In der Urlaubszeit nimmt die Nutzung mobiler Geräte zu – dies wissen auch Cyber-Kriminelle und nutzen die Gelegenheit

[datensicherheit.de, 21.08.2024] Marco Eggerling, „Global CISO“ bei Check Point, weist in seiner aktuellen Stellungnahme darauf hin, wie insbesondere Urlauber Cyber-Bedrohungen ausgesetzt sind und wie sie sich entsprechend schützen sollten: Insbesondere in der Ferienzeit (aber nicht nur dann) gilt es demnach trotz gefühlter Leichtigkeit und entspanntem Lebensgefühl, den Schutz vor Cyber-Kriminellen im Auge zu behalten – d.h. u.a. unsichere WIFI-Netzwerke zu meiden, 2FA zu aktivieren sowie die IT-Geräte kühl zu halten und regelmäßig zu aktualisieren.

Foto: Check Point Software

Marco Eggerling gibt Tipps zur Urlaubszeit: Wenn wir ein paar einfache Schutzmaßnahmen befolgen, können wir die meisten Cyber-Angriffe verhindern und unsere Daten schützen!

Verstärkte Nutzung von Smartphones im Urlaub lockt Cyber-Kriminelle an

In der Ferien- und Reisezeit nehme die Nutzung mobiler Geräte zu – dies wüssten auch Cyber-Kriminelle und deshalb warnt die Check Point® Software Technologies vor Hackern, welche aus der verstärkten Nutzung von Smartphones im Urlaub Kapital schlagen könnten. Eggerling erläutert: „Laut den neuesten Daten des ,Check Point Software Threat Intelligence Reports’ für Juli 2024 war jedes vierte Unternehmen von einem bösartigen Vorfall betroffen. 179 verschiedene betrügerische Anwendungen und 16.777 schadhafte Apps wurden identifiziert.“

„Joker“ z.B., eine „Android“-Spyware auf „Google Play“ stehle SMS-Nachrichten, Kontaktlisten und Geräteinformationen – „sie ist eine der am weitesten verbreiteten mobilen Malware“. Im „Threat Index“ der Forschungseinheit „Check Point Research“ gelte es außerdem vor „Anubis“ (ein für „Android“-Mobiltelefone entwickelter Banking-Trojaner) und „AhMyth“ (ein Trojaner für den Fernzugriff) auf der Hut zu sein.

Smartphone-Nutzer gehen Urlaubszeit – und dann auch oft das Thema Cyber-Sicherheit – etwas lockerer an

Hacker setzten darauf, dass Smartphone-Nutzer nicht nur die Urlaubszeit, sondern auch das Thema Cyber-Sicherheit etwas lockerer angingen. „Sie erstellen beispielsweise täuschend echte Phishing-Websites, die aussehen, wie die bekannter Banken und Finanzdienstleister, um persönliche Informationen zu stehlen, indem sie die Benutzer zur Eingabe ihrer Daten verleiten“, berichtet Eggerling.

Darüber hinaus könne die Verbindung mit öffentlichen Wi-Fi-Netzwerken in Hotels und Cafés gefährlich sein, da Cyber-Kriminelle die Kommunikation abfangen und verändern könnten, um an sensible Daten zu gelangen. Auch beim Herunterladen von Anwendungen aus inoffiziellen Quellen sei Vorsicht geboten: „Sie können Malware enthalten, die Informationen stiehlt oder darauf abzielt, das Gerät zu kontrollieren, ohne dass der Benutzer davon weiß.“

Smartphone-Besitzer sollten folgende Tipps beherzigen, um entspannt ihren Urlaub genießen zu können:

1. Ungeschützte Wi-Fi-Netzwerke vermeiden wie die Mittagssonne
„So wie es nicht ratsam ist, sich ohne Sonnenschutzmittel der gleißenden Mittagssonne auszusetzen, sollte man tunlichst vermeiden, sich mit offenen und ungeschützten Wi-Fi-Netzwerken zu verbinden.“ Cyber-Kriminelle nutzten öffentliche Netzwerke, z.B. in Cafés, Hotels und Flughäfen, um die persönlichen Daten der Nutzer abzufangen. Diese sollten nur Wi-Fi-Netzwerke verwenden, welche ein Passwort erfordern, und sicherzustellen, dass die Verbindung verschlüsselt ist. Außerdem sollten Nutzer immer daran denken, eine VPN-Verbindung (Virtuelles Privates Netzwerk) zu verwenden, um eine zusätzliche Schutzebene zu schaffen und die Daten vor neugierigen Blicken zu schützen.

2. Sichere Selfies am Strand
„Das Teilen von Fotos und Selfies am Strand gehört zum Urlaub dazu, aber Achtung: Nutzer sollten die Sicherheitseinstellungen der Apps studieren, die sie verwenden!“ Heutzutage sei es unerlässlich, in Sozialen Netzwerken die Zwei-Faktor-Authentifizierung (2FA) aktiviert zu haben. Diese Sicherheitsmaßnahme erfordere einen zweiten Verifizierungsschritt, „z.B. einen Code, der an das Mobiltelefon gesendet wird, zusätzlich zu dem üblichen Passwort“.

3. Geräte kühlen und schützen
„Extreme Hitze ist für elektronische Geräte so gefährlich wie für ihre Benutzer: Sie beschädigt diese und kann ihre Leistung und Lebensdauer verringern. Daher sollten Benutzer sie keinesfalls direkter Sonneneinstrahlung aussetzen, sondern einen kühlen und schattigen Ort wählen, um sie aufzubewahren.“ Ein weiterer wichtiger Punkt sei die Installation einer Sicherheitslösung, um Bedrohungen zu erkennen und zu beseitigen, bevor sie dem Gerät schaden. Regelmäßige Software- und Anwendungsupdates führten nicht nur neue Funktionen ein, „sondern beheben auch Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden könnten“.

4. Vorsicht vor Phishing
Die Sorglosigkeit im Urlaub könne Nutzer anfällig machen für Phishing-Fallen. „Diese Angriffe erfolgen über E-Mails, Textnachrichten oder sogar Soziale Netzwerke und geben vor, von vertrauenswürdigen Quellen zu stammen. Auch im Sommer ist es wichtig, nicht unvorsichtig zu sein und niemals auf Links zu klicken oder Dateien von unbekannten Absendern herunterzuladen!“ Bei verdächtig anmutenden E-Mails sollte die Echtheit der Nachricht überprüft werden, bevor man auf diese antwortet. Hierzu sei es ratsam, die Original-Website des Absenders über eine Internet-Suchmaschine aufzusuchen, „um zu überprüfen, ob die erhaltenen Informationen echt sind“.

