Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

[datensicherheit.de, 16.04.2020] Im vergangenen Jahr 2019 waren zwei Drittel der Organisationen im Gesundheitssektor von Cybersicherheitsvorfällen betroffen. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Enisa-Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): „Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden“, fasst Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zusammen.

Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs, soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können“, erläutert Tulinska.

Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. „Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist“, lobt Patrycja Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht. In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem werden aus den internen Abteilungen Anforderungen gesammelt.

Umfangreiche Aufgaben für den CTO

Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. „In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen“, informiert Tulinska. In der anschließenden Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Im Rahmen eines Sourcing-Prozesses können beispielsweise entsprechende Ausschreibungen veröffentlicht werden, die eingehenden Angebote durch einen Ausschuss bewertet und die geeignetsten Produkte in die engere Wahl genommen, bis der Auftrag schließlich an ein Unternehmen vergeben wird. „Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen werden, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden“, informiert die IT-Sicherheitsexpertin. In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. „Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurationsmanagement durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen“, so Patrycja Tulinska weiter.

Weitere Informationen zum Thema:

PSW Group
Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 17.03.2020] Über 90 Prozent der IT-Experten in Deutschland schätzt die allgemeine Bedrohungslage bei der Internet-Sicherheit als wachsend ein. 42 Prozent bezeichnen sie sogar als stark wachsend. Von einer gleichbleibenden Bedrohung spricht nur jeder Zehnte (9 Prozent). Das zeigt die heute veröffentlichte IT-Sicherheitsumfrage 2020. Seit 2010 veröffentlicht der eco – Verband der Internetwirtschaft e. V. diese Studie und hat dafür in diesem Jahr 294 Experten aus der IT-Branche befragt.

Die Bedrohungslage im eigenen Unternehmen beurteilen die Experten dabei deutlich positiver als in Deutschland insgesamt. Die deutsche Wirtschaft sei IT-sicherheitstechnisch unzureichend aufgestellt – das sagen Zweidrittel (66 Prozent) der befragten Experten. Beim eigenen Unternehmen sind die Befragten optimistischer, hier denken nur 15 Prozent, es sei unzureichend gegenüber Cybercrime abgesichert. 32 Prozent empfinden sich als ausreichend abgesichert, 37 Prozent als gut und 16 Prozent sogar als sehr gut.

Bedrohungslage noch immer unterschätzt

„Die Diskrepanz bei der Beurteilung der eigenen Sicherheitslage und der Sicherheitslage in Deutschland allgemein zeigt, wie schwer es selbst Experten fällt, die Bedrohung richtig einzuschätzen“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V. „Grade viele Mittelständler stehen im Fokus international agierender Cyberkrime-Netzwerke und sind sich dessen nicht bewusst.“

Für eine Fehleinschätzung in vielen Unternehmen sprechen auch weitere Zahlen der Studie: In 28 Prozent der Unternehmen gab es in den letzten Jahren mindestens einen gravierenden Sicherheitsvorfall. Das sind 2 Prozent mehr Unternehmen als noch ein Jahr zuvor. Meist handelte es sich dabei um Attacken mittels Ransomware, Website Hacking oder DDos-Attacken.

Mitarbeiterschulungen für mehr Cyber-Sicherheit

Immerhin: bei der Vorsorge gegen solch gravierende Sicherheitsvorfälle verbessern sich die Unternehmen. Rund 63 Prozent haben einen Notfallplan festgelegt, um im Falle eines Cybercrime-Vorfalls entsprechend reagieren zu können. Ein Jahr zuvor hatten erst 57 Prozent der befragten Unternehmen einen entsprechenden Plan oder entsprechende interne Prozesse definiert. Als zweite Vorsorgemaßnahme setzen Unternehmen zudem verstärkt auf Mitarbeiterschulungen. Nachdem im vergangen Jahr 41 Prozent der Befragten angaben, Mitarbeiter zu Cybercrime regelmäßig zu schulen und zu sensibilisieren, waren es in der Studie 2020 bereits 52 Prozent, sprich 11 Prozent mehr Unternehmen.

