[datensicherheit.de, 09.12.2024] Laut einer neuen Untersuchung von CyberArk führen gängige Verhaltensweisen von Mitarbeitern beim Zugriff auf sensible und privilegierte Daten – bewusst oder unbewusst – zu Sicherheitsrisiken, weshalb Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssten. Diese basiert demnach auf einer globalen Umfrage unter 14.003 Arbeitnehmern und gibt Einblicke in die üblichen Verhaltensweisen und Datenzugriffsmuster: „Sie zeigt, dass Sicherheitsteams die Anwendung von Identity-Security-Kontrollen neu überdenken sollten!“ Für diese neue Studie habe Censuswide für ihre Tätigkeit Computer nutzende Arbeitnehmer in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur befragt. Die Erhebung habe zwischen dem 17. und 25. Oktober 2024 stattgefunden.

Mehrheit der Mitarbeiter umgeht Cyber-Sicherheitsrichtlinien

In Deutschland seien hierzu 2.000 Arbeitnehmer befragt worden. Die vier zentralen Ergebnisse laut CyberArk im Überblick:

1. Erkenntnis: Die Mehrheit hat Zugang zu vertraulichen Informationen
86 Prozent der Befragten griffen auf Arbeitsplatzanwendungen, die oft geschäftskritische Daten enthielten, von persönlichen, vielfach unzureichend gesicherten Geräten aus zu. „Die Umfrage bestätigt, dass ein privilegierter Zugang nicht mehr nur IT-Administratoren vorbehalten ist. So geben 38 Prozent an, dass sie häufig Kundendaten herunterladen.“ Ein Drittel sei in der Lage, kritische oder sensible Daten zu ändern, und mehr als 30 Prozent könnten große Finanztransaktionen genehmigen.

2. Erkenntnis: Die Wiederverwendung von Passwörtern ist weit verbreitet
Die Untersuchung habe mehrere Gewohnheiten ermittelt, welche die Sicherheit gefährdeten. So verwendeten 41 Prozent der befragten Mitarbeiter dieselben Anmeldedaten für unterschiedliche arbeitsbezogene Anwendungen, wobei 32 Prozent dieselben Anmeldedaten sowohl für private als auch für berufliche Applikationen nutzten. „71 Prozent der Befragten haben bereits arbeitsplatzspezifische vertrauliche Informationen an Außenstehende weitergegeben.“ Diese Praktiken erhöhten das Risiko von Sicherheitslecks und Sicherheitsverletzungen erheblich.

3. Erkenntnis: Die Mehrheit umgeht Cyber-Sicherheitsrichtlinien
77 Prozent der Befragten beachteten häufig Cyber-Sicherheitsrichtlinien nicht, um sich die Arbeit zu erleichtern. „Zu solchen Praktiken gehören die Verwendung eines Passworts für mehrere Accounts, die Nutzung privater Geräte als WLAN-Hotspots und die Weiterleitung von Unternehmens-E-Mails an private Konten.“

4. Erkenntnis: Die Einführung von KI führt zu weiteren Sicherheitsherausforderungen
80 Prozent der Mitarbeiter nutzten KI-Tools, welche neue Schwachstellen schaffen könnten, „wenn beispielsweise vertrauliche Daten in die Tools eingegeben werden“. Fast die Hälfte (44%) der Beschäftigten halte sich bei der Nutzung von KI-Tools „nur manchmal“ oder „nie“ an die Richtlinien zum Umgang mit sensiblen Daten.

Mit dynamischen Berechtigungskontrollen könnten Sicherheitsteams Angriffe abwehren

Zudem zeige die neue Studie „White FAANG: Devouring Your Personal Data“ der CyberArk Labs, wie der individuelle Browser- und Internetverlauf einzelner Mitarbeiter eine Bedrohung sowohl für ihre Arbeitgeber als auch für ihr Privatleben darstellen könne. So könnten individuelle Browser-Verlaufsdaten leicht gestohlen und als Angriffsvektor auf die Infrastruktur von Unternehmen genutzt werden.

Die Kombination aus besorgniserregenden Mitarbeiteraktionen und der Fähigkeit von Angreifern, den Browserverlauf zu entwenden, erhöhe das Risiko für Unternehmen. „Mit der Implementierung eines robusten Identity-Security-Programms mit dynamischen Berechtigungskontrollen können Sicherheitsteams Angreifer daran hindern, Zugang zu sensiblen und privilegierten Informationen zu erhalten.“

Standardansatz für Sicherheit des Mitarbeiterzugriffs unzureichend

Michael Kleist, „Area Vice President DACH“ bei CyberArk, kommentiert: „Viel zu lange hat sich der Standardansatz für die Sicherheit des Mitarbeiterzugriffs auf grundlegende Kontrollen wie die Authentifizierung über ,Single Sign-on’ konzentriert. Dies ignoriert die sich verändernde Art der Identität: Nahezu jeder Mitarbeiter kann privilegierte Zugriffsrechte erhalten.“

Abschließend gibt Kleist zu bedenken: „Die Untersuchungsergebnisse zeigen, dass risikoreiche Zugriffe fast immer möglich sind und es viele Verhaltensweisen gibt, die zu ernsthaften Sicherheitsproblemen für Unternehmen führen können.“ Deshalb bestehe die dringende Notwendigkeit, die Identitätssicherheit neu zu definieren – „indem jeder Benutzer mit dem richtigen Maß an Berechtigungskontrollen geschützt wird!“

Weitere Informationen zum Thema:

CYBERARC
CyberArc 2024 Employee Risk Survey

CYBERARC, 03.12.2024
New Research from CyberArk Reveals Security Risks Introduced by Everyday Employee Behaviors

Cyber-Sicherheit als Rückgrat des modernen Bankwesens basiert auf Vertrauen und zuverlässiger digitaler Technologie

[datensicherheit.de, 06.12.2024] Banken müssten der Cyber-Bedrohungslandschaft mit fortschrittlichen Sicherheitsstrategien begegnen – von der Nutzung von Zero-Trust-Frameworks bis zur Gefahrenaufklärung bei Kunden, rät Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner Stellungnahme zum 4. Dezember, dem „Internationalen Tag der Banken“. In diesem Kontext sollte man über die Rolle der Digitalisierung und IT-Sicherheit als Garant für Vertrauen im modernen Bankwesen nachdenken. Transaktionen würden immer häufiger digital getätigt, daher müsse die Sicherheit dieses digitalen Zahlungsverkehrs garantiert sein, um Malware, Datenlecks, Phishing und Betrug zu vermeiden. „Andernfalls ist das Vertrauen der Kunden in die Bank schnell verloren!“

Foto: Check Point Software

Marco Eggerling: Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängig!

