In dem Bericht „2020 What keeps you up at Night“ wurden 300 B2B-IT-Entscheidungsträger in Deutschland zu den wichtigsten Risiken im Cyberspace befragt / Ransomware, Einhaltung von Compliance (DSGVO, etc.), Insider-Angriffe und der Nutzer selbst wurden als die vier größten Risiken genannt

[datensicherheit.de, 14.07.2020] KnowBe4, Anbieter einer Plattform für Security Awareness Trainings und simuliertes Phishing, veröffentlicht die Ergebnisse seiner Umfrage „2020 What keeps you up at Night“. Die Studie wurde vom Marktforschungsinstitut Innofact AG im Februar 2020 mit 300 B2B-IT-Entscheidern durchgeführt. Die Zahlen zeigen, dass es innerhalb deutscher Unternehmen eine Reihe gemeinsamer Themen gibt, die mit dem Wandel von Cyberangriffen, der Verfügbarkeit von Sicherheitslösungen und dem wachsenden Druck zur Einhaltung von Compliance-Vorschriften zusammenhängen. Im Durchschnitt waren 51 Prozent der Unternehmen in gewissem Maße besorgt über ein im Fragebogen angesprochenes Sicherheitsproblem. Trotz dieser Tatsachen antwortete nur etwa die Hälfte (47 Prozent) der Befragten, dass ihr Unternehmen ein Security Awareness Training anbietet.

Die wichtigsten Eckdaten der Umfrage sind:

• Unachtsame Nutzer spielen eine entscheidende Rolle bei der Frage, ob deutsche Unternehmen im Bereich IT-Security besorgt sind. Die Sorge vor Cyberangriffen in diesem Zusammenhang ist um durchschnittlich 206 Prozent angestiegen.
• Ransomware führt die Liste der Angriffstypen an, wobei 63 Prozent der deutschen Unternehmen eine gewisse Besorgnis zu dieser Angriffsart zum Ausdruck bringen.
• Trotz der Problematik „unachtsame Benutzer“ haben lediglich 47 Prozent der befragten Unternehmen Security Awareness Trainings im Einsatz.
  Dreizehn verschiedene Arten von Cyberangriffen bereiten durchschnittlich 59 Prozent der deutschen Unternehmen Sorgen.
• Die Einhaltung der Compliance-Vorgaben ist für 48 Prozent der Unternehmen nach wie vor eine Herausforderung, obwohl die Einzelheiten der Richtlinien schon seit geraumer Zeit bekannt sind.
• Die Personalbeschaffung in den Bereichen Sicherheit und IT scheint für 60 Prozent der Unternehmen eine Herausforderung zu bleiben, herbeigeführt durch unzureichende Budgets und mangelnde Unterstützung der Unternehmensführung.
  Sicherheitsstrategie und Sicherheitskultur

Sicherheitsstrategie und Sicherheitskultur sind zwar vorhanden, aber es bedarf noch weiterer Bemühungen. Durchschnittlich 49 Prozent der Befragten gaben an, dass sie an Sicherheitsinitiativen arbeiten oder damit beginnen müssen, und 59 Prozent von ihnen verfügen noch gar nicht über eine ausgereifte Sicherheitsstrategie.

Die mit Abstand größte Sorge von IT-Führungskräften stellt der Benutzer selbst dar. 71 Prozent der IT-Entscheidungsträger sind besonders besorgt über das Risiko, dass Benutzer Passwörter mehrfach nutzen, und 67 Prozent sind besorgt über unachtsame Benutzer im Allgemeinen. Die Benutzer müssen zunächst ihre Rolle in der Sicherheitsstrategie des Unternehmens verstehen und dann lernen, Phishing-Angriffe, das Klicken auf unsichere Links, die Angabe von Zugangsdaten für gefälschte Websites und die mehrfache Nutzung von Passwörtern zu unterlassen. Das alles beginnt mit dem Etablieren einer Sicherheitskultur.

Detlev Weise, Senior Adviser, Bild: KnowBe4

„Unternehmen können die neuesten Sicherheitslösungen einführen und Millionen für das IT-Budget ausgeben, aber wenn ihre Mitarbeiter immer noch auf jeden Link klicken, der in ihren Posteingang kommt, dann bringt das alles nichts. Da nur 47 Prozent der Befragten angeben, dass sie ein Security Awareness Training im Einsatz haben, wird diese Situation nicht rechtzeitig bewältigt werden können. Unternehmen aller Größen müssen Security Awareness Trainings einführen und sollten ihre Benutzer regelmäßig auf die Erkennung von Phishing-Mails schulen, um das Gefahrenbewusstsein der Mitarbeiter zu schärfen und Sicherheit als Teil ihrer Arbeitsaufgaben und Unternehmenskultur zu integrieren. Nicht oder nicht ausreichend geschulte Anwender stellen eine potenzielle Bedrohung für ihr Unternehmen dar. Das muss sich ändern: Die Mitarbeiter sollten die erste und stärkste Verteidigungslinie im Unternehmen darstellen“, erläutert Detlev Weise, Senior Adviser bei KnowBe4.