5. Endgeräte aktuell halten
„Einer der Schlüssel zur Sicherheit, den viele Menschen übersehen, ist die ständige Aktualisierung aller Geräte mit den neuesten Patches und Software-Updates.“ Jede Aktualisierung verbessere die Sicherheit, indem sie mögliche Fehler und Schwachstellen behebe, welche von Cyber-Kriminellen ausgenutzt werden könnten. Um dies zu erreichen, sei es ratsam, die Geräte so einzustellen, „dass sie automatisch aktualisiert werden, damit sie stets vor den neuesten Bedrohungen geschützt sind“. Diese einfache Maßnahme könne den entscheidenden Unterschied bei der Abwehr von Cyber-Angriffen ausmachen.

Entspannte Urlaubszeit genießen – und darum Wachsamkeit beibehalten!

„Der Sommer ist eine Zeit der Entspannung, aber wir dürfen unsere Wachsamkeit nicht vernachlässigen, wenn es um die Cyber-Sicherheit geht“, betont Eggerling.

Damit wir unseren Urlaub unbeschwert genießen können, müssten wir unsere Geräte schützen: „Wenn wir ein paar einfache Schutzmaßnahmen befolgen, können wir die meisten Cyber-Angriffe verhindern und unsere Daten schützen“, so Eggerlings Empfehlung (nicht nur für die Urlaubszeit).

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2024
Urlaub kommt so unerwartet wie Weihnachten: Aufmerksamkeitsdefizite bei der Cyber-Sicherheit drohen / Sophos gibt Tipps, um insbesondere die Ferienzeit ohne „Cyber-Frust“ genießen zu können

datensicherheit.de, 22.06.2024
Cyber-Gefahren im Urlaub: Vier von fünf Deutschen ignorieren Risiken öffentlicher WLAN-Netze / Genau hierbei lauern erhebliche Risiken wie das Mitlesen des Datenverkehrs durch Cyber-Kriminelle

datensicherheit.de, 11.06.2024
Check Point: Warnung vor Betrug bei der Urlaubsbuchung / Check Point Research gibt Tipps, wie sich Nutzer schützen können

datensicherheit.de, 22.04.2024
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren / Bevorstehenden Pfingst- und Sommerferien sich auch wieder Hochsaison für Cyber-Kriminelle

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

[datensicherheit.de, 23.02.2023] Laut einer aktuellen Meldung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist mit der Etablierung von „Cell Broadcast“ als weiteres Warnmittel „ein weiterer wichtiger Schritt zur Stärkung des Bevölkerungsschutzes erreicht“.

Cell Broadcast seit 23. Februar 2023 endgültig im Wirkbetrieb

Nach erfolgreichem Probebetrieb am „Warntag 2022“ sei „Cell Broadcast“ nun am 23. Februar 2023 endgültig in den Wirkbetrieb gegangen:

„Nun können auch alle Lagezentren der Bundesländer eine Warnung über ,Cell Broadcast’ zusätzlich zu den bereits existierenden Warnmitteln auslösen.“ Damit sei ein weiterer wichtiger Schritt zur Stärkung des Bevölkerungsschutzes erreicht worden.

Cell Broadcast als Erweiterung der in Deutschland verwendeten Warnmittel

„Cell Broadcast“ ist demnach eine Warnnachricht, welche direkt auf das Mobiltelefon geschickt wird. Über kein anderes Warnmittel könnten mehr Menschen erreicht werden.

„Cell Broadcast“ stelle somit eine wichtige Erweiterung der in Deutschland verwendeten Warnmittel wie z.B. Sirenen, Radio und Fernsehen, Warn-Apps oder digitale Stadtinformationstafeln dar.

Cell Broadcast: Warnungen nutzen Standardtechnologie des Mobilfunknetzes

Für „Cell Broadcast“-Warnungen werde eine Standardtechnologie des Mobilfunknetzes genutzt: „Handys und Smartphones registrieren sich automatisch in einer sogenannten Funkzelle, über die ein Netzempfang hergestellt wird.“

Der Vorteil dabei sei, dass so alle Personen anonym erreicht werden könnten. Der hierfür erforderliche Datenverkehr werde auch durch ein erhöhtes Aufkommen an Mobilfunk-Gesprächen nicht beeinflusst – „so funktioniert ,Cell Broadcast’ auch in stark ausgelasteten Netzen“.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
BBK / Cell Broadcast

datensicherheit.de, 08.12.2022
Warntag 2022: BBK meldet Erfolg / Warnsysteme haben ausgelöst – bundesweit erstmalige Erprobung von Cell Broadcast

[datensicherheit.de, 26.04.2022] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) unterstreicht in seiner aktuellen Stellungnahme, „dass auch nach drei Jahren Geltung des Geschäftsgeheimnisschutz-Gesetzes viele Unternehmen die Anforderungen an den Schutz nicht kennen oder nicht wirksam umsetzen“:

Schutz von Know-how, Betriebsgeheimnissen und internem Sonderwissen laut TeleTrusT europaweit auf neue Stufe gehoben

Vor genau drei Jahren sei das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten.

„Damit wurde der Schutz von Know-how, Betriebsgeheimnissen und internem Sonderwissen europaweit auf eine neue Stufe gehoben.“

Geschäftsgeheimnisse könnten mannigfache Informationen sein, z.B. aus den Bereichen Entwicklung, Fertigung, Vertrieb, Marketing, Forschung und nicht zuletzt IT und auch IT-Sicherheit.

TeleTrusT: Geheimnisse im Unternehmen auch tatsächlich schützen!

Inzwischen lägen die ersten Gerichtsurteile vor. RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG „Recht“ erläutert: „Es zeigt sich, dass der gesetzliche Schutz von Know-how Zähne hat. Während es nach dem alten Recht oft schwierig war, darzulegen und zu beweisen, dass ein Geheimnis rechtswidrig verwendet worden ist, erleichtert die neue gesetzliche Grundlage diesen Schritt erheblich.“

Viele Unternehmen unterschätzten jedoch zum einen den breiten Anwendungsbereich des Gesetzes und damit „die Vielfältigkeit der Informationen, die geschützt werden können“.

Zum anderen zeige sich eine Herausforderung auf anderer Ebene: „Der neue Schutz des Geschäftsgeheimnisses setzt voraus, dass die Geheimnisse im Unternehmen auch tatsächlich geschützt werden.“

TeleTrusT sieht Informations- und IT-Sicherheit einmal mehr im Blickpunkt jeder Geschäftsführung

Es seien also technische und organisatorische Maßnahmen, sogenannte angemessene Geheimhaltungsmaßnahmen, zu ergreifen und nachweisbar zu dokumentieren, wenn der Schutz gegenüber Dritten in Anspruch genommen werden soll.

„Gibt es diese Maßnahmen nicht im gesetzlichen Umfang oder können sie im Verfahren nicht nachgewiesen werden, wird der Prozess verloren“, stellt Bartels klar.

Damit rücke die Informations- und IT-Sicherheit einmal mehr in den Blickpunkt einer jeden Geschäftsführung. Ohne IT-Sicherheit lasse sich ein Geschäftsgeheimnis weder tatsächlich bewahren noch rechtlich schützen.