Banken in Deutschland wöchentlich 899 Cyber-Attacken ausgesetzt

Eggerling erläutert: „Blickt man auf die Zahlen, dann sieht man, dass Banken in Deutschland nach Erkenntnis unserer Sicherheitsforscher wöchentlich 899 Attacken hinnehmen müssen. Damit liegen sie auf Platz 8 der gefährdeten Bereiche in Deutschland, wobei die Zahlen im ersten Halbjahr 2024 höher lagen.“ Außerdem habe es hierzulande bereits einige bedenkliche Zwischenfälle gegeben:

„So wurde im Jahr 2023 bekannt, dass ein Datenleck bei einem Dienstleister dafür sorgte, dass Tausende von Kundendaten von vier großen Banken in Deutschland gestohlen wurden. Ebenfalls 2023 wurde die Deutsche Leasing AG, eine Tochter der Sparkassen, von Hackern angegriffen, wobei sowohl die Mitarbeiter als auch die Kunden den Zugriff auf die Systeme verloren haben.“ Im Juni 2024 sei herausgekommen, dass die Kunden der Immobilientochter der DZ-Bank, „die zweitgrößte Bank in Deutschland und Mutter der Volksbanken“, das Opfer eines Hacker-Angriffs geworden seien.

Finanz-Sektor verlor in den letzten 20 Jahren rund 11,4 Milliarden Euro durch über 20.000 Cyber-Attacken

Gemäß Daten von IMF (International Monetary Fund) and Advisen cyber loss data, habe der Finanz-Sektor in den letzten 20 Jahren rund zwölf Milliarden US-Dollar (ca. 11,4 Milliarden Euro) durch über 20.000 Cyber-Attacken verloren. „Dies macht deutlich, wie wichtig die Cyber-Sicherheit für das Bankwesen ist!“ Robuste Frameworks stellten sicher, dass die Finanzinstitute ihre Versprechen gegenüber den Kunden im Digitalen Zeitalter einhalten könnten.

Die Art und Weise der Attacken und ihre Wirkung lasse sich in diesem Sektor in drei Punkte zusammenfassen:

1. Finanzielle Verluste
Direkter Diebstahl von Geldern oder Ressourcen, welche für die Wiederherstellung der Systeme erforderlich sind.

2. Unterbrechung Kritischer Bankdienstleistungen
Verzögerungen bei elektronischen Zahlungen und beim Zugang zu Konten wirkten sich auf das tägliche Leben der Kunden aus.

3. Erosion der Marke
Unzufriedenheit der Kunden und die Berichterstattung in den Medien schadeten dem Ruf.

Modernes Bankings mit Apps über Smartphones besondere Herausforderung an Cyber-Sicherheit

Eine solche Bedrohung der finanziellen und wirtschaftlichen Stabilität durch die Erosion des Vertrauens in die Finanzsysteme könnte weitere weitreichende Folgen haben, welche möglicherweise so weit gehen könnten, „dass die globalen Finanzoperationen gestört werden, indem der Kreditfluss zwischen den Finanzinstituten behindert wird“.

Die Aufrechterhaltung des Kundenvertrauens hänge jetzt von der Fähigkeit einer Bank ab, sensible digitale Informationen zu schützen und nahtlose, sichere Transaktionen zu gewährleisten – besonders angesichts des modernen Bankings mit Apps über Smartphones.

Weltweit Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen

Weltweit hätten die Regierungen daher Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen, „die in letzter Zeit an Fahrt gewonnen haben, da der Finanzsektor häufig als Kritische Infrastruktur (KRITIS) für jedes Land angesehen wird“. In Europa setze die Datenschutzgrundverordnung (DSGVO) der EU strenge Datenschutzgesetze durch, „die von den Banken verlangen, robuste Cyber-Abwehrmaßnahmen zum Schutz der Kundendaten umzusetzen“.

Fragt man Experten nach „Best Practices“, so könne Folgendes empfohlen werden:

Implementierung einer Zero-Trust-Architektur
Alle Geräte und Benutzer würden standardmäßig als „nicht vertrauenswürdig eingestuft“, bis sie das Gegenteil bewiesen hätten.

KI-gesteuerte Erkennung von Bedrohungen
KI könne Anomalien in Echtzeit erkennen und neutralisieren.

Verschlüsselung sensibler Daten
Sichere Daten sowohl bei der Übertragung als auch im Ruhezustand.

Regelmäßige Sicherheitsaudits
Häufige Kontrollen würden helfen, Schwachstellen zu erkennen und zu entschärfen.

Sichere Integration von Drittanbietern
Prüfung von Anbietern und Überwachung von Schwachstellen in der Lieferkette.

Kundenschulung
Die Aufklärung der Kunden über bewährte Praktiken der Cyber-Sicherheit – von strengen Passwortrichtlinien über die Förderung von Multi-Faktor-Authentifizierungen bis zur Schulung der Kunden (und Mitarbeiter) in der Erkennung von Phishing-Versuchen. „Bei einem informierten Kunden ist die Wahrscheinlichkeit geringer, dass er einem Betrug zum Opfer fällt, was sowohl das individuelle als auch das institutionelle Risiko einer Hacker-Attacke verringert.“

DORA als Meilenstein der Cyber-Sicherheit: Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme

Hinzu komme mit dem „Digital Operational Resilience Act“ (DORA) der EU eine weitere Regulierung, die ab 17. Januar 2025 anzuwenden sei. „Sie betrifft beinahe alles, was unter Bank- und Kreditwesen zusammengefasst werden kann. Zentrale Bedeutung kommt dem ITK-Risikomanagement zu, Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme sichergestellt werden.“

Auch sogenannte Awareness im Rahmen von Schulungen – auch der Geschäftsleitung – werde eine wichtige Rolle spielen. Zudem seien Kommunikationspläne und -strategien für interne und externe Zielgruppen dann Pflicht, „wobei mindestens eine Person zum Mediensprecher ernannt wird, die agieren muss, sollte es zu einem ITK-Vorfall kommen“. Was ein ITK-Vorfall ist, sei nach Kriterien klassifiziert worden – diese seien meldepflichtig.

Ansporn für Finanz-Unternehmen, holistische Konzepte zur Cyber-Sicherheit umzusetzen

Außerdem sei das Testen der Widerstandsfähigkeit der eigenen Netzwerke ebenfalls ein Bestandteil von DORA und erfordere entsprechende Programme, was damit auch Drittparteien inkludiere – und die Aufsichtsbehörden. Basistests seien eine Pflicht für den gesamten Finanzsektor und umfassten unter anderem Schwachstellen-Scans, Quell-Code-Tests und Performance-Tests, während die fortgeschrittenen Tests „Threat Led Penetration Tests“ (TLPT) meinten. Letztere beträfen aber nur systemrelevante Unternehmen im Finanz-Sektor.

Diese basierten auf dem Rahmenwerk TIBER der EU (Threat Intelligence-based Ethical Red Teaming). Somit werde die Umsetzung von DORA zwar ein Kraftakt, besonders für kleinere Banken und Finanzdienstleister, aber mit diesem Rahmenwerk könnten die Unternehmen ein holistisches Konzept der Cyber-Sicherheit umsetzen und damit eine tiefergehende Cyber-Abwehr erreichen, um ihre wertvollen Operationen zu schützen.