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e. V.
eco IT-Sicherheitsstudie 2020: Unternehmen rüsten sich für den Ernstfall

datensicherheit.de, 02.02.2020
Neues Leistungsschutzrecht: eco kritisiert vorliegende Pläne

datensicherheit.de, 09.09.2019
eco kritisiert: Urheberrecht-Richtlinie wird Internet für immer verändern / Polen hat vor dem Europäischen Gerichtshof Klage eingereicht

[datensicherheit.de, 22.04.2019] Innerhalb der letzten Monate wurden etliche Office-365-Anwendungen  kompromittiert. Daraus werde deutlich, dass auch Cloud-Anwendungen durch intelligente Angriffe stark gefährdet seien. Ryan Kalember, Senior Vice President of Cybersecurity Strategy bei Proofpoint, kommentiert diese Entwicklung wie folgt:

„Die jüngste Bestätigung durch Microsoft, dass Office-365-Konten kompromittiert wurden, unterstreicht einmal mehr das wachsende Risiko von Cloud-Account-Attacken. Insbesondere, da Angreifer kreative Phishing-Köder sowie zielgerichtete und hochentwickelte Brute-Force-Verfahren einsetzen und zudem immer neuere Wege bei der Umgehung der Multi-Faktor-Authentifizierung beschreiten. Im Rahmen einer sechsmonatigen Studie mit einer Vielzahl von Office 365-Nutzern haben wir festgestellt, dass 72 Prozent der untersuchten Tenants durch Cyberkriminelle attackiert wurden und dass 40 Prozent aller Tenants mindestens ein kompromittiertes Konto in ihrer Unternehmens-Umgebung hatten.“

Cyberkriminelle zielen auf Mitarbeiter aus dem mittleren Management ab

Kalember führt ferner aus: „Aufgrund der Zugriffsmöglichkeiten, die ein Angreifer bereits mit Hilfe eines einzigen kompromittierten Kontos erlangen kann, zielen Cyberkriminelle oftmals auf Mitarbeiter aus dem mittleren Management ab. Da diese von den Sicherheitsteams nicht besonders geschützt werden, ist diese Vorgehensweise oft einfacher als ein Angriff auf technische Infrastruktur eines Unternehmens.“

„Im Fadenkreuz der Angreifer befinden sich besonders oft Konten des Kundenservice, sowohl aufgrund der vielversprechenden Zugriffsrechte, als auch weil Mitarbeiter dieser Abteilungen im Rahmen ihres Arbeitsalltags häufig mit fragwürdigen Links und Anhängen konfrontiert werden. Raffinierte Angreifer nehmen oft auch gemeinsam genutzte Konten (wie customerservice [at] company [dot] com oder support [at] company [dot] com) ins Visier, da derartige Postfächer viele Mitarbeiter gleichzeitig erreichen und mit einer Multifaktor-Authentifizierung nur schwer zu schützen sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 15.04.2019
Malware – Das Böse kommt immer öfter per Dokumentenanhang

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

datensicherheit.de, 03.07.2018
Cyberangriffe durch Office-Dokumente werden häufiger und komplexer

Ohne angemessene Sicherheitsmechanismen können IoT-Geräte leicht gehackt werden

Von unserem Gastautor Stu Sjouwerman, CEO bei KnowBe4

[datensicherheit.de, 28.01.2019] IoT-Geräte machen unser alltägliches Leben einfacher und komfortabler, zum Beispiel in der Medizintechnik, aber auch auf der Arbeit und zu Hause. Ohne angemessene Sicherheitsmechanismen kann ein IoT-Gerät jedoch leicht gehackt werden und Hacker erhalten möglicherweise Zugang zu mehr als nur dem Gerät selbst. Um sich das Ausmaß der Schäden bei Sicherheitsvorfällen mit IoT-Geräten vor Augen zu führen, eignet sich ein Blick auf den Fall von Daniel Kaye.

