[datensicherheit.de, 26.07.2022] Ein aktueller Forrester-Analystenbericht unterstreicht laut einer Meldung von Absolute Software, dass in die Firmware eingebettete, selbstheilende Funktionen „am wichtigsten“ seien. Dieser Bericht konzentriert sich demnach auf vier Haupttrends im Endpunkt-Management – Selbstheilung, Sicherheitskonvergenz, Erfahrungsanalyse und Schutz der Privatsphäre. IT-Experten müssten diese Aspekte bei der Vereinfachung und Modernisierung ihrer Endpunkt-Strategien im Auge behalten.

In Firmware eingebettete Selbstheilung am wichtigsten

Der Analyst und Verfasser Andrew Hewitt des Berichts wird zitiert: „Selbstheilung muss auf mehreren Ebenen stattfinden: erstens Anwendung, zweitens Betriebssystem und drittens Firmware.“ Von diesen Ebenen werde sich die in die Firmware eingebettete Selbstheilung als die wichtigste erweisen, da sie sicherstelle, „dass die gesamte auf einem Endpunkt laufende Software, sogar Agenten, die Selbstheilung auf Betriebssystemebene durchführen, effektiv und ohne Unterbrechung laufen können“.

Ein weltweit tätiges Personal-Dienstleistungsunternehmen nutze bereits die „Application Persistence“-Funktion von Absolute Software zur Selbstheilung auf Firmware-Ebene, um sicherzustellen, „dass sein VPN für alle Remote-Mitarbeiter funktionsfähig bleibt“.

Firmware-Ebene entscheidend für Stärkung der Cyber-Resilienz

Mit seiner patentierten Persistence-Technologie, die sich in mehr als 500 Millionen Endgeräten befinde, biete Absolute eine unauslöschliche digitale Verbindung zu jedem Gerät, um ein Höchstmaß an Ausfallsicherheit zu gewährleisten. Der „Application Persistence“-Service von Absolute nutze diese ununterbrochene, bidirektionale Verbindung, um den Zustand und das Verhalten von geschäftskritischen Sicherheitsanwendungen zu überwachen, fehlende oder beschädigte Komponenten zu identifizieren und diese bei Bedarf automatisch zu reparieren oder neu zu installieren. Ein menschliches Eingreifen sei hierbei nicht erforderlich.

„Wir sind stolz darauf, dass unser auf ,Persistenz‘ basierender Ansatz zur Selbstheilung im ‚Future of Endpoint Management´-Report von Forrester gewürdigt wird“, so John Herrema, „EVP of Product and Strategy“ bei Absolute. Die Fähigkeit zur dynamischen und intelligenten Selbstheilung von Geräten, Anwendungen und Netzwerkverbindungen sei entscheidend für die Stärkung der Cyber-Resilienz gegen die zunehmende Bedrohung durch Ransomware und bösartige Angriffe.

Weitere Informationen zum Thema:

ABSOLUTE
The Future of Endpoint Management

[datensicherheit.de, 07.07.2022] Die Cyber-Sicherheit des Internets der Dinge (IoT) wird in dem Maße wichtiger, wie Sensoren und IoT-Hardware etwa im Gesundheitsbereich oder in der Industrie die Angriffsfläche von Unternehmen erhöhen. Umso entscheidender ist es laut einer aktuellen Stellungnahme von Bitdefender, „Informationen zur Gefahrenlage im Kontext zu nutzen und dafür die verschiedensten Quellen in der Telemetrie heranzuziehen“. Sogenannte XDR-Lösungen seien hierzu eine wichtige Hilfe.

Abbildung: Bitdefender

Aus dem Bitdefender Consumer Threat Report 2020: Die Home-Office-Integration in Unternehmensnetze macht auch ungesicherte private IoT-Geräte zu möglichen Schwachstellen für das Internet!