Weitere Informationen zum Thema:

KnowBe4
WHAT KEEPS YOU UP AT NIGHT – REPORT 2020

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus

Von unserem Gastautor Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout

[datensicherheit.de, 15.01.2019] Der Siegeszug des IoT (Internet der Dinge) setzt sich unaufhaltsam fort. Längst hat es auch Einzug ins Geschäftsleben gehalten, wo es den Alltag vieler Mitarbeiter sicherer und angenehmer gestaltet. Allerdings stellt die Etablierung der smarten Welt IT-Abteilungen vieler Unternehmen vor große Herausforderungen. Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus. Besserung versprechen hierbei Lösungen zur Visibilität in Netzwerken.

Im Zuge der Automatisierung setzen immer mehr Organisationen auf IoT. Darunter fallen beispielsweise Temperatursteuerungen oder Sicherheitskameras, aber auch Netzwerkdrucker. Die Vorteile liegen in vielen Fällen auf der Hand. So kann eine smarte Klimasteuerung im Gebäude Kosten sparen, indem sie zentral gesteuert und bei Bedarf abgeschaltet wird. Intelligente Überwachungskameras schicken ihre Aufnahmen in Echtzeit über das Internet an das verantwortliche Sicherheitspersonal. Viele Großunternehmen haben eigene Strategien für IoT – seien es smarte Kleingeräte bis hin zu großen, über das Internet ansteuerbaren Maschinenparks. Trotzdem wird der Sicherung dieser Geräte nicht die Bedeutung beigemessen, die nötig wäre, um das Unternehmen ausreichend zu schützen.

Bild: ForeScout

Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout

„Das S in IoT steht für Sicherheit“

Der Informatikerwitz mag ein wenig überspitzt sein, einen wahren Kern hat er allerdings. Viele IoT-Devices sind nicht ausreichend gegen Bedrohungen von außen gewappnet, da sie von vornherein über mangelhafte Sicherheitsmechanismen verfügen. Im Gegensatz zu Rechnern, Smartphones und Servern haben die Hersteller von smarten Geräten oft noch keine Erfahrung darin, ihre Produkte vor Bedrohungen durch Cyberkriminelle abzusichern. Als Folge davon entsprechen die Sicherheitsmechanismen nicht der aktuellen Bedrohungslage, womit sie ein beliebtes Ziel für Cyber-Kriminelle darstellen.

Hinzu kommt, dass die Installation und Verwaltung von IoT-Geräten oft nicht der IT-Abteilung eines Unternehmens, sondern der Hausverwaltung obliegen. Bei der Inbetriebnahme neuer Geräte werden zudem zuständige IT-Abteilungen nicht informiert, womit ihre Überwachung und Einbettung in sicherheitsrelevante Prozesse komplett umgangen wird. Infolgedessen können viele IT-Verantwortliche nicht genau sagen, wie viele Geräte sich insgesamt in ihrem Netzwerk befinden.

Aus Zeitgründen entfällt zudem erschreckend oft eine sorgfältige Einrichtung: Standardzugangsdaten und -Passwörter werden nicht geändert, wodurch sie durch Dritte von außen angreifbar sind.

Die Folgen können für Unternehmen verheerend sein

Die IoT-Sicherheit stellt einen Painpoint für Unternehmensleitungen dar. Gelingt es einem Cyberkriminellen, auf die Geräte zuzugreifen, sind seine Möglichkeiten, Schaden anzurichten, vielfältig:

1. Installation eines Bot-Netzwerks: Bekannt geworden ist diese Methode durch das sogenannte Mirai-Botnetz vor zwei Jahren. IP-fähige Sicherheitskameras wurden von der Mirai-Malware infiziert und ihre Rechenleistung für DDoS-Angriffe genutzt. Diese Methode kann auch auf anderen IP-fähigen Geräte angewendet werden.
2. Ausspähen von Daten. Hierfür eignen sich Drucker am besten, da sie über weitreichende Berechtigungen im Netzwerk verfügen, wie den Zugriff auf Netzwerkordner. Sollte ein unberechtigter Dritter Zugriff auf einen solchen Drucker erhalten, zum Beispiel durch ein nicht geändertes Standardpasswort, kann er auf diverse Ressourcen zugreifen. Im schlimmsten Fall kann er Firmeninterna bzw. Geschäftsgeheimnisse abgreifen und dem Unternehmen somit großen Schaden zufügen.
3. Produktionsstörungen: Sollten Maschinen an das Firmennetzwerk angeschlossen sein, können sie bei einem erfolgreichen Angriff manipuliert werden. Dies hat Produktionsausfälle oder fehlerhafte Prozesse und ggf. einen Reputationsverlust zur Folge.
4. Diebstahl von Kundendaten: Nicht nur können hier kritische Daten entwendet werden und den Ruf des eigenen Unternehmens beschädigen können, neue Verordnungen zum Datenschutz belegen Datenlecks mit hohen Strafen.

Was Unternehmen tun können

Eine Möglichkeit, das eigene Netzwerk zu schützen, ist eine Sicherheitslösung, die eine Visibilität der gesamten Netzwerkumgebung gewährleistet. Somit kann jedes Gerät, unabhängig davon, ob es Software-Agenten erlaubt oder nicht, erfasst werden.

Firmen, die nach einer solchen Lösung schauen, sollten allerdings darauf achten, dass sie nicht nur den Netzwerkverkehr überwacht, sondern ihn auch regulieren kann. Beispielsweise sollte sie in der Lage sein, den Typ eines Geräts festzustellen sowie den Updatestatus des Betriebssystems und der Sicherheitssoftware zu erkennen. Stellt sich heraus, dass beispielsweise System oder Sicherheitsmechanismen einen veralteten Sicherheitsstatus aufweisen, kann die Lösung danach den Netzwerkzugriff dieser Geräte einschränken oder ihn gänzlich verweigern.

Darüber hinaus muss gewährleistet sein, dass sie mit bereits bestehenden Systemen zur Sicherung von Netzwerken kompatibel ist und diese nicht behindert. Und zuletzt gilt es, die Lösung so zu gestalten, dass sie für IT-Teams die wichtigsten Informationen zentral darstellt und aufzeigt, welche Aktionen gerade notwendig sind, um die Netzwerksicherheit zu gewährleisten.

Dies erfolgt vollständig automatisiert und erleichtert dem zuständigen Personal somit den Arbeitsalltag.

Fazit

Das IoT hat sich etabliert und stellt die IT-Security von Unternehmen vor große Herausforderungen. Deshalb sollten sie sich aber nicht davor verschließen, sondern die Möglichkeiten in Betracht ziehen, die das IoT bietet. Mit der richtigen Lösung zur Visibilität in Netzwerken können Unternehmen von den Vorteilen profitieren, ohne ihr Tagesgeschäft oder ihre Reputation aufs Spiel setzen zu müssen.

Weitere Infomatonen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit

datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 18.10.2018] Datenverschlüsselung ist seit jeher ein kritischer Bestandteil der IT-Sicherheitsstrategie jedes Unternehmens. Dies gilt in noch größerer Umfang, wenn die Speicherung von Daten auch oder ausschließlich außerhalb des eigenen Rechenzentrums in öffentlichen Clouds wie Amazon Web Services, Microsoft Azure oder Google Cloud Platform erfolgt. Rubrik, spezialisiert auf Cloud Data Management, hat aus diesem Grund einen Leitfaden zum Thema Datenverschlüsselung in der Cloud herausgebracht. Darin beschreibt Rubrik die Grundlagen der Verschlüsselung, die Voraussetzungen der Datensicherheit sowie die Datenverschlüsselung und Schlüsselverwaltung in den drei großen Public Clouds.

Die digitale Transformation hat die Anfälligkeit von Unternehmen für Cyberangriffe deutlich erhöht. Von gestohlenen Verbraucherdaten bis hin zu sensiblen Datenlecks: In den letzten Jahren kam es immer wieder zu teils spektakulären Sicherheitsvorfällen und Datenpannen. Kein Unternehmen und keine Institution scheinen mehr sicher zu sein vor den Hackern, die es auf sensible Daten abgesehen haben.

Die Integration der digitalen Technologie in alle Geschäftsbereiche von Unternehmen hat dazu geführt, dass mehr Daten auf Computern und Websites gespeichert werden. Da immer mehr Mitarbeiter auf einer Vielzahl von Geräten aus der Ferne arbeiten und auf vertrauliche Daten zugreifen, hat sich die Bedrohungslandschaft für Unternehmen erweitert. Der rasante Aufstieg der Public Cloud hat dieses Problem noch verschärft. Die Angriffsfläche, die durch Cyberkriminelle und Hacker bedroht wird, ist deutlich größer geworden.