Befehl zum DDoS-Angriff von einem Mobiltelefon

Kaye verdient seinen Lebensunterhalt als Cyberkrimineller und wurde dadurch bekannt, dass er im Oktober 2015 einen massiven und verheerenden Angriff auf den größten Mobilfunk- und Internet-Anbieter in Liberia, Lonestar, durchgeführt hat. Der Angreifer hat von Zypern aus mit Hilfe seines Mobiltelefons den Befehl für einen DDOS-Angriff gegeben, der als Grundlage für den Angriff mehrere IoT-Geräte aus dem Botnetz Mirai nutzte. Mirai bestand aus einer großen Anzahl von Internet-Routern und Webcams, die von Firmen in China hergestellt werden. Diese gehackten Geräte werden typischerweise für Sicherheits- und Internetdienste in Privathaushalten und Unternehmen verwendet, so dass die Fremdnutzung der CPU-Leistung zumeist nicht weiter auffällt. Das Botnetz konnte das Netzwerk des liberianischen Telekommunikationsanbieters sofort lahmlegen, in der Folge konnten die Nutzer keine Mobilfunk-Services mehr nutzen. Zeitweise gab es sogar in ganz Liberia kein stabiles Mobilfunknetz.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

Angriff auf die Deutsche Telekom

Im November 2016 führte Kaye dann einen ähnlichen Angriff auf die Deutsche Telekom durch. Obwohl der Angriff nicht ganz so erfolgreich war, waren bundesweit fast eine Million Telekom-Nutzer zeitweise ohne Internet. Nachdem er verhaftet worden war, sagte Kaye, dass er die Sicherheitslücke an den billigen Kameras und Routern ausgenutzt hatte, um seinen Angriff auf die Router ohne das Wissen der Eigentümer und der betroffenen Dienstleister durchzuführen.

In einem anderen Fall wurde die Überwachungskamera einer Familie, die zur Überwachung ihres Babys verwendet wurde, gehackt. Der Hacker erschreckte die Familie, indem er Ihnen sagte, dass er bereits im Kinderzimmer gewesen wäre und ihr Baby entführen wollte. In einem anderen Fall kompromittierte ein White Hat Hacker eine Überwachungskamera und sprach dabei mit dem Besitzer der Kamera. Natürlich warnte er ihn davor, wie unsicher das Gerät war.

In den Nachrichten wurde im letzten Jahr ein Sicherheitsvorfall publik, bei dem Casino-Daten durch ein smartes Gerät zur Regelung der Temperatur in einem Aquarium über eine Schwachstelle angriffen und kompromittiert wurde. Da viele kleinere IT-Abteilungen auf einfach zu implementierende und zu verwaltende Sicherheitskameras angewiesen sind, sind diese internetfähigen Geräte der perfekte Einstiegspunkt für externe Angreifer.

Verbraucher und Unternehmen sollten deshalb beim Anschluss dieser Geräte – sowohl zu Hause als auch im Büro – die folgenden Hinweise sorgfältig lesen und beachten:

• Einschränkung des externen Zugangs – In allen oben genannten Fällen waren die smarten Geräte frei über das Internet angreifbar, denn sie waren nicht abgesichert. Die intelligenten Geräte sollten mit dem Netzwerk verbunden werden und der Zugriff auf das Netzwerk über eine VPN-Verbindung abgesichert werden.
• Zwei-Faktor-Authentifizierung verwenden – Viele IoT-Geräte unterstützen eine Zwei-Faktor-Authentifizierung. Durch die Verwendung einer Mehrfaktor-Authentifizierung wird die Möglichkeit für erfolgreiche Hackerangriffe auf die Geräte limitiert. In allen beschriebenen Fällen hätte eine aktivierte Mehrfaktor-Authentifizierung die Angreifer daran gehindert, die Kontrolle über die Geräte zu erlangen.
• Unterschiedliche Passwörter verwenden – In einem der oben genannten Szenarien wurden die Informationen des Benutzers im Web kompromittiert, einschließlich des Passworts, das er auf mehreren Websites und seiner Kamera verwendet hat. Verbraucher sollten für jeden Standort, jedes Gerät, jede Anwendung usw. unterschiedliche Passwörter verwenden. Es gibt eine Vielzahl von webbasierten oder hardware-basierten Passwort-Speichern, die beim Schutz der Passwörter helfen.
• Die Wiederverwendung von Passwörtern ist keine Seltenheit – nach den Angaben des Herstellers Last Pass in der Studie „State of the Password 2018“ verwendet die Hälfte aller befragten Mitarbeiter Passwörter sowohl für Privat- als auch für Geschäftskonten. Diese Doppelverwendung stellt eine Gefahr für die Unternehmen dar. Benutzer müssen durch ein Security Awareness-Training auf folgende Maßnahmen geschult werden: die richtige Passwort-Etikette, die einfache Verwendung von Passwörtern, die Erstellung sicherer Passwörter und anderer damit zusammenhängender Maßnahmen.