Information und Zugriff auf IoT-Hardware – durch erweiterte Endpunkt-Sicherheit

IP-Kameras, Gebäudezugriffslösungen, Sensoren an Fließbändern oder auch an das Web angebundene Drucker gestalteten die „Frontlinie“ von Unternehmen zum Internet immer unübersichtlicher und erhöhten gewissermaßen die Angriffsfläche. „Wer sich gegen die Hacker aus dem Internet der Dinge schützen will, benötigt vor allem mehr Information und Zugriff auf die IoT-Hardware – durch eine erweiterte Endpunkt-Sicherheit.“ Dies gelte für alle Betriebe – insbesondere für die Produktion und das Gesundheitswesen, „die IoT unmittelbar und sehr stark in ihre Abläufe einbinden“.
Das IoT sei eine Kerntechnologie, um Mitarbeiter zu mobilisieren und Abläufe zu digitalisieren. Die „Pandemie“ habe ihr Übriges getan, um die Menge an eingesetzter IoT-Hardware zu steigern. Unternehmen in der Produktion und im Gesundheitswesen hätten den Trend angeschoben und nutzten verstärkt das IoT als Schlüsseltechnologie, um neue Funktionen zu nutzen und Abläufe zu optimieren. Der Anschluss beliebiger Hardware über WiFi und „Bluetooth“ erfolge unmittelbar und einfach – oft zu einfach und mit schwerwiegenden Folgen für die Cyber-Sicherheit.

2021 Zahl der IoT-Geräte auf 12,3 Milliarden weltweit angestiegen

2021 sei laut dem „Verizon Mobile Security Index 2021“ die Zahl der IoT-Geräte um neun Prozent auf 12,3 Milliarden weltweit angestiegen. 31 Prozent der von Verizon befragten Verantwortlichen für den Einkauf, das Management und das Sichern von IoT-Geräten hätten zugegeben, „dass Hacker ihre IoT kompromittiert hatten“.
Bei zwei Dritteln davon sei es zu größeren Folgen („major impact“) gekommen: „59 Prozent beklagten einen Ausfall der Systeme, 56 Prozent einen Datenverlust und 29 Prozent mussten Compliance-Bußgelder bezahlen. 41 Prozent der Befragten gaben zu, IoT-Sicherheitsbelange zu opfern, nur um ihre Aufgabe zu bewältigen.“

Digitale Fortschritt mittels IoT birgt Risiken

Der digitale Fortschritt habe also seine Risiken. „Was sich schnell installieren lässt, entwickelt ebenso schnell sein Eigenleben“ – die Cyber-Sicherheit sei dabei oft zu kurz gekommen (ein bis heute anhaltendes Problem). Gerade Produktion und Gesundheitswesen gäben ihr zudem nur selten eine hohe Priorität – mit erheblichen Folgen für die IoT-Sicherheit.
Angriffe über das IoT dürften Sicherheitsverantwortliche auf keinen Fall unterschätzen: „Denn dahinter verbergen sich nicht selten komplexe Advanced-Persistent-Threat (APT)-Attacken, bei denen das Gerät nur als erster Zugang dient, um verschiedene weitreichende Angriffe auf unterschiedliche Ziele durchzuführen.“

Maßnahmen gegen IoT-Risiken benötigen umfassenden Blick auf erweiterte Angriffsfläche

„Wer gegen die Risiken aus dem Internet der Dinge vorgehen will, benötigt einen umfassenden Blick auf die zwangsläufig erweiterte neue Angriffsfläche.“ Denn IoT-Geräte wie Sicherheitskameras, Bildschirme mit Anschluss an das Internet, Medizingeräte und Sensoren im Bereich Produktion oder Router im „Home-Office“ seien oft nicht zentral verwaltet. So ließen sich auch Updates nur sehr schwer – wenn überhaupt – einspielen.
Meist sei es auch zu kostspielig oder gar nicht möglich, einen Endpoint-Detection-and-Response-Agenten auf den zahllosen IoT-Endpunkten zu installieren. Ein besonderes Risiko ergebe sich zudem aus der Tatsache, „dass sich IoT-Systeme im Cyberhack-Ernstfall nicht einfach abschalten lassen – wie etwa ein Sensor an einem Fließband oder ein medizinisches Gerät in der Krankenpflege“.

Bekannte Lücken – unbekannte IoT-Systeme

Hinzu kämen noch die inhärenten Risiken vieler an das Internet angeschlossener Geräte. „Fragen der IT-Sicherheit bedenken die Entwickler oft nicht – anders als bei PC-Systemen oder Smartphones.“ Zu viele IoT-Geräte hätten hart kodierte oder bekannte Default-Passwörter, die so lange für den Hacker funktionierten, „bis ein Anwender sie verändert“.
Viele Geräte verfügten über Zero-Day-Schwachstellen, welche von den Herstellern nicht gepatcht würden. „Daraus resultierende Lücken sehen die Hacker, die mit automatisierten Tools wie ,Wireshark‘, ,Nmap‘, ,Fiddler‘, ,Metasploit‘ oder ,Maltego‘, welche ursprünglich dem ,Social Hacking‘ dienen sollten, über das Internet nach der entsprechenden Hardware suchen.“ Auch Dienste wie „Shodan“ nutzten oft leider nicht nur die Administratoren, sondern ebenso die Cyber-Angreifer.