Aus zahlreichen Gründen, wie falsch konfigurierte Speicherbereiche und nicht gepatchte Schwachstellen, ist es wahrscheinlich und kaum zu vermeiden, dass früher oder später Daten abhandenkommen. Unternehmen sollten daher konsequent den Ansatz verfolgen, alle in ihrem Besitz befindlichen Daten zu verschlüsseln. Dies gilt für Daten, die in Rechenzentren vor Ort gespeichert sind, ebenso wie für Daten, die in Public Clouds abgelegt sind. Nur so lässt sich die Vertraulichkeit aller Daten im Falle eines Sicherheitsvorfalls schützen.

In seinem neuen Leitfaden zur Datenverschlüsselung in der Cloud behandelt Rubrik die folgenden Themen:

• Praktiken zur Reduzierung von möglichen Datenlecks und die Voraussetzungen für die Vertraulichkeit von Daten
• Verschlüsselungsmethoden wie symmetrische Verschlüsselung oder Secret-Key-Verschlüsselung, asymmetrische
• Verschlüsselung oder Public-Key-Verschlüsselung und Envelope-Verschlüsselung
• Schlüsselmanagement und Best Practices
• Schlüsselgenerierung (symmetrisch/asymmetrisch)
• Datenverschlüsselung, also Verschlüsselungsmethoden und Schlüsselverwaltung, in den großen Public Clouds (Amazon Web Services, Microsoft Azure und Google Cloud Platform)
• Server-seitige versus Client-seitige Verschlüsselung in Zusammenhang mit AWS

Datensicherheit erfordert aktuelle technologische Kenntnisse und Fähigkeiten. Anderenfalls können unzureichende und unsichere Lösungen das Ergebnis sein. Mit seinem neuen Leitfaden zur Datenverschlüsselung in der Cloud will Rubrik Führungskräfte und IT-Verantwortliche in Unternehmen auf die Bedeutung der Datenverschlüsselung aufmerksam machen und Optionen für die Datenverschlüsselung aufzeigen.

Weitere Informationen zum Thema:

Rubrik
Data Encryption Guide

datensicherheit.de, 30.09.2018
Cloud Security Alliance eröffnet europäischen Hauptquartier in Berlin

datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware

IT-Systeme mit Sustainable Cyber Resilience für Angriffsfälle härten

Von unserem Gastautor Dirk Schrader, CMO von Greenbone Networks

[datensicherheit.de, 28.09.2018] Hacker gehen heute immer professioneller und aggressiver vor – und für Unternehmen ist es nur mehr eine Frage der Zeit, bis ein Angriff auf ihre IT-Systeme erfolgreich ist. Rein technologische Maßnahmen, die reaktiv auf die neuesten Hacker-Strategien ausgerichtet sind, reichen zur Abwehr jedoch nicht mehr aus. Vielmehr muss Cyber Security primär auch organisatorische Maßnahmen beinhalten. Das Konzept Sustainable Cyber Resilience zeigt, wie eine solche umfassende Sicherheitsstrategie aussehen kann.

Cyber-Attacken nehmen zu

Die Zahl an Cyber-Attacken auf Unternehmen nimmt stetig zu. Laut einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren 2016 und 2017 insgesamt bereits 70 Prozent der Unternehmen in Deutschland von Cyber-Angriffen betroffen. Doch die dabei eigentlich fatale Zahl: Bei knapp der Hälfte der Attacken konnten sich Hacker Zugriff auf die IT-Systeme der Unternehmen verschaffen und diese beeinflussen oder sogar manipulieren. Jeder zweite erfolgreiche Angriff zog zudem Produktions- oder Betriebsausfälle nach sich. Letzteres ist insbesondere bei Betreibern von Kritischen Infrastrukturen (KRITIS) höchst bedenklich – man male sich die Folgen eines Blackouts der Stromversorgung aus: Lebensmittel würden nicht mehr gekühlt, Notrufe ließen sich nicht tätigen und sogar die Frischwasserversorgung wäre gefährdet.

Unternehmen sind zum Schutz ihrer IT-Landschaft verpflichtet

Regulatorische Instanzen haben bereits auf die zunehmende Zahl von Cyber-Angriffen reagiert. Im Juli 2016 trat etwa die EU-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union, die NIS-Richtlinie, in Kraft. In Deutschland wurde dafür am 29. Juni 2017 das Umsetzungsgesetz zur NIS-Richtlinie verkündet. Es erweitert das bereits seit Juli 2015 existierende deutsche IT-Sicherheitsgesetz (IT-SIG), in dem schon viele der Regularien für kritische Infrastrukturen festgeschrieben sind, die das neue EU-Gesetz jetzt fordert. Das IT-SIG schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem „Stand der Technik“ umzusetzen und erhebliche IT-Störungen an das BSI zu melden. Auch die am 25. Mai 2018 verbindlich in Kraft getretene EU-DSGVO fordert, dass Unternehmen die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüfen. Zudem sind Sicherheitsvorfälle innerhalb von 72 Stunden zu melden.

