[datensicherheit.de, 10.10.2024] Sogenannte Open Source Software (OSS) hat sich offenbar als unverzichtbarer Bestandteil moderner IT-Infrastrukturen etabliert. „Die Vorteile wie Kosteneinsparungen, Flexibilität und das enorme Innovationspotenzial sind unbestreitbar“, kommentiert Zac Warren, „Chief Security Advisor EMEA“ bei Tanium, in seiner aktuellen Stellungnahme und gibt indes warnend zu bedenken: „Doch der Einsatz von OSS bringt auch Herausforderungen mit sich, insbesondere im Bereich der IT-Sicherheit.“

Foto: Tanium

Zac Warren: Ein Schlüssel zur sicheren Nutzung von Open Source Software liegt in der Implementierung eines ganzheitlichen Sicherheitskonzepts!

Notwendigkeit ständiger Wachsamkeit selbst bei hochgeschätzten Open-Source-Projekten

Ein aktueller Vorfall beim „Linux“-Softwarewerkzeug „XZ Utils“ verdeutlicht demnach die potenziellen Risiken – Warren berichtet: „Hacker, die sich als engagierte Entwickler ausgaben, konnten über Monate hinweg Zugriff auf den Code erlangen und eine ,Hintertür’ einbauen. Nur durch die außergewöhnliche Aufmerksamkeit eines Entwicklers, der eine minimale Verzögerung bei SSH-Befehlen bemerkte, konnte der Angriff in letzter Minute verhindert werden.“ Dieser Fall unterstreiche die Notwendigkeit ständiger Wachsamkeit – selbst bei hochgeschätzten Open-Source-Projekten.

Ein Schlüssel zur sicheren Nutzung von OSS liege in der Implementierung eines ganzheitlichen Sicherheitskonzepts. Zentral sei dabei „eine lückenlose 24/7-Echtzeitüberwachung des gesamten IT-Ökosystems“. Diese umfasse eine ständig aktualisierte Bestandsaufnahme aller OSS-Komponenten, ihrer Versionen und Abhängigkeiten sowie aller verbundenen Geräte.

Auch bei Open Source proaktiver und ganzheitlicher Ansatz für IT-Sicherheit ratsam

Automatisierte Prozesse spielten eine entscheidende Rolle: Diese ermöglichten ein agiles Patch-Management, regelmäßige Schwachstellen-Scans und die kontinuierliche Überprüfung von Sicherheitsrichtlinien und Compliance-Anforderungen. „Dies entlastet IT-Teams und setzt Ressourcen für kritische Sicherheitsaufgaben frei“, unterstreicht Warren.

Angesichts der zunehmenden Cyber-Bedrohungen sei ein proaktiver und ganzheitlicher Ansatz für die IT-Sicherheit unerlässlich. „Moderne Sicherheitslösungen ermöglichen eine umfassende Sichtbarkeit auf alle Endpunkte und Assets in Echtzeit.“ Diese Transparenz, gepaart mit granularer Kontrolle und automatisierten Remedierungsprozessen (Heilung), versetze Unternehmen in die Lage, Open Source nicht als Risiko, sondern als Chance zu begreifen.

Open Source Software kann Katalysator für die Digitale Transformation sein

Mit den richtigen Tools könnten Unternehmen die Innovationskraft und Flexibilität von OSS voll ausschöpfen und gleichzeitig ein Höchstmaß an Sicherheit gewährleisten. „So wird Open Source Software zum Katalysator für die Digitale Transformation, während die IT-Umgebung effektiv geschützt bleibt.“

Entscheidend seien dabei Lösungen, „die eine ganzheitliche Sicht auf die IT-Landschaft bieten, schnelle Reaktionen auf Bedrohungen ermöglichen und die Komplexität der Sicherheitsverwaltung reduzieren“, so Warren abschließend.