IoT-Systeme werden implementiert, ohne an IT-Sicherheit zu denken oder Unternehmens-IT zu informieren

Die Lücken seien bekannt, die Geräte dagegen für den IT-Administrator oft nicht sichtbar. Anwender – zum Beispiel aus einzelnen Geschäftsbereichen – implementierten IoT-Systeme, ohne an die IT-Sicherheit zu denken oder die Unternehmens-IT zu informieren.
„So entstehen ,Schatten-IT‘-Strukturen ohne jedes Patch-Management und ohne eine Möglichkeit, diese kontinuierlich zu verwalten.“ Viele IoT-Dienste seien zudem „cloud“-basiert. „Sicherheitslösungen, die ,Cloud‘-Dienste nicht überwachen, weisen also einen gefährlichen blinden Fleck auf.“

IoT-Endpunkte verlangen neuen Überblick auf IT-Sicherheitslage

IoT-Endpunkte verlangten einen neuen Überblick auf die IT-Sicherheitslage, welcher die intelligenten Geräte mit Internetanschluss und nicht nur klassische Endpunkte wie PC, Server oder Smartphone berücksichtige. Eine „Extended Detection and Response“ (XDR) als Korrelation sicherheitsrelevanter Informationen aus einem erweiterten Kreis an Quellen biete den notwendigen Sicherheitsweitblick.
Dabei unterscheide sich die native von der offenen XDR: „Beide Ansätze helfen, eine größere Sichtbarkeit über Ihre IT zu erlangen und die Analyse der Telemetrie zu verbessern.“

XDR (Extended Detection and Response) für mehr IoT-Sicherheit

Native XDR-Lösungen verwendeten verschiedene Tools und Technologien eines einzigen Anbieters, um Informationen aus einem erweiterten Kreis an Quellen zu erschließen. Solche Technologien aus einer Hand eigneten sich vor allem für kleinere Unternehmen, welche XDR sofort einsetzen wollen. „Offene XDR sitzt herstellerunabhängig auf einem Bündel an Sicherheitstechnologien auf und zentralisiert die vorhandenen Telemetrie-Quellen.“
Sicherheitsteams hätten so eine einheitliche Perspektive und bündelten die gesamte Analyse sowie die Fähigkeiten, Gefahren zu erkennen und abzuwehren. Größere Unternehmen könnten mit diesem offenen Ansatz die vorhandenen, oft für nicht wenig Geld angeschafften Lösungen anderer Hersteller weiternutzen.

Auswertung IoT-relevanter Informationsquellen

Wer IoT-relevante Informationsquellen auswertet, könne die Sicherheit konnektiver Geräte verbessern:

Hardware-Inventur
„Je mehr Telemetrie-Quellen genutzt werden, umso besser kennen IT-Teams die Hardware in ihrem Netzwerk.“ Sie könnten damit IoT-Geräte im Netzwerk identifizieren und absichern.

Schnelleres Erkennen und Reagieren
IT-Administratoren oder Sicherheitsexperten könnten besser auf Hinweise über ein kompromittiertes System oder über anomales Verhalten eines IoT-Gerätes reagieren. „Sie wehren somit Login-Versuche eines nicht autorisierten Anwenders, häufige und damit verdächtige Login-Versuche bzw. Aktivitäten außerhalb der Geschäftszeiten ab.“

Bessere Wartung und gezieltes Patch-Management
„IT-Administratoren sehen nun besser, welche Sicherheitslücken zu schließen und welche Updates nötig sind.“ Dies sei gerade für IoT-Geräte und ihre oft den Hackern bekannten Sicherheitslücken nötig.

Korrelierte Informationen im Kontext
XDR habe das Ziel, voneinander getrennte sowie „cloud“-basierte Datenquellen zu nutzen und in einem Zusammenhang zu betrachten. „Cloud“-Informationen könnten detailliertere Informationen über Attacken, Ereignisse und kompromittierte IT liefern. „Damit können IT-Sicherheitsverantwortliche den Attacken besser zuvorkommen.“ Gerade für die oft „cloud“-basierten IoT-Dienste sei dies sehr wichtig.