 „Cloud Security 2021“ kürzlich vorgestellt

[datensicherheit.de, 21.05.2021] Datenklassifizierung ist wie ein guter Vorsatz, den man zu Silvester für das neue Jahr fasst. Man weiß, dass es irgendwie sinnvoll ist, und doch schiebt man es immer wieder auf – schließlich ging es bisher ja auch ohne. Doch spätestens, wenn die Firmendaten in die Cloud wandern, sollte man sie zuvor umfassend kategorisiert haben.

Studie zeigt: Datenklassifizierung ist auf dem Radar

Die kürzlich vorgestellte IDG Studie „Cloud Security 2021“ [1] beschäftigt sich mit dem großen Thema der Datensicherheit in der Cloud und beleuchtet viele zentrale Aspekte, wie beispielsweise Verschlüsselung, Datendiebstahl oder das geplante Security-Budget der befragten Firmen. Auch das bisweilen stiefmütterlich behandelte Thema Datenkategorisierung wird unter die Lupe genommen. Die Ergebnisse zeigen deutlich, dass die Notwendigkeit für eine Klassifizierung der firmeneigenen Daten von den meisten Studienteilnehmern erkannt wurde. Immerhin antworten 53 Prozent der Entscheider auf die Frage „Erfolgt in Ihrem Unternehmen eine Kategorisierung, welche Art von Daten bzw. Dokumenten mit welchen Cloud-Diensten verarbeitet werden darf“ mit einem entscheidenden „JA“; wichtigstes Kriterium hierbei ist die Verwendung der Daten. Elf Prozent der befragten DACH-Unternehmen planen hingegen keine Kategorisierung vor der Datenübertragung in die Cloud.

Knapp ein Drittel der Entscheider will Daten zukünftig klassifizieren

Ganze 29 Prozent – und somit knapp ein Drittel aller Entscheider – haben zumindest vor, ihre Daten zukünftig einer Klassifizierung zu unterziehen, bevor sie diese in die Cloud übermitteln. Doch damit verschieben sie die nicht unerhebliche Entscheidung einer klaren Trennung ihrer Daten auf eine ungewisse Zukunft; vielleicht passiert dies noch vor der ins Auge gefassten Cloud-Migration – vielleicht aber auch erst Monate oder gar Jahre später. Dieses zögerliche Entscheidungsverhalten birgt große Risiken. Denn spätestens, wenn unternehmenskritische Daten aufgrund einer aufgeschobenen Klassifizierung in die falschen Hände gelangen, wird den Verantwortlichen das Gewicht ihrer Versäumnisse bewusst. Dies spielt besonders bei stark regulierten Branchen, die derzeit verstärkt in die Cloud drängen, eine entscheidende Rolle [2].

Karl Altmann, CEO uniscon, Bild: uniscon

„Ein Datenleck von personenbezogenen Daten kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen.“ warnt Karl Altmann, CEO des Münchner Business-Cloud-Anbieters uniscon.

Daher sei allen IT-Verantwortlichen angeraten, sich unbedingt vor der Cloud-Migration die nötigen Gedanken über eine Unterteilung ihres Datenbestandes gemäß ihrer Kritikalität zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit

privacyblog
IDG Studie „Cloud Security 2021“: Datenklassifizierung in der Cloud

Fast jeder schon mal von E-Mail-Phishing betroffen

[datensicherheit.de, 29.03.2021] KnowBe4 hat nach eigenen Angaben die Schutzmaßnahmen und die Häufigkeit von verschiedenen Phishing-Arten untersucht. Diese Umfrage, an der demnach 180 Verbraucher aus Deutschland teilgenommen haben, zeige, „dass fast jeder schon mal von E-Mail-Phishing betroffen war und die wenigsten von ,Vishing‘, also Phishing per Anruf“ – dazu zähle zum Beispiel der sogenannte „Enkeltrick“. „Die Angriffe werden zudem immer raffinierter, Arbeitnehmer – gerade auch im Home-Office – sind folglich laufend komplexer werdenden Manipulationstechniken durch ,Social Engineering‘ ausgesetzt.“ Schulungen in diesem Bereich seien deshalb eine wichtige Maßnahme, um dieses Einfallstor zu schließen.

KnowBe4-Umfrage: Erfahrungen mit Phishing-Attacken

Vishing, Smishing, Social Media und Website Phishing

So gut wie jeder, der ein E-Mail-Account hat, habe bereits Erfahrung mit Phishing gemacht: Kaufangebote, die zum schnellen Klick verleiten, aber auch falsche E-Mails, die angeblich von der eigenen Bank stammen oder Geldtransfer-Aufforderungen seien häufig Thema dieser Masche. Viele Computerbesitzer wüssten jedoch nicht, dass Datendiebstahl per E-Mail nicht die einzige Form dieser Angriffstechnik ist.
Es gebe noch viele andere Versionen, beispielweise „Vishing“, („Voice Phishing“), „Smishing“ („SMS Phishing“), „Social Media Phishing“ und „Website Phishing“ (verseuchte „Adware“). Denn auch harmlos aussehende Anzeigen auf Webseiten könnten Fallen darstellen. „,Social Media Phishing‘ zeige sich in Form von ,Bots‘ und ,Fake Shops‘, die angeklickt werden können oder häufig Links anbieten“.

E-Mail-Phishing immer noch häufigste Art der versuchten Datenabgriffe

Die Ergebnisse dieser Umfrage machten deutlich, dass E-Mail-Phishing immer noch die häufigste Art der versuchten Datenabgriffe (fast 80%) sei, gefolgt an zweiter Stelle von „Social Media Phishing“ (43%); danach folge „Website Phishing“ (35 Prozent), „SMS Phishing“ (28%) und zuletzt „Voice Phishing“ mit 20 Prozent.
Ebenfalls untersucht worden sei, wie sich die Befragten dagegen schützen. „Dabei gab die Hälfte an, eine Firewall und ein Antivirus-Programm installiert zu haben und zusätzlich noch jeden Link händisch zu prüfen, der ihnen geschickt wurde. 45 Prozent meinten, dass sie niemals auf Links klicken würden, welche ihnen übermittelt werden.“ 40 Prozent hätten angegeben, dass sie für jedes Online-Konto ein anderes Passwort nutzen würden. Ungefähr ein Drittel der Befragten gäben in Online-Shops so wenig wie möglich persönliche Daten preis. 27 Prozent meinten, dass sie nach jeder unvorsichtigen Aktion alle ihre Passwörter ändern würden. Ein Viertel sage außerdem, sie würden die betreffende Einrichtung (Bank, Online-Shop) informieren, wenn ihnen ein Anruf verdächtig vorkommt. Allerdings gäben nur zwölf Prozent an, einen verdächtig aussehenden Link selbst in die URL-Zeile händisch einzugeben, um die Adresse zu überprüfen.