Weitere Informationen zum Thema:

WeLT, Benedikt Fuest, 12.04.2024
Attacke auf Linux-Software / Und dann fällt dem Microsoft-Mitarbeiter eine halbe Sekunde Verzögerung auf

[datensicherheit.de, 24.07.2024] „Dieser Vorfall bei CrowdStrike hat uns daran erinnert, dass es auch in einer zunehmend technologieabhängigen Welt manchmal Probleme gibt“, so Melissa Bischoping, „Director, Endpoint Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. In diesem Fall seien diese zwar theoretisch einfach zu lösen – die Behebung habe das Entfernen einer einzigen Datei erfordert –, bedeuteten in der Praxis aber einen „astronomischen Aufwand“.

Foto: Tanium

Melissa Bischoping: Anbieter müssten zu Änderungen an Endpunkten aktuelle Informationen bereitstellen und mit individueller Sicherheitsstrategie in Einklang bringen!

1. Erkenntnis aus „CrowdStrike“-Problem: Stärker auf Widerstandsfähigkeit und Redundanz konzentrieren!

In den ersten Tagen sei auf fast jedem betroffenen Endpunkt menschliches Eingreifen erforderlich gewesen. „Uns wurde erneut vor Augen geführt, dass die Vorteile der Geschwindigkeit der Echtzeit-Konnektivität und -Information mit Vorsicht zu genießen sind.“

Es gelte, stets die damit verbundenen Risiken im Auge zu behalten und auf Gefahren zu achten, die sich mit der gleichen Geschwindigkeit ausbreiten könnten. In Zukunft müssten wir uns bei der Entwicklung und Verbreitung neuer Technologien noch stärker auf die Widerstandsfähigkeit und Redundanz konzentrieren.

2. Erkenntnis aus „CrowdStrike“-Problem: Mehrschichtige Ausfallsicherheit, Echtzeittransparenz und Geschäftskontinuitätspläne grundlegend für Risikomanagement!

Bischoping betont: „Technologische Ausfälle werden unvermeidlich immer wieder vorkommen. Mehrschichtige Ausfallsicherheit, Echtzeittransparenz und Geschäftskontinuitätspläne, die auch die komplexesten Abhilfemaßnahmen berücksichtigen, müssen im Mittelpunkt eines jeden Risikomanagementplans stehen!“

Die IT-Ausfälle vom 19. Juli 2024 seien „nicht die Regel und sollten es auch nicht sein“. Dies sei ein seltener Extremfall gewesen, aus dem die gesamte Branche lernen werde. „Es braucht wieder erhöhte Detailgenauigkeit bei der Bereitstellung von Software in Verbindung mit Echtzeit-Transparenz von Änderungen auf Endgeräten“, erläutert Bischoping. Außerdem sollten Unternehmen auf autonome Funktionen zur Warnung vor problematischen Updates setzen. „Die Welt muss mit Lösungen arbeiten, die Hand in Hand arbeiten und Unterstützung bieten, wenn eine andere ausfällt.“

3. Erkenntnis aus „CrowdStrike“-Problem: Kunde sollte Kontrolle über Änderungen an den Endpunkten behalten!

Wir setzten großes Vertrauen in die Anbieter, die unsere Unternehmen mit Software versorgen. Bischoping rät hierzu: „Es ist dringend nötig, dass der Kunde die Kontrolle über Änderungen an den Endpunkten behält. Außerdem müssen die Anbieter die aktuellen Informationen bereitstellen und mit der individuellen Sicherheitsstrategie der jeweiligen Umgebung in Einklang bringen.“

Den Unternehmen sollte ein gewisses Maß an Kontrolle über die Geschwindigkeit, mit der Änderungen an den Endgeräten vorgenommen werden, überlassen werden. „Dies ist eine wichtige Komponente der Risikominderung und trägt dazu bei, das Vertrauen zwischen einem Softwareanbieter und seinen Kunden aufzubauen“, so Bischoping abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2024
Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit / Ereignisse vom 9. Juli 2024 haben deutlich gemacht, wie abhängig wir in der digitalen Welt geworden sind