Fazit

In der nahen Zukunft werden wir alle noch weitaus mehr IoT-Geräte am Arbeitsplatz und zu Hause nutzen und viele dieser Geräte werden Daten über uns erheben, von denen wir nicht einmal wussten, dass wir diese erzeugen. Deshalb ist bereits heute ein guter Zeitpunkt, um über die richtige Absicherung dieser Geräte nachzudenken, unabhängig davon, wo und wofür sie verwendet werden. Darüber hinaus sollten die Mitarbeiter ein Security Awareness-Training absolvieren, um über die Risiken von Phishing-E-Mails und schwachen Passwörtern aufgeklärt zu werden. Nur dann können in Zukunft Vorfälle ähnlich denen bei der Telekom oder Lonestar gänzlich verhindert werden. Oder zumindest abgemildert und den Hackern das Leben schwerer gemacht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

[datensicherheit.de, 11.10.2018] Die Netwrix Corporation, Anbieter einer Sichtbarkeitsplattform für Datensicherheit und Risikominderung in hybriden Cloud-Umgebungen, stellte auf der it-sa 2018 in Nürnberg die Ergebnisse seines 2018 IT Risks Reports für Deutschland vor. In diesem Jahr führte Netwrix eine tief greifende Studie zu den wichtigsten IT-Risiken durch, die für die meisten Unternehmen bedeutend sind, und befragte die Teilnehmer, ob sie darauf vorbereitet sind. Für die Studie wurden 1.558 Teilnehmer weltweit befragt, 132 davon arbeiten in Deutschland.

Abgefragt wurden die 6 Risiken: Physikalische Schäden, IP Diebstahl (Intellectual Property), Datenverluste, Data Breach, Systemstörungen und Compliance-Strafen.

Die wichtigsten Erkenntnisse des Reports sind:

• Stromausfälle waren im letzten Jahr die häufigsten Störungen in deutschen Unternehmen. Daraus entstanden physikalische Schäden in 48 Prozent, Datenverluste in 28 Prozent und Systemstörungen in 36 Prozent der Fälle.
• Zusammen mit Insidern sind ausgeschiedene Mitarbeiter die größte Gefahrenquelle für IP Diebstahl (53 Prozent) und Datenverluste (46 Prozent). IT-Teammitglieder waren in Data Breach-Vorfälle zu 54 Prozent und bei Systemstörungen zu 61 Prozent involviert.
• Nicht alle Sicherheitskontrollen werden regelmäßig überprüft, obwohl dies nötig wäre. Die am meisten vernachlässigte Kontrolle ist mit 28 Prozent die Überprüfung von Ordnern, auf die alle Mitarbeiter Zugriff haben. Weitere vernachlässigte Kontrollen sind unter anderem die Überprüfung der Zuverlässigkeit der Hardware (43 Prozent) und die Klassifizierung von Daten aufgrund ihres Wertes und ihrer Sensibilität (30 Prozent), die beide nur einmal im Jahr durchgeführt werden.
• 62 Prozent der deutschen Unternehmen haben mindestens einmal ein IT Risk Assessment durchgeführt, aber nur 15 Prozent überprüfen ihre IT-Risiken regelmäßig.
• 73 Prozent der Teilnehmer sagten, dass sie die Erkennung von Sicherheitsvorfällen verbessern müssen, um besser auf Cybergefahren reagieren zu können.
• Jedes fünfte Unternehmen hat keinen Incident Response Plan.