So gut wie kein Befragter von Phishing verschont geblieben

Darüber hinaus sei abgefragt worden, durch welche weiteren Schutzmaßnahmen sich die Befragten sonst noch absichern. Nur 62 Prozent der Teilnehmer seien sich sicher, „dass sich auf ihrem Laptop/Computer keine wichtigen Daten befinden, deshalb würde es einem Cyber-Kriminellen nichts bringen, zu diesem Zugriff zu haben“. Nur 38 Prozent fühlten sich in der Lage, sich im Home-Office gut schützen können, da sie durch ihre Arbeitgeber im Bereich „Security Awareness“ geschult worden seien. 15 Prozent seien sogar der Meinung, dass sie zuhause einen besseren Schutz hätten als ihr Arbeitgeber.
Zusammenfassend lasse sich festhalten, dass so gut wie kein Befragter von Phishing verschont bleibe und es immer noch zu wenig Verbraucher gebe, welche wüssten, wie man sich richtig schützt. Die Mehrheit der Cyber-Attacken begännen mit Phishing. Täglich seine mehr als drei Milliarden gefälschte E-Mails im Umlauf. Für Unternehmen sei es deshalb wichtig, die „Last line of defense“, den Mitarbeiter, zu schulen und ihn für solche Angriffstechniken zu sensibilisieren, da auch E-Mail-Filter bei weitem nicht alle dieser Mails erkennen würden.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2021
Phishing bleibt Hackers Liebling: Einem der ältesten Hacker-Tricks endlich einen Riegel vorschieben / Wenn Cyberkriminelle Zugang zu legitimen Anmeldedaten erhalten, kann dies für Unternehmen verheerende Folgen haben

datensicherheit.de, 02.03.2021
Corona-Phishing: Der erhöhten Bedrohung begegnen / m2solutions gibt Tipps zum Erkennen und zur Abwehr von Phishing-Attacken

[datensicherheit.de, 06.01.2021] Diebstahl, Schadprogramme oder Spyware: Smartphones sind offenkundig ein beliebtes Ziel für Kriminelle. Deshalb ergriffen die allermeisten Nutzer zumindest grundlegende Schutzmaßnahmen gegen unerwünschte Zugriffe: Mit 96 Prozent hätten fast alle Smartphone-Nutzer eine Bildschirmsperre eingestellt, neun von zehn (90 Prozent) einen SIM-Karten-Schutz aktiviert. Dabei sperre sich das Handy, sobald die SIM-Karte entfernt wird. Schon deutlich weniger (61 Prozent) nutzten eine Lokalisierungsfunktion zum Aufspüren des Smartphones, wenn das Gerät verloren geht oder gestohlen wird. Dies seien Ergebnisse einer repräsentativen Umfrage von mehr als 1.000 Smartphone-Nutzern in Deutschland ab 16 Jahren im Auftrag des Digitalverbands bitkom durch Bitkom Research. Dazu seien 1.198 Personen in Deutschland, darunter 1.003 Smartphone-Nutzer, telefonisch befragt worden. Die Fragen lauteten: „Welche Sicherheitsprogramme oder -maßnahmen nutzen Sie auf Ihrem privaten Smartphone?“ und „Welche Sicherheitsverfahren nutzen Sie aktuell zum Entsperren Ihres privaten Smartphones?“

Auf Basis-Schutz sollte kein Smartphone-Nutzer verzichten!

„Auf einen Basis-Schutz sollte kein Smartphone-Nutzer verzichten“, rät Sebastian Artz, IT-Sicherheitsexperte beim bitkom. Um gegen Software-Sicherheitslücken gewappnet zu sein, reiche zumeist schon das regelmäßige Aktualisieren des Smartphone-Betriebssystems und der installierten Apps.
Mehr als jeder Zweite (55 Prozent) erstelle auch regelmäßig Backups seiner Smartphone-Daten – entweder in der Cloud (31 Prozent) oder auf externen Datenspeichern (27 Prozent). Virenschutzprogramme hätten 43 Prozent installiert. Jeder Sechste (16 Prozent) decke seine Smartphone-Kamera ab und 13 Prozent nutzten einen Passwort-Safe zur sicheren und zentralen Verwaltung von Passwörtern auf dem Smartphone.

Jeder Zweite entsperrt den Smartphone-Bildschirm per Fingerabdrucksensor

Bei der Bildschirmsperre gebe es verschiedene Verfahren, aus denen Nutzer wählen könnten. Am beliebtesten sei immer noch ein Code (oder eine PIN), der zum Entsperren eingegeben werden müsse. Knapp zwei Drittel der Smartphone-Nutzer (64 Prozent) vertrauten darauf. Per Fingerabdrucksensor schütze jeder Zweite (51 Prozent) seinen Bildschirm. Ähnlich viele (50 Prozent) setzten auf ein Muster. 15 Prozent nutzten eine Gesichtserkennung, um den Smartphone-Bildschirm zu entsperren.
Bislang kaum verbreitet seien Erkennungsverfahren per Stimme (4 Prozent) oder Iris-Scan (2 Prozent). „Wichtig ist, dass die Bildschirmsperre in jedem Fall aktiviert ist“, sagt Artz und rät: „Eine PIN sollte mindestens sechsstellig und keine naheliegenden Kombinationen sein wie das eigene Geburtsdatum.“

Weitere Informationen zum Thema:

bitkom
10 Tipps, wie Sie Ihr Smartphone sicher machen

datensicherheit.de, 06.01.2021
Malware macht mobil: Zunehmend Schadsoftware auf Smartphones / PSW GROUP warnt vor DDoS-Attacken über mobile Botnetze und Verteilung von Malware über offizielle App-Stores

Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

[datensicherheit.de, 09.08.2020] Phishing gehört offensichtlich zu den erfolgreichsten Cyber-Attacken. „Es ist schon länger bekannt, dass sich auch Cyber-Kriminelle an die aktuelle Situation angepasst haben und ihre Angriffe auf Unternehmen ständig verfeinern, um zu ihrem Ziel zu gelangen“, betont Tim Berghoff, „Security Evangelist“ bei G DATA, in seiner aktuellen Stellungnahme. Laut einer kürzlich veröffentlichten Meldung von Interpol sähen sich nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt. Diese basierten oft auf einem Mangel an Informationen und einem gesteigerten Informationsbedarf in Bezug auf Themen rund um die „Corona“-Thematik. Dem entgegen stehe das zu Beginn der Krise von einigen Hacker-Gruppen gegebene Versprechen, während der „Pandemie“ explizit keine Krankenhäuser anzugreifen.