Für Unternehmen ist es also höchste Zeit, die Sicherheitsvorkehrungen für die eigene IT-Landschaft unter die Lupe zu nehmen, um diesen Anforderungen gerecht zu werden und sich effektiv zu schützen. Denn Fakt ist: Fast alle Geschäftsprozesse in Unternehmen laufen heute digital ab oder haben elektronische Komponenten. Zudem sind sie meist komplex miteinander vernetzt. Das bedeutet: Hat sich ein Hacker einmal Zugriff auf das IT-System verschafft, kann er theoretisch auch auf andere am Netzwerk angeschlossene Geräte, Systeme und Applikationen oder auch Produktionsmaschinen zugreifen. So lautet die Frage heute nicht mehr, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann.

Auch bei erfolgreichen Hacker-Angriffen handlungsfähig bleiben

Das Vorhaben die komplette Unternehmens-IT angriffssicher zu machen, ist dabei jedoch aussichtslos. Denn mit jeder Änderung der Systemlandschaft – sei es eine neue Software, ein Update einer bestehenden Applikation oder auch ein nicht eingespieltes Patch – entstehen potenziell neue Schwachstellen. Daher empfiehlt es sich vielmehr, Risiken so gut wie möglich zu managen und so zu minimieren.

Das Konzept Sustainable Cyber Resilience bietet dafür die nötigen Handlungsansätze. Im Gegensatz zu herkömmlichen IT-Sicherheitsmaßnahmen, die vor allem auf Security-Technologie fokussieren, bezieht das Konzept auch die organisatorische Ebene mit ein. So gilt es, auch Mitarbeiter für Risiken zu sensibilisieren – sodass sie etwa betrügerische E-Mails erkennen können und infizierte Anhänge oder Links nicht öffnen. Auch die physische Sicherheit von Geräten (Safety) sollte ein zentraler Punkt in der Cyber-Resilience-Strategie eines Unternehmens sein, damit sich Mitarbeiter etwa im Falle eines Angriffs auf eine Produktionsmaschine nicht verletzen können. Zudem müssen auch Verantwortlichkeiten festgelegt werden, die genau regeln, wer bei welchem Sicherheitsvorfall für was zuständig ist. Ziel des Konzepts ist es, auch im Falle eines Angriffs handlungsfähig zu bleiben und den Betrieb aufrechtzuerhalten.

Schwachstellenmanagement ist elementar

Grundlage ist dabei ein effektives Schwachstellenmanagement (englisch: Vulnerability Management). Denn in erster Linie gilt es, die Angriffsfläche eines Unternehmens auf ein Minimum zu reduzieren. Ein gutes Tool scannt täglich alle an ein Netzwerk angeschlossenen Geräte auf Schwachstellen und gibt Hinweise, wie sie sich schließen lassen. Doch auch hier gilt: Alle Vulnerabilities flächendeckend zu bearbeiten, ist weder möglich noch wirtschaftlich. Vielmehr müssen sie gemäß ihrem Risiko priorisiert werden – sprich: Welchen Schaden könnte ein Angriff auf die jeweilige Schwachstelle verursachen? Notwendig ist zudem, einen Risikoschwellenwert zu definieren. Dieser beschreibt, welches Risiko ein Unternehmen bereit ist, einzugehen. In Bezugnahme auf beide Kennzahlen – dem potenziellen Schaden und dem Risikoschwellenwert – erstellt das Schwachstellen-Tool dann eine priorisierte Liste. Schwachstellen mit dem höchsten Risiko sollten Verantwortliche als Erstes schließen.

Fazit: Risiken lassen sich auf ein Minimum reduzieren

Die Gefahr durch Cyber-Angriffe steigt. Um auch im Falle einer erfolgreichen Hacker-Attacke – wie sie früher oder später der Fall sein wird – handlungsfähig zu bleiben, müssen Unternehmen widerstandsfähig gegen Angriffe werden. Das schreiben auch regulatorische Instanzen wie die EU vor. Kernbausteine einer guten Cyber-Resilience-Strategie sind sowohl organisatorische Maßnahmen als auch ein professionelles Vulnerability Management. Letzteres spürt bekannte Schwachstellen auf, bewertet ihr Risiko und gibt Handlungsempfehlungen, um sie zu schließen. Auf diese Weise lassen sich Risiken zwar nicht komplett ausschalten, aber auf ein Minimum reduzieren. So bleiben Unternehmen auch im Ernstfall handlungsfähig.