„Insider sind für die meisten Sicherheitsvorfälle in Deutschland verantwortlich, weil vielen Unternehmen ein holistischer Ansatz in der Security fehlt. So schaffen sie es nicht, die Vorfälle zeitnah zu entdecken. Um diese Situation in den Griff zu bekommen, müssen die Unternehmen drei wichtige Punkte beachten. Zunächst müssen Sicherheits-Best-Practises befolgt werden. Zweitens benötigen die Unternehmen die komplette Einsicht in ihre IT-Infrastruktur und ihre sensiblen Daten. Drittens müssen Unternehmen ihre Sicherheitsbemühungen anhand eines regelmäßig durchgeführten IT Risk Assessment priorisieren. Mit diesem Plan können sie Gefahren richtig identifizieren und einen Incident Response-Plan entwickeln“, sagt Gerald Lung, Country Manager DACH bei Netwrix.

Weitere Informationen zum Thema:

Netwrix Research
2018 Netwrix IT Risks Report

datensicherheit.de, 05.10.2018
Sicherheitsvorfälle im Finanzwesen 2018 laut Bitglass-Report auf Rekordniveau

datensicherheit.de, 25.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

[datensicherheit.de, 05.10.2018] Das Unternehmen Bitglass gibt in seinem aktuellen Financial Breach Report 2018 einen Überblick der Sicherheitsvorfälle im Finanzwesen im Zeitraum von Januar bis August diesen Jahres. Mit insgesamt 103 bekannt gewordenen Sicherheitsvorfällen hat sich die Zahl gegenüber dem Jahr 2016, in dem der letzte Bitglass-Report erschien, nahezu verdreifacht (2016: 37 Fälle). Fast drei Viertel dieser Vorfälle (73,5 Prozent) gehen dabei auf Hacking und Malware zurück. Auch dies markiert einen massiven Anstieg gegenüber 2016, in dem auf diese lediglich 20 Prozent aller Vorfälle entfielen. Die wesentlichen Gefahren, von denen Finanzunternehmen im Jahr 2018 betroffen waren, waren Ransomware wie WannaCry sowie verschiedene Ransomware-as-a-Service-Varianten, Cloud-Kryptojacking und modulare Banking-Trojaner wie Emotet.

Enormer Verlust von sensiblen Daten im Bankenwesen 2018

Auch die Anzahl an verloren gegangenen Datensätzen, die 2016 noch insgesamt bei 64.512 Stück lag hat sich massiv gesteigert. Allein die Summe der verloren gegangenen Daten bei den drei größten Vorfällen 2018 übertrifft die aus dem Jahr 2016 bei Weitem: Spitzenreiter, was die Anzahl an exponierten Daten anbelangt, ist SunTrust Banks mit 1,5 Millionen Datensätzen, mit deutlichem Abstand gefolgt von Guaranteed Rate (188.000 Datensätze) und der RBC Royal Bank (66.000 Datensätze).

„Finanzunternehmen verarbeiten regelmäßig sensible, regulierte Daten wie Privatadressen, Kontoauszüge und Sozialversicherungsnummern“, sagte Rich Campagna, CMO von Bitglass. „Diese Art von Informationen ist ein unglaublich attraktives Ziel für Kriminelle, was bedeutet, dass sie sehr wachsam sein müssen, wenn es um Cybersicherheit geht. Wenn es nicht gelingt, Daten zu schützen und die gesetzlichen Vorschriften einzuhalten, kann dies für jedes Unternehmen eine Katastrophe bedeuten.“

Methodik

Bitglass aggregierte Daten aus dem Identity Theft Resource Center (ITRC) und dem Privacy Rights Clearinghouse (PRC). Diese eigenständigen Datenbanken sammeln Jahr für Jahr Informationen über Datendiebstahl in Finanzdienstleistungsunternehmen. Durch die gleichzeitige Analyse ihrer Aufzeichnungen konnte Bitglass Erkenntnisse über die finanziellen Verletzungen im Jahr 2018 gewinnen.