Foto: G Data

Tim Berghoff: Viele Vorfälle, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangt…

Kritischen Infrastruktur im Visier: Opfer von Ransomware- und Phishing-Kampagnen

Angriffe dieser Art indes seien nicht neu: „Schon häufiger waren Organisationen, die zur Kritischen Infrastruktur gehören, Opfer von Ransomware- und Phishing-Kampagnen.“
So habe es Anfang 2016 der erfolgreiche Ransomware-Angriff auf das Lukas-Krankenhaus in Neuss zu großer medialer Aufmerksamkeit gebracht, in dessen Folge dessen Arbeitsabläufe in vielen Bereichen behindert worden seien. „Es dürften viele weitere Fälle dieser Art existieren, von denen allerdings nur ein Bruchteil an die Öffentlichkeit gelangte“, so Berghoff.

Phishing und andere Cyber-Angriffe: Nur eine Frage der Zeit

Daher empfiehlt er: „IT-Verantwortliche im Health-Sektor sollten die derzeitige Bedrohungslage vor Augen haben und Gegenmaßnahmen ergreifen.“ Hierunter fällt demnach etwa eine effektive Antivirus-Software, die es zu jeder Zeit auf dem aktuellsten Stand zu halten gelte. „Auch Lösungen zum E-Mail-Schutz, die eingehende Mails auf verdächtige, beziehungsweise schädliche Anhänge und Links untersuchen, stellten sich bereits in der Vergangenheit als wichtige Komponente für die IT-Sicherheit dar.“
Zwar habe sich hierbei schon eine Menge getan, aber ein Aspekt, der oft genug vernachlässigt werde, sei, „dass die Frage nicht lautet, ob es einen erfolgreichen Angriff geben wird, sondern wann das passieren wird“. Oberstes Ziel sei nicht die Verhinderung von Angriffen mit aller Macht, sondern die Erhaltung der eigenen Handlungsfähigkeit im Falle eines erfolgreichen Angriffs, unterstreicht Berghoff.

Mitarbeiter über E-Mail-Anhänge und Phishing-Webseiten aufklären!

Der wichtigste Faktor allerdings, den es bei der Stärkung der IT-Sicherheit zu beachten gelte, sei der Mitarbeiter. Rein technische Lösungen hätten naturgemäß dort ihre Grenzen, „wo es um menschliche Verhaltensweisen des Mitarbeiters geht“:
Ist dieser ausreichend geschult und über die Gefahren schadhafter E-Mail-Anhänge und Phishing-Webseiten aufgeklärt, könnten viele Sicherheitsvorfälle schon im Ansatz verhindert werden. Es gelte, ein Bewusstsein für die potenziellen Folgen unbedachter Klicks oder Eingaben zu schaffen, ohne Mitarbeiter dabei einzuschüchtern.

Phishing rechtzeitig erkennen: Wissen um sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen!

Einen ersten Schritt könnten etwa Leitfäden darstellen, welche „die gängigsten Angriffsformate beschreiben und Tipps geben, wie man unseriöse Webseiten und Mails erkennt“. Den zweiten Schritt sollten „Security Awareness Trainings“ bilden, welche „das Wissen um den sicheren Umgang mit E-Mails und Webseiten aufbauen und vertiefen“.
Darüber hinaus schulten einige Awareness-Anbieter Mitarbeiter in anderen wichtigen Praktiken, welche nicht nur die Sicherheit des Unternehmens gewährleisteten, sondern auch den reibungslosen Betrieb. Berghoff: „Hierunter fällt etwa die Durchführung regelmäßiger Backups, um bei Datenverlusten schnell wieder die Arbeit aufnehmen zu können.“

Ausführliche Schulung der Mitarbeiter senkt Gefahrenpotenzial von Phishing- und anderen Cyber-Angriffen

Der Aufbau einer „Security Awareness“ dürfe kein einmaliges Ereignis sein, vielmehr handele es sich um einen kontinuierlichen Prozess. Verantwortliche sollten sich deshalb für einen Anbieter entscheiden, „der nicht nur Tagesschulungen, sondern Online-Kurse mit Sofort-Feedback bereithält“.
Berghoffs Fazit: „Sind Mitarbeiter im Gesundheitswesen erst einmal ausführlich geschult, stellen auch immer raffiniertere Cyber-Angriffe eine geringere Gefahr dar und der Betrieb kann sich auch in schwierigen Zeiten seinem eigentlichen Ziel widmen – dem Wohl des Patienten.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2020
Cyber-Protection: Krankenhäuser müssen ihre IT schützen / Massive Sicherheitslücken dominieren die IT-Infrastruktur im Gesundheitssektor

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 24.02.2020
BlueKeep: Schwachstelle bereitet Krankenhäusern Ungemach / Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser / Jochen Koehler kommentiert jüngsten Vorfall in Rheinland-Pfalz und im Saarland

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten / Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser / Erneut scheint eine Phishing-E-Mail mit Schadsoftware im Anhang erfolgreich gewesen zu sein

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln / Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON

KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 09.03.2019
Sicherheitslücken: Ultraschallgeräte als Einfallstore in Krankenhäusern / Verlust und zur Weitergabe personenbezogener Daten drohen

In der neuen Podcast-Episode vom TÜV SÜD wirft Matthew Rosenquist einen Blick auf das „New Normal“ in der Cybersecurity insbesondere bei KMU

[datensicherheit.de, 03.08.2020] In der aktuellen Podcast-Episode vom TÜV SÜD wirft der US-amerikanische Experte Matthew Rosenquist einen Blick auf das „New Normal“ in der Cybersecurity – insbesondere bei kleinen und mittleren Unternehmen (KMU). Diese seien noch allzu oft ein leichtes Ziel für Angreifer. Mit ein paar grundlegenden Maßnahmen könnten sich diese aber effektiver schützen, auch ohne dabei teure IT-Lösungen einzusetzen.

Abbildung: TÜV SÜD

Podcast „Folge #20 (Englisch): What’s next in Cybersecurity – and how SMEs can protect themselves“

Irrtum: KMU gehen davon aus, kein attraktives Ziel für Angreifer zu sein

Cyber-Sicherheit sei ein Thema, welches viele KMU oft leider immer noch verdrängten. Sie gingen davon aus, kein attraktives Ziel für Angreifer zu sein, oder glaubten, dass wirksame Schutzmaßnahmen zu komplex oder zu teuer für ihr Unternehmen seien.
„Aber wenn sensible Daten erst einmal in die Hände erpresserischer Cyber-Krimineller gefallen sind, dann ist es definitiv zu spät für Schutzmaßnahmen.“ Denn tatsächlich seien viele KMU gerade deshalb ein attraktives Ziel für Cyber-Kriminelle, „weil sie leicht angreifbar sind“.