„In dem Maße, wie IoT die klassische IT und deren Angriffsfläche vergrößert, muss im Gegenzug die IT-Abwehr ihren Blickwinkel erweitern.“ Denn IT-Sicherheit wachse vor allem mit der Vollständigkeit und Qualität der Informationen. Diese Aufgabe wiederum wachse mit dem immer größer werdenden Gerätefuhrpark mit Internetanschluss.

Weitere Informationen zum Thema:

IOT ANALYTICS, Mohammad Hasan, 18.05.2022
State of IoT 2022: Number of connected IoT devices growing 18% to 14.4 billion globally

[datensicherheit.de, 07.09.2020] Die gegenwärtige „Pandemie“-Situation hat die Digitalisierung – oder zumindest erste Schritte dorthin – auch in die Schulen getragen. Neue Technologien und Programme mussten eingeführt werden, um den Fernunterricht zu gewährleisten, und Lehrer damit beginnen, eine Reihe von Videokommunikationsmitteln wie „Zoom“ und „Microsoft Teams“ einzusetzen. Zwar sei Deutschland 2019 in einem Ranking des Center for European Policy Studies im Bereich „E-Learning“ als „unterdurchschnittlich“ eingestuft worden, aber hierbei bewege sich nun etwas, meint Matthias Canisius, „Regional Director CE & EE“ bei SentinelOne.

Foto: SentinelOne 2020

Matthias Canisius: Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden!

Zahlreiche Bedrohungen: DDoS-Attacken, Phishing, Ransomware, Trolle…

Mit der zunehmenden Abhängigkeit der Schulen von solchen Online-Anwendungen und Tablets habe auch die Zahl der Cyber-Bedrohungen zugenommen. Infolgedessen bestehe ein höheres Risiko, „dass sich Cyber-Kriminelle als Schüler oder Lehrer ausgeben“. Betrüger nutzten dies aus, „indem sie Phishing-E-Mails mit Spendenaufforderungen und Hilfsangeboten verschicken, die aus legitimen Quellen zu stammen scheinen“.
Darüber hinaus sei es in einigen Ländern bei Video-Telekonferenz-Plattformen bereits zu Vorfällen mit „Online-Trollen“ gekommen, welche den Online-Unterricht mit anstößigen Inhalten über die Bildschirmfreigabefunktionen der Plattformen gestört hätten. Cyber-Kriminelle setzten ebenso DDoS-Angriffe ein. „Ein Beispiel dafür ist die bayerische Lernplattform ,MEBIS‘, die gleich zu Beginn der Krise mit einem DDoS-Angriff außer Gefecht gesetzt wurde.“

Bildungseinrichtungen mit großer Angriffsfläche – Bedrohungen überfordern IT-Laien

Schulen speicherten persönliche Daten von Schülern sowie Lehrern und stünden in Verbindung mit vielen externen Stellen und Anbietern sowie natürlich mit den Eltern, die hauptsächlich per E-Mail mit der Schule kommunizierten. Canisius: „Dies bedeutet, dass Schulen eine sehr große Angriffsfläche haben. Zumal die IT oft Aufgabe einzelner Lehrer und nicht wirklicher IT-Experten und schon gar nicht IT-Sicherheitsexperten ist.“
Schüler und deren Eltern würden leicht zu Opfern von Phishing-Betrügereien. Die mangelnde Erfahrung in Verbindung mit der Tendenz, einfache Passwörter über mehrere Plattformen hinweg zu verwenden, mache sie anfällig für „Credential Harvesting“ – das Entwenden und Sammeln von Anmeldeinformationen. Darüber hinaus sei das Bewusstsein von Eltern, Lehrern und Dozenten in Bezug auf Cyber-Risiken im Bildungswesen oft viel geringer als in anderen Bereichen.

Wege zur Begegnung der Cyber-Bedrohungen in Schulen

„Ein Programm zur Aus- und Fortbildung des Personals in den Schulen ist wichtig, um eine Sicherheitskultur des Misstrauens und der Wachsamkeit zu schaffen“, betont Canisius: Es müssten Beispiele aus der realen Welt mit den Nutzergruppen geteilt und diese regelmäßig getestet werden. Das Risiko könne durch Sicherheitstrainings verringert, aber nicht beseitigt werden. Im Zusammenspiel mit Technologien zur Erhöhung der E-Mail-Sicherheit sehe das aber schon anders aus.
Folgendes sollte beachtet werden, um die Sicherheit der Netzwerke zu gewährleisten und sich gegen Cyberbedrohungen zu schützen:

• URL-Scannen eingehender oder archivierter E-Mails, so dass ein Klick auf Zielseiten erst dann zugelassen wird, wenn die Seite auf Malware überprüft werden kann.
• Erkennung von gefährlichen Anhängen in der Mailbox und Umleitung in eine Sandbox vor der Zustellung.
• Schutz vor Identitätswechsel und „Social Engineering“.