Weitere Informationen zum Thema:

Bitglass
Financial Breach Report 2018

datensicherheit.de, 25.09.2018
PCI DSS: Verizon 2018 Payment Security Report veröffentlicht

datensicherheit.de, 25.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

[datensicherheit.de, 11.09.2018] Opfer von Cyberkriminalität sind häufig der Meinung, Ziel eines isolierten Angriffs gewesen zu sein, doch das entspricht nicht der Realität: Die monatliche Zahl der Unternehmen, die Datenverletzungen oder Sicherheitsvorfälle erleiden, geht in die Tausende. Die meisten Datenverletzungen gelangen niemals an die Öffentlichkeit, sodass andere Unternehmen nicht daraus lernen können.

Cybercrime-Unterlagen in Form von Szenarios

Verizon veröffentlicht im Data Breach Digest seine Cybercrime-Unterlagen in Form von Szenarios. So entsteht ein umfassender Insider-Einblick bei Cyberbedrohungen. Dieses Jahr nimmt jede Geschichte eine andere Perspektive ein und handelt von einem anderen Branchensektor. Der Leser folgt dem Fall vom Bekanntwerden über die reaktiven Untersuchungen bis hin zu den Lernergebnissen. Zusätzlich gibt es Tipps zu Erkennung, reaktiven Maßnahmen, Schadensminderung und Prävention.

Die Fälle werden regelmäßig auf der LinkdIn-Seite Verizon Cybersecurity vorgestellt und sind auch auf der Verizon Resource Site einsehbar. Die nachfolgende Liste wird bei jeder Neuveröffentlichung aktualisiert.

• Diebstahl von Zugangsdaten – The Monster Cache: Zugangsdaten geraten immer häufiger ins Visier von Cyberkriminellen, jedoch lässt sich unerlaubter Zugriff relativ leicht verhindern. In der Geschichte dazu wird beschrieben, wie sich Unternehmen vor Angriffen schützen können, indem sie Cyberangriffsmodelle der Ziele von Threat Actors entwickeln, sich bestimmte Fähigkeiten und Methoden aneignen und dies mit einer Profildefinition der Organisation verknüpfen. Der Fall zeigt klar, wie das Bewusstsein für den Angriffsvektor, der in der Branche des angegriffenen Unternehmens typischerweise zum Einsatz kommt, eine bedeutende Datenverletzung hätte verhindern können.
• Bedrohung durch Insider – The Card Shark: Bei diesem Fall führten die Verizon Experten eine auf die Zahlungskartenindustrie zugeschnittene forensische Untersuchung nicht autorisierter Geldautomaten-Abhebungen durch. Sie fanden ein von Anfang bis Ende mangelhaftes Netzwerk, einschließlich der physischen Sicherheitsstrukturen, vor. Der Leser wird durch die gesamte Untersuchung geleitet, damit er Schritt für Schritt die zahlreichen Prozess- und Richtlinien-Problematiken erkennt, die den Angriff erst möglich machten.
• Crypto-Jacking-Malware – The Peeled Onion: Bisweilen sind die Angreifer eher an der Rechenleistung als an persönlichen Informationen interessiert. Der Vorfall zeigt, wie sich eine solide Firewall, bei der Sicherheitspatches fehlen, einfach überwinden und das System des Betroffenen in einen verdeckt operierenden Cryptowährungs-Miner verwandeln lässt.
• Third-Party Palooza – the Minus Touch: Digitale Forensik fängt bei den Daten an. Was aber, wenn sich keine Daten finden lassen? Eine leere Festplatte und ein wenig kooperatives Co-Location-Datenzentrum schicken das Verizon Team auf die Jagd nach dem Was und Wo – und was damit passiert ist.

Weitere Informationen zum Thema:

Verizon
Protect against today’s cyber threats—and prepare for what’s next.