Cyber-Sicherheit als Rückgrat des Kundenvertrauens

„Abschließend lässt sich sagen: Im Digitalen Zeitalter beruht das Vertrauen in das Bankwesen nicht nur auf der Qualität der Dienstleistungen, sondern auch auf der Fähigkeit des Instituts, seine Computer-Systeme und die Daten zu schützen.“ Die Cyber-Sicherheit sei das Rückgrat des Kundenvertrauens und gewährleiste finanzielle Stabilität und operative Belastbarkeit.

Eggerling fasst zusammen: „Anlässlich des ,Internationalen Tages der Banken’ sollten alle sich bewusst machen, dass das Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängt! Dies sollten die Führungskräfte im Bankwesen bedenken, wenn es um Investitionen in IT-Sicherheitslösungen und Schulungen geht.“

Weitere Informationen zum Thema:

RHEINISCHE POST, Martin Kessler, 23.06.2024
Cyberattacke Volksbanken-Kunden wurden Opfer von Hackern

tagesschau, 11.07.2023
Hacker-Angriff Daten von Tausenden Bankkunden abgegriffen

Merkur.de, Bettina Menzel, 07.06.2023
Hackerangriff auf Sparkassen-Tochter – Tausende Mitarbeiter nach Hause geschickt

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

Status, Recht und Technik im NIS-2-Kontext am 18. Dezember 2024 in Berlin

[datensicherheit.de, 03.12.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V. lädt zum Abschluss des Veranstaltungsjahres 2024 zu einem Präsenz-Treffen mit dem Thema „NIS-2 kompakt: Was ist zu tun? Status, Recht und Technik“ in Berlin ein: „Mit der nationalen Umsetzung der NIS-2-Richtlinie kommen auf viele Unternehmen gesetzliche Anforderungen zur Informationssicherheit zu. In einem kompakten Format nähern wir uns diesem großen Thema aus drei Richtungen:

• mit Berichten aus der noch nicht abgeschlossenen Gesetzgebung,
• mit der Frage, wer betroffen ist und wer möglicherweise indirekt über Lieferketten betroffen ist,
• mit Überlegungen, welche bestehenden Aktivitäten in der Informationssicherheit Unternehmen für NIS-2 wiederverwerten können“

Abbildung: it’s.BB e.V.

„NIS-2 kompakt…“ – Teilnehmerzahl begrenzt, Anmeldung erforderlich bis 13.12.2024, 14 Uhr (s.u.)

„NIS-2 kompakt: Was ist zu tun? Status, Recht und Technik“

Mittwoch, 18. Dezember 2024, 15.30 bis 18.00 Uhr (Einlass ab 15 Uhr)
Internationaler Club im Auswärtigen Amt (im Restaurant des ICAA)
Kurstraße 36 in 10117 Berlin

Die Veranstaltung wird aufgezeichnet: Wer nicht im Video nicht erscheinen möchte, sendet dem Veranstalter eine kurze Nachricht.

Agenda (ohne Gewähr)

15.00-15.30 Uhr Einlass und Begrüßung
– Christian Köhler, NKMG mbH & Vorstandsvorsitzender it’s.BB e.V.

15.30-16.00 Uhr „NIS-2 – Ein Blick auf den Stand des Gesetzgebungsprozesses“
– Prof. Timo Kob, Vorstand HiSolutions AG

16.15-16.45 Uhr „NIS-2-konforme Lieferkette: Vereinbarungen mit Kunden und Zulieferern treffen und managen“
– Karsten U. Bartels LL.M., Rechtsanwalt, Partner HK2 Rechtsanwälte

17.00-17.30 Uhr „Alles neu für NIS-2? Was sich aus bestehenden Managementsystemen und Zertifizierungen übernehmen lässt“
– Dr. Jörg Schneider, Senior Expert HiSolutions AG

17.30-18.00 Uhr Fragen / Diskussion / Abschluss

Zur Anmeldung:

eventbrite
it’s.BB-Awareness-Veranstaltung / Mittwoch, 18. Dezember / NIS-2 kompakt: Was ist zu tun? Status, Recht und Technik

Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

[datensicherheit.de, 03.12.2024] In seiner aktuellen Stellungnahme betont Klaus Stolper, „Sales Director DACH“ bei TXOne Networks, dass Alt-Systeme in OT-Umgebungen zwar Schwachstellen aufwiesen, aber dennoch geschützt werden könnten. „In vielen Unternehmen lautet eine der wichtigsten Fragen bezüglich der Betriebstechnologie (Operational Technology / OT): Wie schützt man die sogenannten Alt-Systeme richtig?“ Gerade im OT-Bereich sei viel veraltete Software im Einsatz, denn die Geräte und Maschinen in den Produktionsumgebungen seien oft vor zehn, 15 oder gar 20 Jahren angeschafft worden.

Foto: TXOne Networks

Klaus Stolper rät zu einer OT-nativen Sicherheitsstrategie mit OT-nativen Sicherheitslösungen

Simpler Ausweg mittels OT-Patch oder -Update meist unmöglich

Entsprechend alt seien auch die Betriebssysteme („Windows XP“ und älter). „Sie bieten mittlerweile keine oder nur rudimentäre Sicherheitskonzepte“, stellt Stolper klar. Allerdings könnten diese alten Maschinen, wenn sie überhaupt noch unterstützt werden, nicht einfach mit einem Patch oder Update versehen werden, wie dies in der IT-Umgebung möglich sei.

Im Weg stehe die Ausfallsicherheit, denn zur Aktualisierung müsse die Maschine wahrscheinlich abgeschaltet werden, was zum Stillstand der Produktion und damit zu einem finanziellen Schaden führen könne – „der schnell in die Millionen geht“. Dies seien völlig andere Voraussetzung als in der IT-Sicherheit, wo der Ausfall eines Computers in der Büro-IT einfacher verkraftet werden könne.

OT-Angriffe und -Ausfall können verheerende Folgen nach sich ziehen

Im Zuge der Digitalen Transformation anlässlich der Idee der sogenannten Industrie 4.0 würden diese veralteten Systeme jedoch zuerst ans interne Unternehmensnetzwerk und dadurch schließlich ans Internet angeschlossen – „mit verheerenden Folgen, denn diese ungesicherten Alt-Systeme mit teils bekannten Schwachstellen waren nie für diese Vernetzung gedacht und öffnen nun Hackern Tür und Tor ins Unternehmensnetz“.