Privilegien der IT-Nutzung an Bedrohungen anpassen

Ransomware habe nur dann die Möglichkeit, Dateien zu ändern und zu verschlüsseln, „wenn der infizierte Benutzer dies tut“. Die Kontrolle des Benutzerzugriffs auf kritische Netzwerkressourcen sei notwendig, „um die Gefährdung zu begrenzen und sicherzustellen, dass eine seitliche (laterale) Bewegung erschwert wird“.
Daher sei es entscheidend, sicherzustellen, „dass die Privilegien aktuell und auf dem neuesten Stand sind und dass Benutzer nur auf geeignete Dateien und Netzwerkstandorte zugreifen können, die sie für ihre Aufgaben benötigen“.

Traditionelle Endpunktsicherheit unzureichend zur Abwehr von Bedrohungen

Fast alle Organisationen verfügten über Endpunktsicherheit, um das Eindringen von Ransomware zu verhindern – indes reichten statische Erkennung und Virenschutz nicht mehr aus. Es werde immer wichtiger, über fortschrittliche Funktionen für den Endpunktschutz und die Möglichkeit zu verfügen, die Endpunktverwaltung und -hygiene von einem zentralen Verwaltungssystem aus durchzuführen.
„Eine gute Endpunktsicherheit sollte mehrere statische und verhaltensbasierte Module umfassen, die Maschinelles Lernen und KI zur Beschleunigung der Erkennung und Analyse einsetzen.“ Wichtig seien auch der Schutz vor „Exploits“, die Geräte- und Zugriffskontrolle sowie die Schwachstellen- und Anwendungskontrolle. Das Hinzufügen von Endpunkterkennung und -reaktion (EDR – Endpoint Detection and Response) zur forensischen Analyse und Feststellung der Grundursache sowie sofortiger Reaktionsmaßnahmen wie Isolierung, Übertragung in die „Sandbox“ und „Rollback“-Funktionen zur Automatisierung von Abhilfemaßnahmen, seien wichtige Überlegungen. Mit diesen Funktionen auf einer Plattform und einem Agenten, „der in der Lage ist, alle Geräte und Server zu schützen“, werde eine zentralisierte Sichtbarkeit und Kontrolle für das Cyber-Sicherheitsteam über den gesamten Endgerätebestand hinweg gewährleistet.

Entscheidungsträger sollten sich dringend mit den aus Mängeln resultierenden Bedrohungen befassen

Schulen und Hochschulen würden von Cyber-Kriminellen bedroht und das werde auch in absehbarer Zukunft so bleiben. „Die Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden. Schulen, Hochschulen und Universitäten bieten nicht nur lebenswichtige Dienste für unsere Gesellschaft und Wirtschaft, sie verfügen auch über zahlreiche sensible Daten.“
Von persönlichen Informationen wie Geburtsurkunden, Schüler- und Lehrerakten, Sozialversicherungsnummern und Finanzdaten bis hin zu Geistigem Eigentum und Spitzenforschung gehörten die Daten dieser Organisationen zu den nützlichsten für Cyber-Kriminelle, erläutert Canisius. Daher sei es unbedingt erforderlich, dass sich die Verantwortlichen und politischen Entscheidungsträger „dringend mit diesen Mängeln befassen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen / Kommentar zum „Europäischen Datenschutztag“ von Matthias Canisius

datensicherheit.de, 21.10.2019
IT-Sicherheit in Deutschland: Ernste, aber beherrschbare Lage / Matthias Canisius kommentiert aktuellen BSI-Lagebericht 2019