Bild: Greenbone Networks

Dirk Schrader, CMO Greenbone Networks

Über den Autor

Dirk Schrader (CISSP, CISM) ist Chief Marketing Officer (CMO) bei Greenbone, Lösungsanbieter zur Schwachstellen-Analyse von IT-Netzwerken. Er verfügt über mehr als 15 Jahre Erfahrung im Bereich IT Security. Bei Greenbone ist er im Management-Team für die Marketingaktivitäten sowie den internationalen Vertrieb mit einem erweiterten Partnernetzwerk verantwortlich.

Weitere Informationen zum Thema:

Greenbone Networks
Sustainable Cyber Resilience im Energiesektor

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

datensicherheit.de, 29.08.2018
Staatlicher Umgang mit Schwachstellen in Software

datensicherheit.de, 19.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit

[datensicherheit.de, 01.03.2018] Laut einer aktuellen CyberArk-Untersuchung ändert mehr als ein Drittel der deutschen Unternehmen auch nach einer Cyber-Attacke kaum die Sicherheitsstrategie. Die globale Umfrage „Advanced Threat Landscape“ wurde nach CyberArk-Angaben zum elften Mal durchgeführt – demnach wurden 1.300 IT-Verantwortliche und Geschäftsbereichsleiter, darunter 200 aus Deutschland, befragt.

„Privileged Account Security“ und Endpunktsicherheit im Fokus

Ein Untersuchungsschwerpunkt seien die Unternehmensaktivitäten rund um „Privileged Account Security“ und Endpunktsicherheit gewesen. Obwohl sowohl die Anzahl der Attacken als auch der dadurch verursachte Schaden stiegen, blieben die Unternehmen in Sachen IT-Sicherheit vielfach noch zu inaktiv – sie setzten weiterhin auf herkömmliche Sicherheitsmaßnahmen, die bewiesenermaßen nur unzureichend Schutz böten.
So hätten auch 39 Prozent der befragten deutschen Unternehmen erklärt, dass sie ihre Sicherheitsstrategie nicht signifikant verändern würden, wenn sie Opfer einer Cyber-Attacke geworden sind.

Unverzichtbar: Schutz privilegierter Accounts!

Für den Großteil der befragten deutschen Unternehmen sei die Sicherung privilegierter Accounts für den Schutz der IT-Umgebung von erheblicher Bedeutung – 96 Prozent stimmten der Aussage, dass „IT-Infrastruktur und kritische Daten erst dann vollständig geschützt sind, wenn die privilegierten Accounts und Zugangsdaten gesichert sind“, vollständig oder teilweise zu.
Doch hierbei bestehe bei vielen Unternehmen noch Handlungsbedarf: Zwar bestätigten 42 Prozent, dass sie in den letzten beiden Jahren Sicherheitsmaßnahmen zum Management privilegierter Accounts getroffen haben, doch mehr als die Hälfte (51 Prozent) befinde sich allerdings erst im Planungsstadium.

Nach wie vor unzureichend vor Cyber-Bedrohungen geschützt

Nicht überraschend sei deshalb auch, dass die Unternehmen nach wie vor unzureichend vor Cyber-Bedrohungen geschützt sind. So bestätigten auch 53 Prozent, dass sie den Zugriff von Angreifern auf das interne Netzwerk nicht in jedem Fall verhindern könnten – und fast die Hälfte (47 Prozent) der deutschen Unternehmen erklärt laut CyberArk, dass Kunden- oder generell personenbezogene Daten Sicherheitsrisiken ausgesetzt sind.
„Diese Zahl ist mehr als überraschend“, betont Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. Angesichts der bevorstehenden EU-Datenschutz-Grundverordnung (EU-DSGVo) könne sich eigentlich kein Unternehmen mehr einen laxen Umgang mit personenbezogenen Daten leisten.