Eine erfolgreiche Infiltration bzw. ein damit einhergehender Ausfall könne im OT-Bereich verheerende Folgen nach sich ziehen: Produktionsausfall mit enormen finanziellen Einbußen, Geldbußen oder Maschinenschäden bis hin zu lebensbedrohlichen Worst-Case-Szenarien wie beispielsweise in der chemischen Industrie. Stolper unterstreicht: „Doch Unternehmen müssen diesen Schritt der Vernetzung ihrer Anlagen gehen, um langfristig konkurrenzfähig bleiben zu können, weil dies die Produktivität und Effizient erhöht. Ein Dilemma!“

Mindestmaß an Sicherheit: EU drängt Unternehmen, ihre IoT- und OT-Umgebungen zu schützen

Mit neuen Regularien wie der NIS-2-Richtlinie und dem „Cyber Resilience Act“ (CRA) verpflichte die EU zwar Unternehmen, ihre IoT- und OT-Umgebungen zu schützen und fordere dafür ein Mindestmaß an Sicherheit, doch dies sei kein Garant für ein sicheres Netzwerk. „Will heißen, nur weil man alle Richtlinien befolgt, ist man nicht zwangsweise geschützt. Wegen jüngerer Entwicklungen wie im Bereich der Künstlichen Intelligenz (KI) sind Angriffe sowohl zahlreicher als auch professioneller geworden.“ Der Gesetzgeber dagegen könne mit der Geschwindigkeit, mit der diese neuen Technologien bereitgestellt würden, nur bedingt Schritt halten.

Es sei daher entscheidend, dass Unternehmen dem Thema der OT-Sicherheit über die „Compliance“ hinaus eine besondere Beachtung schenkten und es in den ständigen Fokus ihrer Cyber-Sicherheitsstrategie stellten. „Vor allem, jedoch nicht ausschließlich dann, wenn es sich um Alt-Systeme handelt.“

TXOne Networks gibt Tipps zur Stärkung der OT-Sicherheit

Die folgenden Punkte sind laut Stolper entscheidende Schritte zu einer umfänglichen OT-Sicherheit auch bei Alt-Systemen:

Ein Risiko-Management durchführen!
„Durch Beurteilung der Kritikalität eines bestimmten Legacy-Kontrollsystems könnten gezielte technische Vorkehrungen für bestimmte – als ,kritisch’ eingestufte – Assets durchgeführt werden, ohne Ressourcen und Zeit in anderen Bereichen zu verschwenden.“

Ein OT-spezifisches Netzwerkgerät installieren!
„Vor eine einzelne Anlage oder eine Gruppe von Legacy-Systemen wird ein spezielles Device platziert, dass als Schutzschild dient und virtuelle Patching-Funktionen bietet.“ Damit werde das Gerät mit modernen Methoden geschützt, obwohl das Betriebssystem veraltet ist.

Mit einem Passwort geschützte Geräte durch Biometrik ersetzen!
Durch KI sei das Stehlen von Passwörtern in einem weitaus größeren und professionelleren Stil möglich geworden. „Mit Biometrik geschützte Geräte und Funktionen sind hier die sicherere Wahl, weil diese Faktoren nur schwierig nachgeahmt werden können, zum Beispiel Fingerabdrücke.“

IT- und OT-Netzwerke trennen!
„Um den digitalisierten Betrieb am Laufen zu halten, müssen OT-Geräte im Unternehmensnetzwerk die Möglichkeit haben, miteinander zu kommunizieren, ohne von Angreifern, die sich in der IT gerade tummeln, gesehen zu werden. Das heißt, es bedarf einer physischen wie virtuellen Trennung von IT- und OT-Netzwerken innerhalb eines Unternehmens.“ Ist Ersteres infiltriert, könne der Angreifer nicht auf Letzteres zugreifen. Eine sogenannte Virtual Air Gap sorge dafür, dass auf OT-Geräte nur über eine sichere Verbindung zum Netz zugegriffen werden könne und dass OT-Netzwerk von der IT und somit vom Rest der Welt abgeschirmt bleibe.

Mikro-Segmentierung einführen!
„Hierbei bestimmt ein Netzwerkgerät, welche Kommunikation zwischen den einzelnen Geräten und Maschinen zugelassen wird.“ Dazu komme ein virtueller Patch. Es helfen demnach auch bereits bekannte Angriffe: Mit Signaturen auf dem Netzwerkgerät sehe man, „wenn diese alten Schwachstellen ausgenutzt werden sollen und kann entsprechend darauf reagieren“. Nach der Segmentierung des Netzwerks, also in einen OT- und einen IT-Bereich, werde nun innerhalb des OT-Teils auf Mikro-Ebene nochmal segmentiert, um wiederum isolierte Zonen mit scharfen Kontrollen des Datenverkehrs an ihren Grenzen zu erschaffen. „Wiederum verhindert dies, dass ein Hacker, der in eine Zone eindringt, die gesamte OT-Umgebung attackieren kann.“

Richtiger Schutz der OT-Umgebungen hilft Unternehmen sicher und konkurrenzfähig zu bleiben

„Im Zuge der Digitalen Transformation und der Industrie 4.0 ist es für Unternehmen überlebensnotwendig geworden mit der neuesten Technologie Schritt zu halten.“ Ihre Produktionsumgebungen liefen jedoch zumeist noch auf teils sehr alten Systemen, „die zu ersetzen oder zu aktualisieren kaum oder nicht möglich ist“. Bekannte Schwachstellen würden durch die Anbindung dieser Legacy-Systeme ans Internet zu Einfallstoren für Cyber-Kriminelle und stellten somit ein erhebliches Risiko dar.

Durch den richtigen Schutz der OT-Umgebungen indes könnten Unternehmen aber dafür Sorge tragen, dennoch sicher und somit konkurrenzfähig zu bleiben. Eine ausgearbeitete OT-Sicherheitsstrategie sei dabei entscheidend und unumgänglich, denn es sei möglich, die alten Systeme angemessen zu schützen, „wenn eine OT-native Sicherheitsstrategie mit OT-nativen Sicherheitslösungen angegangen wird“, gibt Stolper abschließend als Empfehlung.

Weitere Informationen zum Thema:

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

datensicherheit.de, 02.10.2024
Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht / BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt

datensicherheit.de, 17.09.2024
Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich / KRITIS und Produktionsumgebungen heute stärker denn je Cyber-Bedrohungen ausgesetzt

KnowBe4 veröffentlicht Cyber-Sicherheitsprognosen für 2025 im Kontext fortschrittlicher KI-Tools

[datensicherheit.de, 30.11.2024] KnowBe4 hat am 27. November 2024 eigene Cyber-Sicherheitsprognosen für 2025 veröffentlicht. KnowBe4-Experten erörtern dabei, wie fortschrittliche KI-Tools die Dynamik zwischen Angreifern und Verteidigern weiter verändern werden. Im Jahr 2024 habe sich die Entwicklung von Cyber-Bedrohungen erheblich beschleunigt – angetrieben durch die zunehmende Verbreitung und Raffinesse von KI-Werkzeugen. Diese Tools ermöglichten es Cyber-Kriminellen, ihre Angriffe präziser, komplexer und schwerer erkennbar zu gestalten. Gleichzeitig setzten aber auch Cyber-Sicherheitsverantwortliche KI ein, um Angriffe effektiver abzuwehren und Cyber-Bedrohungen frühzeitig zu erkennen. Die vorhergesagten Trends seien vom globalen KnowBe4-Team von „Security Awareness Advocates“ zusammengetragen worden – „Experten mit jahrzehntelanger Erfahrung im Bereich Cyber-Sicherheit“.

Foto: KnowBe4

Stu Sjouwerman warnt im KI-Kontext: Die Dynamik zwischen Cyber-Verteidigern und -Angreifern war noch nie so komplex wie heute!