datensicherheit.de, 20.07.2024
Software-Problem vom 19. Juli 2024 als Warnung: Großflächiger Cyber-Angriff könnte Welt ins Chaos stürzen / Im Falle eines böswilligen Cyber-Angriffs wäre laut Dennis Weyel die Situation für die Menschheit noch weitaus ernster

datensicherheit.de, 19.07.2024
CrowdStrike: Ein IT-Update und es wackelt die ganze Welt / Alain Blaes kommentiert globale IT-Ausfälle vom 19. Juli 2024

datensicherheit.de, 19.07.2024
IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024 / Grund dafür soll ein Update einer IT-Sicherheitssoftware sein, welches offenbar zahlreiche Rechner lahmgelegt hat

datensicherheit.de, 19.07.2024
Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024 / Unter anderem Fluggesellschaften, Banken, Behörden und Medienorganisationen sind von IT-Ausfällen betroffen

[datensicherheit.de, 22.07.2024] „Es ist zu erwarten, dass die Olympischen Spiele 2024 zu einem Anstieg der Cyber-Attacken führen werden“, warnt auch Matt Psencik, „Director of Endpoint Security“ bei Tanium, in seiner aktuellen Stellungnahme. Zur Begründung führt er aus: „Mit mehr als 13 Millionen erwarteten Ticketverkäufen und über 15 Millionen erwarteten Besuchern, die schätzungsweise 10,8 Milliarden Euro an wirtschaftlichen Aktivitäten generieren werden, bieten die Spiele ein attraktives Umfeld für Cyber-Kriminelle.“ Diese könnten zu diesem Zeitpunkt aus der Ablenkung und der Aufregung, die mit öffentlichen Veranstaltungen dieser Größenordnung einhergingen, Kapital schlagen.

Foto: Tanium

Matt Psencik empfiehlt, in Bezug auf Cyber-Hygiene wachsam sein!

Mittels KI-Einsatz der Angreifer erhöht sich Erfolgschance von Cyber-Angriffen

Besonders vor Spoofing- und Phishing-Betrügereien müsse man sich in Acht nehmen, da eine Vielzahl von Besuchern und Teilnehmern aus anderen Ländern zu den Olympischen Spielen anreisen werde und die Sprachbarriere die Identifizierung böswilliger Akteure erschwere.

Mittels Einsatz Künstlicher Intelligenz (KI) durch die Angreifer werde die Erfolgschance solcher Cyber-Angriffe weiter erhöht.

Organisatoren der Spiele sollten Maßnahmen für mehr Cyber-Sicherheit allen Teilnehmer und Besucher vorschreiben

Psencik rät: „Teilnehmer, Athleten und sogar Unternehmen, die an der Veranstaltung teilnehmen, müssen in Bezug auf ihre Cyber-Hygiene wachsam sein.“ Ein erster Schritt sei der Einsatz einer Multi-Faktor-Authentifizierung (MFA) auf allen Geräten.

Außerdem könnten die Teilnehmer Anti-Malware-Software installieren, „um sicherzustellen, dass der Schaden begrenzt bleibt, selbst wenn ein bösartiger Link angeklickt wird oder ein Angreifer Malware über ein Gerät einschleust“. Es wäre gut, wenn die Organisatoren der Spiele diese Maßnahmen für alle Teilnehmer und Besucher vorschreiben würden – aber die Durchsetzung könne schwierig sein.

Ablenkungsgefahr: Fokus auf Olympia droht Bewusstsein für Cyber-Sicherheit zu schwächen

„Wenn man von einem angeblichen Arbeitgeber oder einer vermeintlichen Bank aufgefordert wird, vertrauliche Daten anzugeben, sollte man nicht antworten und stattdessen direkt mit der vermeintlichen Quelle (per E-Mail, Telefonanruf oder Textnachricht) klären, ob es sich um eine betrügerische Mitteilung handelt. Ist dies nicht der Fall, ist es ratsam, nachzufragen, warum die Informationen benötigt werden.“

