungsportfolios vor, darunter Eyal Manor, Vice President of Product Management, der auf die Produktverbesserungen einging, die zum Schutz gegen aktuelle IT-Bedrohungen entwickelt wurden. Hierbei handelt es sich um die Einführung von Check Point Infinity Global Services, einem End-to-End-Sicherheitsservice, der Unternehmen dabei helfen wird, fortschrittliche Cyber-Bedrohungen abzuwehren, auf weit verbreitete Angriffe zu reagieren und jeden Aspekt ihrer Widerstandskraft zu verbessern. Manor hob hervor, dass diese Einführung auf die wachsende Komplexität der IT-Sicherheit und den Mangel an qualifizierten Mitarbeitern zurückzuführen ist, die diese Aufgabe bewältigen sollen, denn in der Branche gibt es derzeit eine Qualifikationslücke von 3,4 Millionen Fachkräften.

Maya Horowitz, Vice President of Research, gab den Zuhörern in einer virtuellen Präsentation eine kurze Zusammenfassung der Unternehmensgeschichte. Sie reflektierte die Fähigkeit von Check Point, Bedrohungsinformationen zu entschlüsseln, zu analysieren und zu interpretieren, um neue Malware, Hackermethoden und -techniken zu identifizieren und daraufhin Wege zu finden, diese schnell abzuwehren. Sie verwies auf die Komplexität von Hacker-Gruppen, wie Conti, veranschaulichte die zunehmenden geopolitischen Spannungen, die nun auch in die Cyber-Dimension vorgedrungen sind, und sprach die besorgniserregende Verlagerung von Angriffen auf Einzelpersonen sowie auf Kritische Infrastrukturen (KRITIS) an.

Kunden, Mitarbeiter und Partner hörten zudem Redebeiträge von mehreren anderen Check Point-Führungskräften, darunter Ofir Israel, Vice President of Threat Prevention, der die Diskussion über die Auswirkungen von KI fortsetzte, indem er auf die Cyber-Kriegsführung einging und darlegte, wie diese Technologie die Welt der IT-Sicherheit verändert hat.

Die Veranstaltung bot den Teilnehmern einen Zugang zu den bewährten Methoden und Erkenntnissen zur Verwaltung der Cybersicherheitslandschaft. Mitarbeiter, Partner und Kunden hatten außerdem die Möglichkeit, an ausführlichen Podiumsdiskussionen teilzunehmen, die einen Vorgeschmack auf die neuen Produktankündigungen von Check Point und die Expertenprognosen für die IT-Sicherheitsplanung im Jahr 2023.

Weitere Informationen zum Thema.

datensicherheit.de, 03.02.2023
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

datensicherheit.de, 29.06.2020
Cybersicherheit: Vision einer mutigen neuen Welt während und nach der Pandemie