KI: Cyber-Waffe und -Schild zugleich

Mit den Fortschritten in der KI-Technologie machten sich sowohl Verteidiger als auch Angreifer deren Fähigkeiten zunutze. Auf der Seite der Cyber-Sicherheit würden hochentwickelte KI-gestützte Tools entwickelt, welche Cyber-Bedrohungen effektiver erkennen und darauf reagieren könnten. Fähigkeiten wie die Fähigkeit von KI, große Datenmengen zu analysieren, Anomalien zu erkennen und die Genauigkeit der Bedrohungserkennung zu verbessern, würden Cyber-Sicherheitsteams in Zukunft massiv unterstützen.

Aber auch Cyber-Kriminelle nutzten KI, um fortschrittlichere Angriffsmethoden zu entwickeln. So würden KI-gestützte Social-Engineering-Kampagnen, welche Emotionen manipulierten und auf bestimmte Schwachstellen abzielten, es dem Einzelnen erschweren, zwischen echten und gefälschten Inhalten zu unterscheiden. Da sich die KI-Fähigkeiten auf beiden Seiten weiterentwickelten, verschärfe sich das Patt zwischen Verteidigern und Angreifern, was ständige Innovation und Anpassung erfordere.

Ransomware bleibt Schlüsselbedrohung – KI kann ungewöhnliche Verschlüsselungsvorgänge aufdecken

Ransomware-Angriffe würden aufgrund der Zusammenarbeit zwischen Ransomware-Betrügerbanden und Erstzugriffs-Brokern weiterhin eine massive Bedrohung darstellen.

Um diese zu bekämpfen, werde KI zu einem beliebten Werkzeug, um Netzwerke und einzelne Geräte auf Anomalien wie ungewöhnliche Verschlüsselungsvorgänge zu überwachen. Dies werde die Auswirkungen versuchter Ransomware-Angriffe erheblich reduzieren.

Neben KI gehört „Faktor Mensch“ in den Fokus

Unternehmen würden weiterhin erkennen, wie wichtig regelmäßige Schulungen zum Sicherheitsbewusstsein und simulierte Phishing-Tests seien, um das inhärente menschliche Risiko in den Griff zu bekommen. Gleichzeitig würden Cyber-Kriminelle ihre Social-Engineering-Techniken weiter verfeinern und ihre Angriffe immer persönlicher und effektiver gestalten.

In Zukunft werde die Herausforderung darin bestehen, die Wachsamkeit der Mitarbeiter aufrechtzuerhalten, ohne eine Phishing-Müdigkeit zu erzeugen. Um dies zu verhindern, müssten sich die Unternehmen darauf konzentrieren, die Schulungen anpassungsfähiger und relevanter für die Mitarbeiter zu gestalten, um einen besseren Schutz und ein stärkeres Engagement für eine positive Sicherheitskultur zu schaffen.

Verbesserte Erstellung und Erkennung von Deepfakes mittels KI

Im Jahr 2025 würden sich die Technologien zur Erkennung sogenannter Deepfakes verbessern, leichter zugänglich sein und das wachsende Problem der Erkennung von Deepfakes effektiver angehen.

Andererseits sei zu erwarten, dass Cyber-Kriminelle Desinformationen und Deepfakes für ihre Angriffe nutzen würden, um Erpressungen zu beschleunigen, andere Angriffe zu verschleiern oder den Ruf von Unternehmen zu schädigen.

Auch im KI-Zeitalter sollten Mitarbeiter in einem gesunden Maß an Skepsis geschult werden

Die „Zero-Trust-Mentalität“ und die „Cyber-Awareness“, welche einen proaktiven Ansatz zur Cyber-Sicherheit darstellten, würden sich weiter durchsetzen. „Unternehmen, die sich diese Prinzipien zu eigen machen, fördern eine wachsame Einstellung ihrer Mitarbeiter und betrachten jeden Nutzer und jedes Gerät als potenzielle Bedrohung.“

Die Schulung der Mitarbeiter in einem gesunden Maß an Skepsis ermutige diese zur Anwendung kritischer Denkfähigkeiten – und dieser Bewusstseinswandel sei ein weiterer entscheidender Schritt zur Eindämmung interner Risiken.

Auf dem Weg ins Jahr 2025ff das KI-Potenzial nutzen, um eigene Cyber-Abwehr zu verbessern

Die NIS-2-Gesetzgebung verzögere sich in ganz Europa, was zu einem Rückschlag bei der Verbesserung der Cyber-Sicherheitsvorkehrungen von Unternehmen im Jahr 2025 führe. Der „Cyber Resilience Act“ (CRA) werde weiterhin wichtige Verbesserungen der Cyber-Sicherheit für IT und OT vorantreiben, und es werde eine weitere Verschiebung hin zu einer Perspektive geben, welche „den Menschen in den Mittelpunkt stellt und auf Verhalten und Sicherheitsergebnissen basiert“.

Stu Sjouwerman, „CEO“ von KnowBe4, erläutert: „Die Cyber-Sicherheitslandschaft entwickelt sich rasant und die Dynamik zwischen Verteidigern und Angreifern war noch nie so komplex wie heute.“ Auf dem Weg ins Jahr 2025 müsse man das KI-Potenzial nutzen, um die eigene Cyber-Abwehr zu verbessern und Organisationen weltweit zu schützen.

KI notwendig, aber nicht hinreichend: Eine der besten Abwehrmaßnahmen nach wie vor der Aufbau einer starken Cyber-Sicherheitskultur

KnowBe4 habe es sich zur Aufgabe gemacht, an der Spitze dieser Entwicklung zu stehen und menschliche Risikomanagement-Tools und -Taktiken bereitzustellen, um Unternehmen vor komplexen Bedrohungen zu schützen. Sjouwerman betont: „Es ist ein ständiger Prozess der Innovation und Anpassung.“

Es sei wichtiger denn je, sich auf das menschliche Element in Organisationen zu konzentrieren, um das Risiko, Opfer von Cyber-Kriminalität zu werden, zu verringern. „Eine der besten Abwehrmaßnahmen ist nach wie vor der Aufbau einer starken Sicherheitskultur“, gibt Sjouwerman abschließend zu bedenken.

Weitere Informationen zum Thema:

KnowBe4, 25.11.2024
KnowBe4 Predicts AI Advances Will Shape Evolving Landscape of Cyber Threats and Defenses / KnowBe4 Releases Cybersecurity Predictions for 2025

KnowBe4
Meet Our Advocates

[datensicherheit.de, 30.11.2024] Laut einer aktuellen Meldung von Kaspersky kosten schädliche Cyber-Vorfälle Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cyber-Sicherheit. „Mittelständische Unternehmen und Großunternehmen in Deutschland reagieren auf die zunehmende Komplexität von Cyber-Bedrohungen und steigern ihre Investitionen in Cyber-Sicherheit.“ Der aktuelle „IT Security Economics Report“ von Kaspersky zeigt demnach auf, dass die Budgets für IT-Sicherheit in den kommenden zwei Jahren um bis zu neun Prozent erhöht werden sollen. Insgesamt betrage damit das durchschnittliche IT-Budget 5,9 Millionen US-Dollar – „davon fließen 1,07 Millionen in die Cyber-Sicherheit“. Der „IT Security Economics Report“ ist nach Kaspersky-Angaben eine jährlich erscheinende Analyse, welche Veränderungen in Budgets, Sicherheitsvorfällen und geschäftlichen Herausforderungen untersucht. Grundlage dieser Studie seien Interviews mit IT- und IT-Sicherheitsexperten aus Unternehmen unterschiedlichster Größen und Branchen in 27 Ländern.