Verizon
Ressource Center

datensicherheit.de, 11.07.2018
Datenschutzverletzung: Insbesondere versteckte Kosten bereiten Schwierigkeiten

datensicherheit.de, 30.04.2016
verizon: Vor allem menschliche Schwächen locken Cyber-Kriminelle an

datensicherheit.de, 29.06.2018
Schwachstelle bei Ticketmaster muss ernstgenommen werden

datensicherheit.de, 19.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit

In Großbritannien kein Gesetz mit besonderem Bezug

[datenssicherheit.de, 23.02.2015] Carsten J. Pinnow, Herausgeber von datensicherheit.de (ds) mit Dr. Adrian Davis (AD), Managing Director EMEA bei (ISC)².

ds: Das deutsche IT-Sicherheitsgesetz fokussiert sich auf kritische Infrastrukturen, wie sieht das in Großbritannien aus, gibt es dort ein ähnliches Gesetz und wie stehen Sie zu den Bemühungen in Deutschland, ein solches Gesetz durchzusetzen, wird es zu mehr Sicherheit führen?

AD: Wir haben in Großbritannien kein Gesetz, dass gesondert auf kritische Infrastrukturen eingeht und außerdem eine Meldepflicht für Sicherheitsvorfälle vorsieht. Es gibt allerdings eine Reihe von staatlichen Einrichtungen wie regionale Vertretungen oder den National Health Service, die aufgefordert werden, darüber zu berichten. Internet Service Provider (ISP) und Telekommunikationsunternehmen zählen ebenfalls dazu. Die E-Privacy Direktive zum Beispiel verlangt von eben diesen Unternehmen, dass sie über alle Sicherheitsvorfälle, die zu einem Datenverlust, einem Schaden oder aber der Veröffentlichung von personenbezogenen Daten geführt haben, berichten. Darüber hinaus enthält der UK Data Protection Act von 1998 eine Klausel, die auf freiwilliger Basis dazu ermutigt, dass Unternehmen dem UK Information Commissioner (ICO) personenbezogene Datenverluste aufzeigen. Die Meldung solcher Vorfälle ist für ISPs und Telekommunikations-Unternehmen nun verpflichtend. Da das deutsche IT-Sicherheitsgesetz nur die kritischen Infrastrukturen beleuchtet, wird es die Aufmerksamkeit für die einzelnen Vorfälle und Attacken erhöhen, aber nicht das Bewusstsein für Sicherheit allgemein erhöhen.

ds: Wie ist das britische Gesetz aufgesetzt, wer sind die wichtigsten Akteure und deren Interessen?

AD: Da wir kein Gesetz zur Meldepflicht für Vorfälle bei kritischen Infrastrukturen haben, ist das schwierig zu beantworten. Ich schätze mal, dass wenn die europäische Network and Information Security Directive (NIS Directive) verabschiedet wird, auch in Großbritannien als Gesetz aufgesetzt wird.

ds: Das BSI wird in dem Gesetz als eine der Organisationen genannt, die im Fall einer Hacker Attacke informiert werden sollen. Wie sieht das derzeit in Großbritannien aus und wie läuft der Prozess dort ab?

AD: Sicherheitsvorfälle können an die ICO (Information Commissioners Office) gemeldet werden.

ds: Was denkt die (ISC)² Community in Großbritannien über diesen Ablauf?

AD: Kein Kommentar. Meine persönliche Einschätzung dazu ist, dass die deutsche Regierung sich auf die europäische NIS Direktive vorbereitet und schrittweise annähert. Mit anderen Worten, das Gesetz ist so aufgebaut, um einen speziellen Industriezweig dazu zu bringen, Vorfälle zu melden, so dass auch andere Zweige darüber nachdenken. Wenn dann ein Maß an Akzeptanz und Wissen über die Meldung von Sicherheitsvorfällen allgemein verbreitet ist, wird das Gesetz weiterentwickelt, um es verpflichtend für alle Unternehmen einzuführen, aufbauend auf der NIS Direktive.

ds :Wie steht (ISC)² zu den Gesetzen und Verordnungen, die derzeit von der EU Kommission entwickelt werden? Wird das zu mehr Compliance führen, ohne eine Verbesserung der Sicherheit oder erwarten Sie das Gegenteil?