„Cyber-Angreifer entwickeln ihre Methoden und Taktiken permanent weiter. Inaktivität oder Stillstand auf Unternehmensseite bei der IT-Sicherheit kann nicht die adäquate Antwort sein“, unterstreicht Kleist.
Unternehmen müssten sich mit den zentralen Einfallstoren auseinandersetzen. Kleist: „Dass ungesicherte privilegierte Accounts dabei zu den größten Sicherheitsrisiken gehören, ist inzwischen weitgehend bekannt, wie die Untersuchung zeigt. Das ist schon einmal positiv, jetzt fehlt es vielfach noch an der Umsetzung erforderlicher Sicherheitsmaßnahmen.“

Auch Endpunkte ebenfalls ein Sicherheitsrisiko

Administratorenrechte oder weitreichende Benutzerrechte stellten gerade auch auf Endgeräten ein großes Risiko dar, das allerdings vielfach noch nicht berücksichtigt werde. Darauf deutet laut Kleist auch folgende Entwicklung hin: Die Befragten bestätigten, dass die Zahl der Anwender, die über lokale administrative Privilegien auf ihren Endgeräten verfügen, von 64 Prozent in der letztjährigen Untersuchung auf jetzt 83 Prozent gestiegen sei – eine Zunahme um 19 Prozentpunkte.
„In unseren Augen ist das genau der falsche Weg. Dass auch normale Anwender auf ihrem ,Windows‘-Rechner Administratorenrechte erhalten, erhöht die Sicherheitsgefahren drastisch“, warnt Kleist. „Vielmehr sollten Unternehmen eine Lösung einsetzen, die die Umsetzung flexibler Least-Privilege-Richtlinien für Fach- und administrative Anwender unterstützt – mit einer Einschränkung der Privilegien auf das notwendige Mindestmaß und mit einer bedarfsabhängigen, temporären Vergabe von höheren Rechten.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2017
Häufig von Unternehmen unterschätzt: Privilegierte Zugriffsrechte als Sicherheitsrisiko

datensicherheit.de, 12.07.2013
Acht Prämissen für die effiziente Verwaltung privilegierter Accounts

datensicherheit.de, 22.05.2013
Cyber-Ark-Studie zeigt: Sicherheitsrisiken privilegierter Accounts werden unterschätzt

[datensicherheit.de, 09.12.2016] Laut einer aktuellen Umfrage Umfrage von IDG unter rund 500 IT-Sicherheitsverantwortlichen von Unternehmen aus Deutschland, Österreich und der Schweiz verfügen mehr als 80 Prozent der Unternehmen über eine klare IT-Sicherheits-Strategie. Dabei nähmen nur 20 Prozent der Unternehmen die IT-Sicherheit selbst in die Hand – die Mehrzahl vertraue auf externe Dienstleister.

Bedrohungslage zwingt alle Unternehmen zum Handeln

IT-Sicherheit werde in Unternehmen zur strategischen Frage – gleichzeitig steige der Investitionsbedarf, so Ergebnisse der von Cisco unterstützten „CISO Security Studie“ von IDG Research Services, die unter rund 500 IT-Entscheidern in unterschiedlichen Positionen durchgeführt worden sei. Diese Studie werde im Rahmen des „Cisco Executive Security Summit“ in Frankfurt am Main veröffentlicht.
Die gegenwärtige Bedrohungslage zwinge alle Unternehmen zum Handeln, betont Klaus Lenssen, „CSO“ für Cisco in Deutschland: „Und zwar unabhängig davon, wie IT-nah ihr Kerngeschäft ist.“ Viele Unternehmen nähmen diese Verantwortung ernst und handelten beim Thema Sicherheit schnell und gezielt. Dies sei eine positive Entwicklung, die sich auch in ihrer Studie widerspiegele.

IT-Sicherheit erfordert Investitionen

Der Studie zufolge verfolgen 84 Prozent der befragten Firmen einen strategischen Ansatz bei IT-Sicherheit, weitere elf Prozent planen in den nächsten zwölf Monaten den Aufbau strategischer Security-Konzepte. Darin zeichne sich eine engere Bindung an die Geschäftsführung ab. Denn Verantwortliche für Informationssicherheit seien in 48 Prozent der Firmen direkt dem Geschäftsführer unterstellt, bei kleinen Unternehmen sogar 93 Prozent.
Damit Security-Strategien dabei langfristig Bestand haben, forderten knapp 80 Prozent der Befragten mehr Geld für IT-Sicherheit, 30 Prozent erachteten eine Budgeterhöhung als unerlässlich. Aber nur rund 29 Prozent der Unternehmen würden in den nächsten zwölf Monaten sicher das Budget für IT-Sicherheit erhöhen – die übrigen zögerten oder planten keine Erhöhung.

IT-Sicherheit: Externe Dienstleister und interne Kompetenzen notwendig!