Bedeutung der Cyber-Sicherheit nimmt weltweit zu

Die Bedeutung der Cyber-Sicherheit nehme weltweit zu – und auch in Deutschland gewönnen Investitionen in -Sicherheitsmaßnahmen immer mehr an Priorität. Laut der aktuellen Kaspersky-Studie investierten Unternehmen in Deutschland im Median 1,07 Millionen US-Dollar in Cyber-Sicherheit, was rund 18,1 Prozent ihres gesamten IT-Budgets von 5,9 Millionen US-Dollar ausmache.

Mögliche Gründe für die erhöhten Investitionen dürften die finanziellen Verluste in Folge von schädlichen Cyber-Vorfällen sein. Denn trotz fortschrittlicher Sicherheitsinfrastrukturen machten die Komplexität der IT-Umgebungen und die zunehmende Bedrohungslage Unternehmen anfälliger für Cyber-Sicherheitsverletzungen. Während Unternehmen oft in der Lage seien, derartige Vorfälle schnell zu erkennen, erfordere die vollständige Reaktion und Eindämmung solcher Bedrohungen häufig mehrere Stunden.

So hätten Unternehmen in Deutschland in diesem Jahr, 2024, durchschnittlich 13 schädliche Cyber-Sicherheitsvorfälle verzeichnet – die daraus resultierenden Folgekosten beliefen sich auf rund 1,06 Millionen US-Dollar. Diese Ausgaben würden nahezu den gesamten jährlichen Investitionen entsprechen, welche Unternehmen im Median in ihre Cyber-Sicherheit tätigen. Angesichts dieser Herausforderungen planten Unternehmen in Deutschland, ihre Budgets für IT-Sicherheit in den kommenden zwei Jahren um bis zu neun Prozent zu erhöhen.

Zunahme der Investitionen in Cyber-Sicherheit über alle Marktsegmente hinweg

„Diese Zahlen verdeutlichen die anhaltende Entwicklung zu steigenden Investitionen in Cyber-Sicherheit über alle Marktsegmente hinweg“, verdeutlicht Veniamin Levtsov, „Vice President des Centers of Corporate Business Expertis“ bei Kaspersky.

Er führt weiter aus: „Drei Hauptfaktoren treiben die zunehmenden Ausgaben voran: Erstens zwingt die zunehmende Komplexität der Bedrohungslage Unternehmen dazu, fortschrittlichere Sicherheitslösungen zu implementieren, um Angriffsmuster frühzeitig zu erkennen und schnell darauf reagieren zu können.“

Zweitens führten zunehmende Anforderungen an Digitale Souveränität und verschärfte regulatorische Vorgaben dazu, dass Unternehmen ihre Sicherheitsmaßnahmen ausbauten, um „Compliance“ und Datenschutz zu gewährleisten. Drittens stiegen die Gehaltsansprüche von Experten im Bereich Cyber-Sicherheit kontinuierlich, was die Personalkosten in diesem Kritischen Sektor erhöhe.

Kaspersky-Empfehlungen zum Schutz vor Cyber-Attacken:

Unternehmen sollten auf ganzheitliche Sicherheitsstrategien setzen, welche Echtzeitschutz, Bedrohungserkennung sowie erweiterte Untersuchungs- und Reaktionsfähigkeiten umfassen. Die Produktlinie „Kaspersky Next“ z.B. biete entsprechende Lösungen, welche flexibel an individuelle Anforderungen angepasst werden könnten.

Für Unternehmen, denen es an qualifizierten InfoSec-Professionals fehle, böten sich „Managed Security Services“ an, welche rund um die Uhr Analysen und automatisierte Schutzmechanismen bereitstellten. Als Beispiel: „,Kaspersky Managed Detection and Response’ schützt so Unternehmen zuverlässig vor komplexen Cyber-Angriffen.“

Weitere Informationen zum Thema:

kaspersky daily
IT Security Economics / Zum Umgang mit Komplexität in Zeiten von Künstlicher Intelligenz, Digitalisierung und Cloud

Daniel Hanke kommentiert Umfrage anlässlich des „Tages für Computersicherheit am“ 30. November 2024

[datensicherheit.de, 29.11.2024] Die IT-Sicherheitslage in Deutschland verschärft sich offensichtlich weiter. Der TÜV Rheinland hatte laut einer eigenen Meldung eine Umfrage unter Fachleuten für Cybersecurity anlässlich des „Internationalen Tages für Computersicherheit“ am 30. November 2024 in Auftrag gegeben: In der von Civey im Oktober 2024 durchgeführten Online-Umfrage geben demnach neun von zehn Befragten (90,2%) an, dass die Gefahr von Cyber-Angriffen für Unternehmen und Institutionen in Deutschland in den vergangenen zwölf Monaten zugenommen hat. Befragt worden seien deutschlandweit rund 1.000 im Bereich Cyber-Sicherheit tätige Personen. „Unsere Befragung zeigt: Unternehmen sind mehr denn je mit Cyber-Angriffen konfrontiert – und müssen entsprechend in ihre Cybersecurity investieren“, berichtet Daniel Hanke, für Cybersecurity-Experte beim TÜV Rheinland.

Abbildung: TÜV Rheinland

Angespannte Lage für Cybersecurity in Deutschland: Gefahren von Angriffen im zurückliegenden Jahr haben weiter zugenommen

Aktueller BSI-Bericht zur Lage der IT-Sicherheit in Deutschland stützt Einschätzung

Die angespannte Lage in Deutschland bestätige auch der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte November 2024 veröffentlicht: Das BSI schätze die Situation als „angespannt“ ein, auch wenn es eine Verbesserung in der Resilienz gegenüber Cyber-Angriffen sehe.

„Anders gesagt: Es stellt sich längst nicht mehr die Frage, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann und wie sich mögliche Schäden durch Cyber-Angriffe durch vorbeugende Maßnahmen verringern lassen“, erläutert Hanke.

Herausforderungen an die IT-Sicherheit: Veraltete Infrastruktur und mangelnde Vorbereitung

Der TÜV Rheinland habe ebenfalls danach fragen lassen, welches die größten Herausforderungen für die Gewährleistung von Cyber-Sicherheit in Unternehmen und Institutionen sind. Dabei steche ein Aspekt hervor: Die ausgemachten Herausforderungen ließen sich nicht auf wenige, einzelne reduzieren. Die „Steigende Zahl von Angriffen“ (39,2%), „Veraltete IT-Infrastruktur“ (38,9%) und „Mangelnde Vorbereitung gegen Cyberangriffe“ (36,3%) würden von den Befragten am häufigsten genannt. Ähnlich herausfordernd würden die „Wachsende Komplexität von IT-Systemen“ (35,3%), der „Fachkräftemangel im IT-Bereich“ (34,7%) und „KI-unterstützte Hackerangriffe“ (32,3%) wahrgenommen.