Anregungen, wie sich KMU besser schützen können

Im aktuellen TÜV-SÜD-Podcast „Safety First“ wird den Fragen nachgegangen, was die Trends in der Cybersecurity sind und wie sich KMU besser schützen können.
„In dieser Episode spricht der international anerkannte Cyber-Sicherheitsexperte Matthew Rosenquist über das ,New Normal‘ in der Cyber-Ssicherheit nach ,Covid-19‘, über aktuelle Markttrends und darüber, wie KMU ihre Cyber-Sicherheit mit grundlegenden Schritten deutlich verbessern können.“

KMU helfen, Bedrohungen, Kosten und Benutzerfreundlichkeits-Faktoren auszubalancieren

Rosenquist ist laut TÜV SÜD „Chief Information Security Officer“ (CISO) bei Eclipz; er habe lange Jahre bei Intel Corp. gearbeitet, zuletzt als Cyber-Sicherheitsstratege, und verfüge über eine dreißigjährige Erfahrung in der Cyber- und IT-Sicherheit.
„Er etablierte und leitete Intels erstes globales ,24×7 Security Operations Center‘ und war Intels erster ,Incident Commander‘ für weltweite IT-Notfallreaktionen.“ Als Cyber-Sicherheitsstratege habe er aufkommende Risiken und Möglichkeiten identifiziert, um Unternehmen dabei zu helfen, Bedrohungen, Kosten und Benutzerfreundlichkeits-Faktoren auszubalancieren und so ein optimales Sicherheitsniveau zu erreichen.

Egal, ob privat, als Angestellter oder KMU: Risiken der Digitalisierung kennen!

Im Podcast „Safety First“ von TÜV SÜD geht es demnach um „Cybersecurity, Datenschutz und mehr“. Er erscheine zweimal im Monat mit einer neuen Episode.
Ob als Privatmensch, im Job oder als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können.“

Weitere Informationen zum Thema:

TÜV SÜD
Herzlich willkommen zu Safety First, dem Podcast zu Cybersecurity, Datenschutz und mehr von TÜV SÜD!

„Virtual Experience“ von führt die Nutzer auf einen virtuellen Rundgang durch Wohngebäude als auch durch gewerbliche Räume

[datensicherheit.de, 16.07.2020] Die Technologie wird einen entscheidenden Beitrag leisten, wenn es darum geht, dem Einzelnen Sicherheit und Schutz zu bieten – sowohl im gewerblichen als auch im privaten Bereich. Das ist die Überzeugung von 2N, einem weltweit tätigen Unternehmen für internetfähige Gegensprechanlagen und Zugangskontrollsystemen. Diese Ansicht ist nach Unternehmensangaben begründet, da Verwalter von Gewerbe- und Wohnimmobilien, Architekten und Planer nach innovativen Lösungen suchen, um die physische Distanzierung und Hygienemaßnahmen aufrechtzuerhalten.

Der Nutzen der Technologie zur Verwaltung des Zugangs zu Gebäuden oder Stockwerken für Kollegen, geladene Gäste und Lieferanten wird immer mehr geschätzt. Technologie ermöglicht soziale Interaktion in sicherer Entfernung und schützt gleichzeitig vor unberechtigtem Zutritt von Fremden.

Michal Kratochvíl , CEO von 2N, Bild: 2N

Michal Kratochvíl, CEO von 2N, sagt: „COVID-19 hat neue Herausforderungen für den Sektor der Gewerbe- und Wohnimmobilien mit sich gebracht, und als Folge davon sehen wir eine steigende Nachfrage nach unserer Technologie. Früher konzentrierten sich unsere Kunden auf die Bereitstellung von Komfort, Flexibilität und Sicherheit, aber die Zeiten haben sich geändert. Diese Faktoren sind nach wie vor wichtig, aber Architekten, Planer und Immobilienverwalter suchen nach Möglichkeiten, den Bewohnern zu helfen, physische Distanz und Hygienepraktiken einzuhalten. Wir haben ein neues 3D-Animationstool  eingeführt, um den Planungsprozess zu unterstützen und dabei zu helfen, die richtigen Lösungen für ihre Gebäude zu liefern.“

2N hat die neue 3D-Animations-Initiative entwickelt, um Architekten, Planer und Immobilienverwalter bei der Identifizierung von Bereichen in ihren Gebäuden zu unterstützen, die von Zugangskontrolle und Türkommunikation profitieren können.

Die Anwendung „Virtual Experience“ von 2N führt die Nutzer auf einen virtuellen Rundgang sowohl durch Wohngebäude, einschließlich Wohnblöcke und Einfamilienhäuser, als auch durch gewerbliche Räume, um durch eine 360°-Perspektive mehr Informationen über relevante Produkte zu erhalten und zu erfahren, wie diese an individuelle Bedürfnisse angepasst werden können.

Darüber hinaus ermöglicht die Anwendung den Bewohnern zu sehen, wie die Technologie ihnen einen direkten Nutzen bringen kann, indem sie ihnen ein neues Maß an Sicherheit und Schutz bietet. Dazu gehört die Möglichkeit, die Gegensprechanlage per Mobiltelefon zu beantworten und Türen ferngesteuert zu öffnen.

Weitere Informationen zum Thema:

2N
2N Virtual Experience

datensicherheit.de, 19.06.2020
2N gibt Marktstart in der DACH-Region bekannt

datensicherheit.de, 13.05.2020
Herkulesaufgabe: Cybersicherheit und ein Produkt in Einklang zu bringen

Oft unterschätzt, aber dennoch sehr wichtiges Thema für IT-Sicherheitsabteilungen

[datensicherheit.de, 25.09.2019] Venafi hat kürzlich mit Next-Gen Code Signing eine Lösung zum Schutz von Maschinenidentitäten vorgestellt, bei der die Code-Signatur unternehmensweit abgesichert und vor unbefugter Nutzung geschützt wird. Im Interview mit Kevin Bocek geht Herausgeber Carsten J. Pinnow von datensicherheit.de (ds) der Frage nach, warum Code Signing ein oft unterschätztes, obwohl wichtiges Thema für IT-Sicherheitsabteilungen ist.

Foto: Venafi

Kevin Bocek, „Vice President, Threat Intelligence and Security Strategy“ bei Venafi

ds: Was ist Code Signing und wie funktioniert der Code Signing Prozess?

Bocek: Wenn der Code eines Unternehmens mit einem Zertifikat signiert wird, soll dieser bestätigen, dass die Firma, der Autor und der Code vertrauenswürdig ist. Damit werden die Zuverlässigkeit und Integrität der Software gewährleistet. Die Kunden des Unternehmens erwarten diese Eigenschaften von deren Software-Produkten und Online-Dienstleistungen. Ein Unternehmen signiert seine Software mit Code Signing-Zertifikaten, um sicher zu stellen, dass diese Kundenanforderungen erfüllt werden. In Zukunft werden nicht nur Anwendungen, sondern Container, server-lose Funktionen, Transaktionen und vieles mehr auf Code Signing angewiesen sein, um sich und die Entwickler als vertrauenswürdig auszuweisen.