Fehlende Investitionsbereitschaft sei ein ernstzunehmendes Risiko für den Aufbau einer nachhaltigen Security-Infrastruktur, ebenso wie fehlendes Sicherheits-Know-How im Unternehmen selbst. Der Fachkräftemangel verlange nach Lösungen – etwa in Form von beratenden IT-Dienstleistern. Dabei entscheide die Unternehmensgröße über Art und Umfang der eingekauften Dienstleistung.
80 Prozent der befragten Unternehmen gäben an, externe IT-Dienstleister auf strategischer und personeller Ebene einzusetzen. Jedes vierte Unternehmen mit weniger als zehn Millionen Euro IT-Budget verzichteten dagegen auf externe Dienstleister und nehme die Security-Infrastruktur selbst in die Hand.
Insbesondere kleinere Unternehmen setzten daher beim Aufbau auf das interne Know-How. Dabei sähen die Befragten besonders bei der Erweiterung der personellen Ressourcen, dem Risikopotenzial durch eigene Mitarbeiter (jeweils 27%) sowie dem Fachkräftemangel im Markt (26%) Herausforderungen. Für ein Viertel der befragten Unternehmen seien daher die Aus- und Weiterbildung von Security-Mitarbeitern (25%) sowie der Kompetenzaufbau bei Sicherheits-Verantwortlichen (24%) entscheidende Investitionsfelder.

Ganzheitlicher IT-Sicherheits-Ansatz

Bei technischen Vorkehrungen stünden Zugangs- und Rechtekontrollen sowie das Passwortmanagement an erster Stelle, 55 Prozent der Unternehmen setzten auf diese Maßnahmen. Danach folgten die Endpoint-Kontrolle (54 Prozent) sowie ein besseres Daten-Backup-System (48 Prozent).
„Zusätzlich zu diesen Einzelmaßnahmen empfiehlt sich ein ganzheitlicher Sicherheitsansatz vom Netzwerk, über die Endpunkte bis hin zur Cloud“, so Lenssen. IT-Sicherheit könne nur dann den bestmöglichen Schutz bieten, wenn Bedrohungen vor, während und nach einem Angriff umfassend beobachtet, schnellstmöglich erkannt und effektiv bearbeitet würden.

Weitere Informationen zum Thema:

Cisco Blog Deutschland, 09.11.2016
Klaus Lenssen: „Security Summit: IT-Sicherheit entscheidet über den Erfolg – und kostet“

datensicherheit.de, 08.12.2016
IT-Sicherheit: Gründliche Planung ist Voraussetzung

[datensicherheit.de, 26.08.2011] Laut einer internationalen Kaspersky-Umfrage betrachtet knapp jedes zweite Unternehmen (46 Prozent) Internetbedrohungen als eines der „Top-3“-Risiken:
In Deutschland sei die Lage ähnlich; hier fürchteten 44 Prozent der Befragten IT-Angriffe. Weniger dramatisch schätze man die Cyber-Bedrohungslage in Italien (33 Prozent) und in Frankreich (36 Prozent) ein. Die meisten Gedanken um Cyber-Gefahren mache man sich in Großbritannien. Dort betrachteten fast zwei von drei Unternehmen (64 Prozent) IT-Bedrohungen als eines der Top-Risiken für die Entwicklung der eigenen Firma.
Unternehmen benötigen deshalb eine für sie passende Sicherheitsstrategie, sollten diese auch regelmäßig überprüfen und – falls notwendig – angleichen. Wichtig dabei sei, Sicherheit ist eine breit angelegte Aufgabe zu betrachten, so KASPERSKY lab. Zu Beginn sollte eine Anforderungsanalyse stehen, die von einem abteilungsübergreifenden Team durchgeführt wird. Ausgehend von dieser Analyse könnten Unternehmen dann ein maßgeschneidertes Sicherheitskonzept entwerfen. Dass ein solches Konzept mittlerweile unverzichtbar sei, habe die Vielzahl an Vorfällen in den vergangenen Jahren bewiesen.
Die Umfrage wurde in Kooperation mit dem globalen Marktforschungsinstitut B2B International durchgeführt. Insgesamt seien 1.300 IT-Verantwortliche aus Deutschland, USA, Brasilien, Großbritannien, Frankreich, Spanien, Italien, Russland, China, Japan und Indien befragt worden. Alle Befragten hätten Einfluss auf die
IT-Sicherheitspolitik ihres Unternehmens und beschäftigten sich professionell mit IT-Sicherheitsbelangen sowie allgemeinen Geschäftsprozessen (zum Beispiel Finanzen und „Human Resources“). Die Umfrage sei nicht repräsentativ.

Weitere Informationen zum Thema:

KASPERSKY lab, 25.08.2011
IT-Bedrohungen: So bereiten Sie Ihr Unternehmen vor

KASPERSKY lab, 05.07.2011
Der Kampf gegen Malware: Jedes dritte Unternehmen beklagt Datenverlust