Mangelnde Budgets seien hingegen nur für jeden Fünften (21,9%) eine Herausforderung. „Einerseits haben die meisten Verantwortlichen offenbar erkannt, dass man an Cybersecurity nicht sparen sollte – andererseits ist es besorgniserregend, dass jeder Dritte die Unternehmen schlecht vorbereitet auf Cyber-Angriffe sieht“, so Hanke.

Strengere Vorschriften zur Cyber-Sicherheit künftig für mehr Sektoren und Unternehmen

Zur Bedrohungslage kämen Veränderungen auf Ebene der Regulierung hinzu. So führe die „Network and Information Security Directive 2“ (NIS-2-Richtlinie) der Europäischen Union (EU) strengere Vorschriften zur Cyber-Sicherheit für mehr Sektoren und Unternehmen ein.

Eigentlich müssten ab März 2025 damit Unternehmen ab 50 Mitarbeitern und mit mehr als zehn Millionen Euro Umsatz in 18 Sektoren verstärkte Cybersecurity-Maßnahmen umsetzen. Das Ziel der Regelung sei der Schutz von essentiellen, wichtigen Sektoren und (Kritischen) Infrastrukturen sowie eine höhere Widerstandsfähigkeit gegenüber Cyber-Angriffen.

EU führt zudem verbindliche Cyber-Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ ein

Ebenfalls auf der Regulierungsebene setze der „Cyber Resilience Act“ (CRA) an. Damit führe die EU verbindliche Cyber-Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ ein. Das Ziel sei auch hiermit, die Widerstandsfähigkeit gegen Cyber-Angriffe zu erhöhen und verlässliche digitale Dienste zu gewährleisten.

„Insgesamt führen die steigenden Risiken durch Cyber-Angriffe verbunden mit den neuen regulatorischen Anforderungen dazu, dass der Handlungsdruck in den Unternehmen steigt“, betont Hanke und bemerkt abschließend: „Die weltweit mehr als 250 Cybersecurity-Fachleute von TÜV Rheinland unterstützen dabei umfassend sowohl mit klassischen Cybersecurity-Dienstleistungen wie dem Pentesting wie auch bei der regelkonformen Umsetzung der Regulierungen.“

Weitere Informationen zum Thema:

TÜVRheinland
Cybersecurity – Sicherheit neu überdenken, die Zukunft gestalten / Stellen Sie sich den digitalen Herausforderungen

datensicherheit.de, 29.11.2024
NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein / Inzwischen ist mit einer NIS-2-Umsetzung nicht vor Herbst 2025 zu rechnen

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 13.11.2024
Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen / Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

Die populäre Rabatt-Saison hat begonnen – und mit ihr Cyber-Betrügereien

[datensicherheit.de, 28.11.2024] „Die Weihnachtsfeiertage stehen vor der Tür und während sich Menschen auf der ganzen Welt darauf vorbereiten, mit ihren Familien zu feiern, schieben Hacker Überstunden“, führt Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme aus. Die Rabatt-Saison mit „Black Friday“, „Black Week“ und „Cyber Monday“ habe begonnen – und mit ihnen die Betrügereien. Eggerling berichtet: „Unsere Sicherheitsforscher haben bereits eine starke Zunahme bedrohlicher Websites im Zusammenhang mit dem Beginn der Rabatt-Aktionen festgestellt.“ Die Zahl der Attacken gegen Einzelhändler sei im Vergleich zum Vorjahr, 2023, gestiegen.

Foto: Check Point Software

Marco Eggerling empfiehlt Kunden und Anbietern, ein paar einfache Cyber-Sicherheitsmaßnahmen im Internet zu beachten, um Hacker-Betrug bzw. -Attacken zu entgehen

Fake-Webshops dienen Cyber-Kriminellen als Phishing-Webseiten

Der Ansturm auf Schnäppchen und das hohe Transaktionsvolumen schafften ein ideales Umfeld für Betrüger, „die hoffen, unter dem Radar zu fliegen“. In den Wochen vor dem „Black Friday“ hätten Sicherheitsforscher bei Check Point eine starke Zunahme von Websites zum Thema „Black Friday“ verzeichnet, welche um 89 Prozent höher gelegen habe als im gleichen Zeitraum des Vorjahres, 2023.

„Fast alle dieser Websites geben sich als bekannte Marken aus, und fast keine wird als sicher eingestuft!“ Diese lockten Verbraucher mit Angeboten, welche an einem anderen Tag als dem „Black Friday“ völlig unpassend erscheinen würden – die Käufer sollten dazu verleitet werden, sensible Daten, wie Zahlungsinformationen oder Anmeldedaten, dort einzugeben.

Im Grunde genommen dienten sie als Phishing-Webseiten, welche passiv die Zugangsdaten der Kunden abfangen sollten. Die Bandbreite der gefälschten Websites sei groß und reiche von globalen Giganten bis hin zu kleineren, aber dennoch bekannten Boutiquen. Bemerkenswert sei, dass eine Vielzahl dieser gefälschten Websites die gleichen Design-Merkmale aufwiesen, was darauf hindeute, dass eine zentrale Gruppe hinter einem Netzwerk von Phishing-Plattformen für den Einzelhandel stehen könnte.

Auch QR-Code-Phishing ist zunehmend ernstzunehmende Cyber-Bedrohung

„Das Phishing selbst ist im letzten Jahr gezielter geworden“, so Eggerling. Mit Hilfe von KI-Tools, einschließlich Generativer KI-Plattformen, könnten Hacker überzeugende Phishing-E-Mails direkt in die Posteingänge der Verbraucher senden. Sie könnten Rabatte versprechen oder exklusiven Zugang zu Artikeln oder Ähnliches anbieten.

„In letzter Zeit haben wir in diesen E-Mails vermehrt QR-Code-Phishing beobachtet, das dazu dient, herkömmliche E-Mail-Filter zu umgehen. Alles, was es braucht, ist ein unvorsichtiger Klick.“

Eggerling warnt daher: „Sobald die Benutzerdaten gesammelt wurden, können die Cyber-Kriminellen diese für schädlichere Angriffe, einschließlich Ransomware, missbrauchen.“

Ransomware als zunehmende Cyber-Bedrohung für den Einzelhandel

Besorgniserregend sei die Lage in den Vereinigten Staaten von Amerika: „Die USA sind bereits die Region, die am häufigsten das Ziel von Ransomware-Angriffen ist, und die Zahl der Vorfälle ist im Vergleich zum Vorjahr um 24 Prozent gestiegen.“ Einzelhändler in den USA machten 45 Prozent der weltweiten Ransomware-Angriffe im Einzelhandel aus, obwohl sie weniger als 30 Prozent des weltweiten Einzelhandelsmarktes darstellten.