Code Signing-Zertifikate können verwendet werden, um jeden Code zu signieren und dieser kann außerdem mit einem Zeitstempel versehen werden, der theoretisch ins unendliche läuft. Infolgedessen kann Malware mit gestohlenen Credentials einen nachhaltigen Einfluss auf Unternehmen haben und zu Umsatzeinbußen, verlorenem Kundenvertrauen oder sogar zu Schäden an Industrieanlagen führen. Darüber hinaus hängt auch die Markenreputation davon ab und das Unternehmen muss sogar die gesetzliche Haftung für den Code übernehmen. Letztlich ist das kein Fehler bei der Code-Signierung im Sinne einer Sicherheitskontrolle, sondern ein Fehler beim Schutz von Code Signing Prozessen. Während Code Signing kritische Sicherheitseinrichtungen wie private Schlüssel und Zertifikate beinhaltet, werden bei der Absicherung dieser Vermögenswerte häufig schlechte Signatur-Praktiken angewendet. Die Code-Signatur wird häufig von Entwicklern und nicht den IT-Sicherheitsabteilungen durchgeführt und verwaltet. Deshalb sind auch sie damit betraut, obwohl eigentlich die IT-Sicherheitsabteilungen für die Sicherheit des Unternehmens verantwortlich sind. Meistens haben sie daher keine Kontrolle oder Einblick in die Code Signing-Prozesse.

ds: Warum sind Code Signing-Schlüssel und Zertifikate wichtig für die IT-Sicherheit in Unternehmen?

Bocek: Führungskräfte in Unternehmen wissen, dass Code Signing ein wichtiges Tool zur Sicherheitskontrolle ist, sowohl für die Selbstverteidigung als auch für den externen Reputationsschutz. Die meisten Unternehmen übersehen jedoch die Sicherung kritischer Aspekte des Prozesses, durch den der Code signiert wird, z.B. wer eigentlich dazu berechtigt ist, ihn zu signieren, wer diesen Prozess genehmigen muss und welche Zertifikate zur Verwendung genutzt werden dürfen. Dies macht Unternehmen anfällig für Sicherheitslücken. Wenn die Code Signing-Schlüssel und Zertifikate, die als Maschinenidentitäten dienen, in die Hände von Angreifern fallen, können sie enormen Schaden anrichten.

ds: Inwieweit können Cyberkriminelle diese Prozesse nutzen, um einem Unternehmen Schaden zuzufügen?

Bocek: Code Signing-Prozesse werden dafür verwendet, um die Authentizität von Software-Updates für eine Vielzahl von Softwareprodukten zu sichern und sicherzustellen, einschließlich Firmware, Betriebssysteme, mobile Anwendungen und Anwendungscontainer-Images. Allerdings werden über 25 Millionen bösartige Binärdateien mit Code Signing-Zertifikaten aktiviert, und Cyberkriminelle missbrauchen diese Zertifikate bei ihren Angriffen. So haben Sicherheitsforscher kürzlich bösartige Akteure entdeckt, die Malware in Antivirenprogrammen verstecken, indem sie Uploads mit gültigen Code Signing-Zertifikaten signierten.

ds: Ist dies ein bekanntes Problem und was können Unternehmen tun, um es zu lösen?

Bocek: Entwicklungsteams, die keine privaten Schlüssel sichern, sind einer der größten Faktoren, der zum Diebstahl oder Missbrauch von Code Signing-Zugangsdaten führt. Diese Schlüssel könnten auf dem Desktop-Computer, einem Server, einem virtuellen Server oder sogar einem Webserver gespeichert werden. Diese Praktiken gefährden kritische Vermögenswerte, da Cyberkriminellen oder sogar böswillige Mitarbeiter innerhalb des Unternehmens darauf zugreifen könnten. Ohne globale Transparenz ist es für IT-Sicherheits-Teams sehr schwierig das Ausmaß des Risikos zu verstehen, das durch ungeschützte private Schlüssel verursacht wird. Das delegieren der Kontrolle des privaten Schlüsselzugriffs auf die Entwickler erhöht die Wahrscheinlichkeit von Kompromittierungen und bietet wenig Möglichkeiten für eine Schadensbegrenzung.

ds: Wie können Unternehmen aus Expertensicht ihre Code Signing-Schlüssel und Zertifikate besser vor Cyberkriminellen schützen?

Bocek: Sichere CodeSigning-Prozesse ermöglichen es Apps, Updates und Open-Source-Software sicher zu betreiben. Wenn diese aber nicht geschützt sind, können Angreifer sie in leistungsstarke Cyberwaffen verwandeln. Code Signing-Zertifikate waren der Hauptgrund, warum Stuxnet und ShadowHammer so erfolgreich waren. Die Realität ist, dass jedes Unternehmen heute im Bereich der Softwareentwicklung tätig ist, von Banken über Einzelhändler bis hin zu Herstellern. Wenn Sie Code erstellen, Container bereitstellen oder in der Cloud laufen, müssen Sie sich ernsthaft mit der Sicherheit Ihrer Code Signing-Prozesse befassen, um Ihr Unternehmen zu schützen. Sicherheitsteams und Entwickler betrachten die Sicherheit von CodeSigning auf völlig unterschiedliche Weise. Entwickler sind in erster Linie darüber besorgt, dass sie aufgrund der Methoden und Anforderungen ihrer Sicherheitsteams in ihrer Arbeit behindert werden. Diese Trennung schafft oft eine chaotische Situation, die es Angreifern ermöglicht, Schlüssel und Zertifikate zu stehlen. Um sich und ihre Kunden zu schützen, müssen Unternehmen genau verstehen, wo Code Signing verwendet wird, die Kontrolle darüber haben, wie und wann Code Signing erlaubt ist, und die Integration zwischen Code Signing und Development Build-Systemen vorantreiben. Dieser umfassende Ansatz ist der einzige Weg, um Risiken erheblich zu reduzieren und gleichzeitig die Geschwindigkeit und Innovationskraft zu bieten, die Entwickler und Unternehmen heute benötigen.

Sicherheits-Teams müssen einen Dienst bereitstellen, der für alle Entwickler einfach zu bedienen ist. Dies erspart letzteren die Arbeit mit Code-Signing und bietet ersteren die notwendige Transparenz, Intelligenz und Kontrolle, um Code-Signing zu schützen.