[datensicherheit.de, 25.07.2018] Unternehmen vertreten oft unrealistische Ansichten über den Schutz des Industrial Internet of Things (IIoT), in dem Endpunkte, als die verletzlichsten Aspekte betrachtet werden. Dabei besteht eine große Unsicherheit darüber, was überhaupt ein Endpunkt ist. Das sind die wichtigsten Erkenntnisse aus der SANS Industrial IoT Security Survey 2018, welche die Sicherheitsbedenken im Zusammenhang mit der rasch wachsenden Nutzung von IIoT untersucht. IIoT ist die Teilmenge des Internets der Dinge, die sich speziell auf die industrielle Anwendung von angeschlossenen physischen Geräten n kritischen Infrastrukturen wie Elektrizität, Produktion, Öl und Gas, Transport und Gesundheitswesen konzentriert. Die Zahl der installierten IoT-Geräte soll sich von 23,14 Mrd. im Jahr 2018 auf 75,44 Mrd. im Jahr 2025

Enorme Wachstumsrate

Der SANS-Bericht zeigt, dass die meisten Unternehmen weltweit ein Wachstum der Zahl ihrer angeschlossenen Geräte von 10 bis 25 Prozent prognostizieren. Diese Wachstumsrate wird dazu führen, dass sich die an IIoT-Geräte angeschlossenen Systeme etwa alle drei bis sieben Jahre verdoppeln. Dies wird letztendlich zu einer höheren Komplexität des Netzwerks führen, weil IT und OT immer mehr miteinander vernetzt werden; die Nachfrage nach Bandbreite steigt und der Bedarf an qualifiziertem Personal für die besten Sicherheitspraktiken in Bezug auf Design, Aufbau und Betrieb von IIoT-Systemen wächst.

Von den über 200 Befragten gibt mehr als die Hälfte an, dass die anfälligsten Aspekte ihrer IIoT-Infrastruktur Daten, Firmware, eingebettete Systeme oder allgemeine Endpunkte sind. Gleichzeitig legt die Umfrage aber eine anhaltende Debatte darüber offen, wie Endpunkt definiert wird.

Doug Wylie, Director of the Industrials & Infrastructure Business Portfolio des SANS Institutes, erklärt: „Die Diskrepanz bei der Definition von IIoT-Endpunkten ist die Ausgangsbasis für einige der Unsicherheit über die Verantwortung für die IIoT-Sicherheit. Viele Fachkräfte identifizieren und verwalten die zahlreichen Assets, die in irgendeiner Weise mit Netzwerken verbunden sind, nicht adäquat und stellen deshalb eine Gefahr für ihre Organisationen dar. Aus diesem Grund ist es wichtig, dass sich Unternehmens-IT und OT-Teams auf eine gemeinsame Definition einigen, um sicherzustellen, dass sie die Sicherheitsrisiken bei der Weiterentwicklung ihrer Systeme zur Anpassung an neue Architekturmodelle angemessen identifizieren können.“

Bild: SANS Institut

Doug Wylie, Director of the Industrials & Infrastructure Business Portfolio des SANS Institutes

Andere Bedenken in Bezug auf die Cybersicherheit von IIoT beinhalten:

• 32 Prozent der IIoT-Geräte verbinden sich direkt mit de Internet und umgehen dabei traditionelle IT-Sicherheitsschichten.
• Fast 40 Prozent der Befragten sagen, dass das Identifizieren, Verfolgen und Verwalten von Geräten eine große Sicherheitsherausforderung darstellt.
• Nur 40 Prozent der Studienteilnehmer geben an, Patches und Updates zum Schutz ihrer IIoT-Geräte und -Systeme anzuwenden und zu warten.
• 56 Prozent der Beteiligten sehen Schwierigkeiten beim Patchen als eine der größten Sicherheitsherausforderungen.

Die Umfrage ergab auch eine große Diskrepanz zwischen der Wahrnehmung von IIoT-Sicherheit durch OT, IT und Management: Nur 64 Prozent der OT-Abteilungen behaupten, dass sie sich auf ihre Fähigkeit zur Sicherung der IIoT-Infrastruktur verlassen können, während 83 Prozent der IT-Abteilungen und 93 Prozent der Führungskräfte das glauben.