Gerade in dieser Shopping-Phase sei das kritisch: Solche Attacken könnten den Geschäftsbetrieb für längere Zeit zum Erliegen bringen, was enormen finanziellen Schaden mit sich bringe, oder Bußgelder und Entschädigungen aufgrund von Kundenklagen nach Datenlecks.

Hinter den Verbraucherdaten verberge sich ein lukrativer illegaler Markt. „Anhand von Kreditkarten, Anmeldedaten und Identitätsinformationen können Hacker eine Vielzahl von Betrügereien durchführen, um Konten zu leeren, Kreditrahmen auszureizen oder Unternehmen einzufrieren und zu erpressen.“

Anbieter wie Verbraucher sollten Cyber-Schutz bedenken

„Für die Verbraucher bedeutet Cyber-Sicherheit nicht nur, dass sie vorsichtig mit ihren Klicks sein müssen, sondern auch, dass sie ihre Anwendungen aktualisieren und mit Patches versehen müssen.“ URLs sollten genau auf Rechtschreibfehler oder ungewöhnliche Host-Domänen geprüft werden und im besten Fall mit „https“ beginnen, statt nur „http“, was für eine bessere SSL-Verschlüsselung stehe. Ein grünes Vorhängeschloss-Symbol vor der URL zeige diese Verschlüsselung außerdem im Browser an.

„Der Absender von E-Mails, vor allem überraschenden, sollte geprüft werden, denn es könnte eine Fälschung sein.“ Niemals dürfe man auf ungewöhnlich erscheinende Links oder Anhänge klicken. Selbiges gelte für QR-Codes. Außerdem sollten nie mehr personenbezogene Details als nötig preisgegeben werden. Eggerling unterstreicht: „Zudem müssen Unternehmen ihren Teil zur Sicherheit beitragen, indem sie wachsam gegenüber Betrügern bleiben, ihre Kunden informieren und aufklären sowie ihre eigenen IT-Netzwerke bestmöglich sichern.“

Stets nutzten Cyber-Kriminelle vor allem die Unachtsamkeit der Leute aus und am häufigsten würden Sicherheitslücken durch gestohlene Benutzer-Anmeldedaten verursacht. Eggerling betont abschließend: „Indem sie ein paar einfache Sicherheitsmaßnahmen im Internet beachten, können Verbraucher überall die Tür den Hackern vor der Nase zuschlagen und so nicht nur sich, ihre Freunde und Familie schützen, sondern auch ihre Unternehmen und Arbeitgeber während der Shopping- und Adventszeit.“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Team, 19.11.2024
Navigating the Evolving Threat Landscape Ahead of Black Friday

datensicherheit.de, 28.11.2024
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen / Rund um populäre Rabattaktion locken Webshops mit exklusiven Angeboten – dabei witterten auch auch Cyber-Kriminelle ihre Chance

datensicherheit.de, 23.11.2024
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023 / CPR hat im Vorfeld des „Black Friday 2024“ frühzeitig die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten

datensicherheit.de, 13.11.2024
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe / E-Mails zum „Black Friday“ sind oft perfekt gestaltet – mit offiziellem Logo, persönlicher Anrede und Call-to-Action-Button

datensicherheit.de, 24.11.2023
Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle / Datensicherheit gilt es auch im Schnäppchen-Rausch am Black Friday und an anderen saisonalen Sonderverkaufstagen zu beachten

datensicherheit.de, 17.11.2023
Black Friday: Proofpoint rät zur Vorsicht vor betrügerischen E-Mails / Nur sieben der 20 größten Händler in Deutschland schützen laut Proofpoint-Analyse Verbraucher ausreichend vor Betrügereien in ihrem Namen

„Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

[datensicherheit.de, 20.11.2024] Laut einer Meldung des eco – Verband der Internetwirtschaft e.V. vom 20. November 2024 wurde der „Cyber Resilience Act“ (CRA / EU-Verordnung 2024/2847) an diesem Tag offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen habe. Der CRA lege horizontale Cyber-Sicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen

CRA erste europäische Verordnung, welche Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlegt

Prof. Dr. Norbert Pohlmann, eco-Vorstand für „IT-Sicherheit“, kommentiert: „Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybe-Ssicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen.“ Dies sei nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.

Damit sei der „Cyber Resilience Act“ die erste europäische Verordnung, welche ein Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlege, „die auf dem EU-Markt in den Verkehr gebracht werden“. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cyber-Sicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

eco: CRA-Umsetzung sollte Handhabbarkeit der Regelungen in der Praxis sicherstellen und unnötige Bürokratie vermeiden

„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, unterstreicht Professor Pohlmann. Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen:

„Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.“ Insgesamt sei der CRA indes ein wichtiger Meilenstein für die Stärkung der Cyber-Sicherheit in Europa. Der eco-Verband werde sich aktiv dafür einsetzen, „dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, so Professor Pohlmann abschließend.

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht, 20.11.2024
Dokument 32024R2847 / Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR)

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

Schaden durch Cyber-Attacken für deutsche Wirtschaft jährlich rund 150 Milliarden Euro

[datensicherheit.de, 08.11.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?“ ein: Im Rahmen dieses Web-Seminars soll die wachsende Bedrohung durch Cyber-Angriffe und deren immensen wirtschaftlichen Schäden – welche jährlich Milliarden Euro betragen – detailliert beleucht werden.

Abbildung: it’s.BB e.V.

Wachsende Bedrohung durch Cyber-Angriffe und deren immensen wirtschaftlichen Schäden im Fokus

Analyse verschiedener Arten von Cyber-Angriffen, deren Kosten und rechtlichen Aspekte sowie zusätzliche Tipps

Laut Schätzungen des Branchenverbands Bitkom soll sich der Schaden allein in der deutschen Wirtschaft auf etwa 150 Milliarden Euro pro Jahr belaufen – wobei bis zu 88 Prozent der Unternehmen von solchen Angriffen betroffen seien.

Die Agenda umfasst „eine Analyse der verschiedenen Arten von Cyber-Angriffen, deren Kosten und rechtlichen Aspekte sowie zusätzliche Tipps zur Verbesserung der digitalen Abwehrfähigkeit und Resilienz“. Abschließend soll Raum für Fragen und Diskussionen geboten werden, um auf spezifische Anliegen und Herausforderungen einzugehen.

Web-Seminar beleuchtet Cyber-Sicherheit in Unternehmen am 20.11.2024

„Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?“
Web-Seminar in Kooperation mit der IHK Berlin via „MS Teams“-Plattform
Mittwoch, 20. November 2024, 16.00-1700 Uhr
Teilnahme kostenfrei, Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung

– Harald Fladischer, neXenio GmbH
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

• Begrüßung und Einführung
• Cyber-Angriffe
• Kosten
• Rechtliche Aspekte
• Zusätzliche Tipps

– Harald Fladischer, neXenio GmbH
– Daniel Augistin, SSE – Secure Systems Engineering GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 20. November / Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?