Unternehmen können zudem fünf Ratschläge befolgen, um ihre Code Signing-Prozesse besser zu schützen:

1. Globale Sichtbarkeit schaffen
   Der erste Schritt zur Absicherung des Code Signing-Prozesses ist es, dass IT-Sicherheitsabteilungen eine vollständige Transparenz im gesamten Unternehmen für alle Code Signing-Aktivitäten erreichen müssen:
   • Wissen, welcher Code signiert wird, unabhängig davon, ob er für den internen oder externen Gebrauch signiert wird oder nicht.
   • Wissen, welche Code Signing-Zertifikate verwendet werden und die Zertifizierungsstelle (CA), von der sie kommen, einschließlich intern erstellter Zertifikate.
   • Wissen, wer den Code signiert hat, welche Maschine es war, wer wann angemeldet war und mit welchem Signierwerkzeug der Code signiert wurde.
   • Wissen, wer, wenn überhaupt, den Code während des Signiervorgangs genehmigt hat.
2. Zentrale Sicherung aller Code Signing Private Keys
   Der nächste Schritt ist, die Schlüssel für die private Code-Signatur auszuschalten, dafür müssen Maschinenidentitäten von allen Entwickler-Computern, Build-Servern, Web-Servern, etc. in einen verschlüsselten, sicheren und zentralisierten Speicher verwaltet werden.
   Private Schlüssel sollten diesen Ort niemals verlassen. Unternehmen müssen entsprechende Speichermöglichkeiten zur Verfügung stellen. Ein Beispiel sind Extended Validation (EV)-Zertifikate, sie müssen in einem Hardware-Sicherheitsmodul (HSM) gespeichert werden. Darüber hinaus verlangen einige Compliance-Vorschriften, dass die privaten Schlüssel eines Unternehmens sich an einem bestimmten Ort befinden. Deshalb muss jedes Unternehmen möglicherweise an mehreren Standorten sichere Lösungen anbieten, um alle Anforderungen zu erfüllen.
3. Definition und Durchsetzung von Richtlinien mit Automatisierung
   Einer der Gründe, warum Entwicklungsteams sich gegen eine unternehmensweite Zusammenarbeit wehren, sind Richtlinien. Dabei handelt es sich bei den meisten Fällen um manuelle Prozesse, um die spezifischen Bedürfnisse ihrer Projekte zu erfüllen. Aus diesem Grund sollten Unternehmen eine Plattform für die Code-Signatur bereitstellen, die es jedem Entwicklungsteam ermöglicht, seine Entwicklungsumgebung zu definieren.Code Signing Richtlinien und Workflows:
   • Wer ist berechtigt, den Code zu unterschreiben?
   • Welche Code Signing Tools sind autorisiert?
   • Welche Zertifikate sind erlaubt?
   • Wer muss die Code-Signatur genehmigen, basierend auf dem Zertifikatstyp oder der Phase der Softwareentwicklung.

   Diese Plattform muss dann automatisch durchsetzen, dass diese definierten Richtlinien durch Workflow-Automatisierung durchgesetzt werden. Um die Akzeptanz zu gewährleisten, sollte die Plattform Code Signing Tools von Drittanbietern integrieren können, die sich bereits in der Nutzungs- und Unternehmensplattformen befinden, z.B. Active Directory, Ticketingsysteme und andere SIEM-Tools.

4. Mehr Geschwindigkeit und Benutzerfreundlichkeit des Code Signing-Prozesses
   Es ist eine unerwünschte Belastung für die Softwareentwicklung, wenn die Teams, um ihre Code Signing Aktivitäten zu verwalten, die verwendenden Zertifikate ermitteln müssen. In bestimmten Situationen dauert das Anfordern einer Code-Signierung eines Zertifikats von einer CA länger und dann wären da noch Verlängerungen, etc. Das alles braucht Zeit und Fachwissen. Wenn IT-Sicherheitsteams in der Lage sind, diese Belastung mit einer automatisierten, flexiblen Plattform, die die Bedürfnisse der Entwicklungsteams unterstützt, werden diese in der Lage sein, ihr Ziel einer schnelleren Softwarebereitstellung zu erreichen. Aber es muss bedacht werden, dass die angebotene Lösung nicht in der Lage sein darf neue Belastungen einführen.
5. Konformität anzeigen
   IT-Sicherheitsteams sind damit beauftragt, die Sicherheit der Unternehmensinformationen und -daten, einschließlich der Codes Signing-Anmeldeinformationen zu schützen. Sie müssen in der Lage sein, zu zeigen, dass dieses Ziel effektiv durch einen sicheren Code Signing-Prozess im gesamten Unternehmen erreicht werden kann. Eine Möglichkeit ist eine überprüfbare Aufzeichnung aller Code Signierungen sowie ein Überblick, wo alle privaten Schlüssel gespeichert sind.Venafi Next-Gen Code Signing bietet Funktionen, die alle fünf der oben genannten Schritte zur Sicherung von Code Signing-Prozessen umsetzen. Darüber hinaus ist es so konzipiert, dass es für kleine Teams bis hin zu Teams mit Zehntausenden von Entwicklern reicht. Außerdem stellt das reichhaltige Venafi-Ökosystem von Partnerintegrationen sicher, dass die Venafi-Plattform mit den gängigsten CAs, HSMs, DevOps-Tools, Softwareentwicklungs-Tools und Build-Infrastrukturumgebungen zusammenarbeitet.Neben der Sicherung von Unternehmenscode-Signierungsprozessen automatisiert Next-Gen Code Signing die Verwaltung aller privaten Schlüssel für die Code-Signierung. Private Code-Signaturschlüssel verlassen niemals die vertrauenswürdige Venafi-Speicherplattform oder angeschlossene Hardware-Sicherheitsmodule (HSMs). Diese neue Lösung bietet IT-Sicherheitsabteilungen umfassende Transparenz und detaillierte Informationen über alle Aspekte der Code-Signierungsvorgänge, einschließlich der Frage, wer den Code und mit welchem Zertifikat signiert, und wer die Anfrage genehmigt sowie wann jede Aktion stattgefunden hat. Auf der Grundlage der Erkenntnisse aus Code Signing-Prozessen liefert Next-Gen Code Signing Compliance- und Audit-Berichte über alle Code Signing-Aktivitäten.

   Zu den Eigenschaften der Code Signing Next-Gen-Technologie gehören:

   • Skalierbarkeit, die Entwickler an einem Standort unterstützen kann, sowie Zehntausende von Entwicklern, die weltweit verteilt sind, und Millionen von Code Signing-Operationen pro Woche durchführen.
   • Automatisierung und Unterstützung für ein breites Spektrum von Softwareentwicklungsprozessen; Entwicklungsteams müssen keine Tools wechseln.
   • Ein zentraler, permanenter Speicherort für private Schlüssel, damit sie geschützt bleiben.
   • Flexible, anpassbare Richtliniendurchsetzung, die die Anforderungen mehrerer Softwareprojekte unterstützt, einschließlich der Genehmigung von Workflows, Zertifikatstypen, Zertifizierungsstellen, HSMs und Softwareentwicklungs-Tools.
   • Ermöglicht es Sicherheitsteams, einen Code Signing-Service bereitzustellen, der Richtlinien durchsetzt und für Entwickler transparent ist.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2019
Venafi-Umfrage: 82% misstrauen gewählten Regierungsvertretern

datensicherheit.de, 22.08.2019
Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 03.07.2017
Online-Wahlen: 70 Prozent halten Hacking-Attacken für wahrscheinlich