Bild: SANS Institut

Barbara Filkins, Forschungsleiterin des SANS-Analystenprogramms und Verfasserin der Studie

„Der Bericht verdeutlicht eine echte Diskrepanz in den Organisationen hinsichtlich des Vertrauens, wie sicher das IIoT wirklich ist“, sagte Barbara Filkins, Forschungsleiterin des SANS-Analystenprogramms und Verfasserin der Studie. „Diese Diskrepanz zeigt die Notwendigkeit für einen großen kulturellen Wandel, wie Industrieunternehmen mit den Sicherheitsrisiken in einer Welt des IIoT umgehen müssen.“

Weitere Informatione zum Thema:

SANS Institut
The 2018 SANS Industrial IoT Security Survey: Shaping IIoT Security Concerns

datensicherheit.de, 05.07.2018
Rückblick: SANS European ICS Summit 2018 in München

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

[datensicherheit.de, 07.09.2016] Cyber-Angreifer nehmen verstärkt unzureichend geschützte Endgeräte von Mitarbeitern ins Visier – zunehmend auch in Unternehmen im Gesundheitswesen. Ohne eine adäquate Endpunkt-Sicherheitslösung mit Benutzerrechteverwaltung und Applikationskontrolle seien diese Unternehmen Angreifern schutzlos ausgeliefert, warnen IT-Sicherheitsexperten aus dem Hause CyberArk.

Standard-Sicherheitsvorkehrungen unzureichend!

War das Thema IT in der Vergangenheit im Gesundheitswesen noch eher eine Begleiterscheinung und vielfach auf den Bereich der Verwaltung beschränkt, ist es inzwischen auch im klinischen und Laborbereich angekommen, in Segmenten also, in denen hohe Verfügbarkeit und Sicherheit unverzichtbar sind – denn Diagnosen und Therapieformen werden heute in Krankenhäusern digital gespeichert, Laborberichte über das Internet übertragen und Krankenhäuser und -kassen kommunizieren auf dem digitalen Weg.
All das habe auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Informationen deutlich gestiegen sei, so CyberArk. Dass es um die IT-Sicherheit für vertrauliche Mitarbeiter- und Patientendaten nicht zum Besten bestellt sei, belegten mehrere Vorfälle aus jüngster Zeit. Dabei habe sich gezeigt, dass Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken keinesfalls ausreichend seien.

Benutzerrechteverwaltung und Applikationskontrolle

„Betrachtet man heute das Thema Endpunkt-Sicherheit, ist die Erkenntnis, dass der Status Quo keinen umfassenden Schutz mehr bietet, offensichtlich“, betont Christian Götz, „Director of Presales and Professional Services DACH“ bei CyberArk in Düsseldorf. Benötigt würden neue Lösungen, „mit denen vor allem die Herausforderungen Benutzerrechteverwaltung und Applikationskontrolle zu bewältigen sind“.
Auch normale Anwender erhielten in vielen Unternehmen Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gebe es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig seien. Würden mehr Privilegien als nötig vergeben, entstehe aber eine große, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche. Einfach und schnell lasse sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Business- und administrative Anwender unterstützt. Sie müsse zum einen die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung sei deren hoher Automatisierungsgrad – für eine automatisierte Erstellung und Aktualisierung von Richtlinien.

Sicherheitslösung sollte auch Grey-Listing unterstützen!

Ebenso wichtig wie die Rechtevergabe und -kontrolle sei auch die Applikationsüberwachung, denn es sei durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt werde und ein Netzwerk kompromittiere. Eine Sicherheitslösung müsse zunächst einmal automatisch schädliche Anwendungen blockieren. Viele Unternehmen setzten hierzu auf Whitelists und Blacklists. Das greife aber in aller Regel zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibe. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden könnten – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Unternehmensnetz, bis die Applikation näher überprüft ist.
Nicht zuletzt sollte die Lösung auch eine automatische Richtliniendefinition für Applikationen unterstützen, die auf vertrauenswürdigen Quellen basierten – solche Quellen seien zum Beispiel der „Microsoft System Center Configuration Manager“ (SCCM) oder Software-Distributoren.

Gesundheitssektor: Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes kommt

Die IT im Gesundheitswesen sollte sich besser heute als morgen mit dem Problem Sicherheit auseinandersetzen, denn die Zeit werde knapp, warnt Götz. Der Gesetzgeber verschärfe kontinuierlich die Vorgaben und Sanktionen, wie das auch für den Sektor Gesundheit gültige IT-Sicherheitsgesetz.
Spätestens Anfang 2017, so Götz, wenn auch für den Gesundheitssektor eine Rechtsverordnung zur Umsetzung des Sicherheitsgesetzes folge, werde vielen klar werden, „dass sie unter den Regelungsbereich des Gesetzes fallen und entsprechende Schutzmaßnahmen ergreifen müssen, auch wenn sie sich heute vielleicht noch in Sicherheit wiegen“.