AD: Lassen Sie mich hierzu ein Statement zur NIS Direktive vom Departement für „Business, Innovation and Skills“ anbringen:

„Britische Unternehmen glauben, dass die Vorschläge in der NIS Direktive dazu führen, dass die bestraft werden, die gut im Bereich Cyber Security aufgestellt sind. Und das diese zu mehr Compliance führen, als dass sie proaktiv versuchen Sicherheitsrisiken anzupacken.“ „Es bestand die Gefahr, dass Compliance- als Ersatz für proaktive Cyber Security-Teams aufgestellt werden könnten, um sicherzustellen, dass diese eingehalten werden. Cyber Security würde dann zu einem Statistikspiel werden“, steht in diesem Bericht. „Dezidierte Informationen zu teilen, benötigt ein Maß an Vertrauen und verpflichtendes Berichten war nicht in der Lage solche belastbaren Daten zu liefern, sondern nur Complaince.“

„Verpflichtendes Melden könnte möglicherweise dazu führen, dass die Unternehmen mit guter Cyber Security und Meldevorgängen bestraft werden, da sie Informationen veröffentlichen müssten, die Wettbewerber mit lediglich einen Minimum an Compliance nicht festgestellt hätten.“ „Es gab einiges an Unbehagen, was veröffentlicht werden muss und was nicht. Darüber hinaus gab es auch Fragen, was die Commission mit den Informationen tun würde sowie wie gut diese geschützt wird.“

Da wir jede Bemühung begrüßen, die versucht Gesetze und Verordnungen in der EU miteinander zu harmonisieren, damit einhergehend auch die Compliance Hürden für Unternehmen reduzieren, befürchten wir, dass mehr Regulierung zu mehr Bürokratie führen wird. Es wird eine Compliance Mentalität erzeugt, die von Unternehmen so implementiert wird, dass es den Regularien entspricht und nicht dem, was eigentlich nötig ist. Darüber hinaus befürchten wir, dass die Bedeutung der Informationssicherheit und des Risikomanagements abnimmt und Unternehmen ungeschützter sind. Regulierungen wie diese scheinen Unternehmen eher zu bestrafen: Wenn du einen Sicherheitsvorfall meldest, dann bekommst du ein Bußgeld, wenn du es nicht tust, bekommst du ein Bußgeld. Unternehmen finden sich dann auf der falschen Seite des Gesetzes wieder, egal was sie tun und Mitarbeiter könnten ihre Karrieren nur wegen eines Fehlers ruinieren. Noch kriminalisieren Gesetze Hacker und Cyber-Kriminalität scheint eher unwichtig, genauso wie der Wille diese zu verfolgen. Letztendlich müssen wir aufpassen, dass wir nicht mit Sicherheitsvorfällen langweilen. Wenn die Öffentlichkeit jeden Tag von einem Vorfall erfährt – und keine Auswirkungen auf sich selbst feststellt – dann wird sie sich daran gewöhnen und die Berichte ignorieren. Damit würden wir dann genau das Gegenteil von dem erreichen, was das Gesetz eigentlich will.

ds: Wird das Gesetz also die Informationssicherheit bei deutschen kritischen Infrastrukturen erhöhen?

AD: Ich denke, da müssen wir abwarten. Wenn wir die Effektivität eines Gesetzes bewerten wollen, müssen wir zuerst feststellen, wie es derzeit um die Sicherheit bestellt ist. Dazu sollten wir eine ganze Reihe von belastbaren Maßstäben anlegen und dann über ein oder zwei Jahre Messungen vornehmen. Erst dann werden wir in der Lage sein, diese Frage vernünftig zu beantworten.

© (ISC)²

Dr. Adrian Davis, Managing Director EMEA bei (ISC)²