Jetzt liege es mehr denn je an jedem Einzelnen, diese und andere notwendige Schritte zu unternehmen, um sich zu schützen, denn jeder sei ein potenzielles Ziel.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2024
Olympische Sommerspiele – neben Fans und Medien werden auch Cyber-Kriminelle angelockt / Kaspersky warnt vor Phishing-Webseiten mit Olympia-Bezug und Cyber-Betrugsversuchen

datensicherheit.de, 17.06.2024
Olympische Spiele 2024: Proofpoint enttarnte Ticket-Betrug / Fußball-EM und Olympische Spiele 2024 als Köder für gutgläubige Kunden

datensicherheit.de, 23.05.2024
Olympia 2024 droht zum Spielfeld für Cyber-Angriffe zu werden / Böswillige Akteure werden Cyber-Bedrohungen zu nutzen versuchen, um die Integrität der Veranstaltung zu stören und zu untergraben

datensicherheit.de, 09.04.2024
Olympische Sommerspiele 2024 in Paris: Vorbereitung auf Cyber-Angriffe / Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass diesjährige Olympische Sommerspiele ein Ziel Cyber-Krimineller sind

[datensicherheit.de, 07.03.2024] Im jüngsten Spionage-Vorfall bei der Bundeswehr sollen vertrauliche Gespräche hochrangiger Bundeswehr-Offiziere über „Webex“ abgefangen worden sein. Dieser Vorfall sei weit entfernt von einem „Zufallstreffer“, auch wenn das Bundesverteidigungsministerium diesen veritablen Schnitzer gerne als solchen herunterspielen würde. Lars Christiansen, „Area Vice President EMEA Central“ bei Tanium, kommentiert: „Er unterstreicht die Notwendigkeit, dass Organisationen wie die Bundeswehr fortgeschrittene Sicherheitsmaßnahmen ergreifen müssen, um der äußerst angespannten weltpolitischen Lage gerecht werden und ihre streng vertraulichen Kommunikationen vor ausländischen Geheimdiensten abschirmen zu können.“

Foto: Tanium

Lars Christiansen rät neben der technischen Absicherung aller Endpunkte auch zu einer kontinuierlichen Sensibilisierung und Schulung der Mitarbeiter

Christiansen sieht anschauliches Beispiel – WebEx vom BSI nicht als sicher eingestuft

„Die Tatsache, dass ,Webex’-Datenverkehr auf der ,Airshow Singapore’ abgehört wurde, weist auf mehrere Angriffsvektoren hin“, erläutert Christiansen. Die Möglichkeiten reichten von fehlender Verschlüsselung bei Einwahl in „WebEx“ über Telefon oder Browser bis hin zu potenziellen Abhörwanzen in Räumen und dem Nichtgebrauch etablierter VPN-Standards.

Dieses Datenleck diene außerdem als anschauliches Beispiel dafür, wieso „WebEx“ vom BSI nicht als sicherer Kommunikationskanal für klassifizierte Informationen eingestuft werde.

Entscheidend ist laut Christiansen eine ganzheitliche Cybersecurity-Strategie

„Auch bei der Bundeswehr beginnt der Datenschutz beim Nutzer“, betont Christiansen. Die Informationen hätten nach Bundeswehr-Standards mindestens als „VS-NfD“ klassifiziert und ausschließlich über eine vom BSI zugelassene „SINA“-Infrastruktur und -Produkte übermittelt werden müssen.

Christiansens Fazit: „Dies verdeutlicht, wie entscheidend eine ganzheitliche Cybersecurity-Strategie ist, die neben der technischen Absicherung aller Endpunkte auch eine kontinuierliche Sensibilisierung und Schulung der Mitarbeiter umfasst.“ Nur so könne gewährleistet werden, dass solche Vorfälle in der Zukunft vermieden würden und Deutschlands Nationale Sicherheit nicht aufs Spiel gesetzt werde.

Weitere Informationen zum Thema:

heise online, Marie-Claire Koch, 05.03.2024
Taurus-Leak: Warum „Shooting the Messenger“ das Problem nicht löst / Warum die Debatte über WebEx im Abhörskandal der Bundeswehr erneut zu nichts führen wird, erklärt Manuel Atug im Interview

[datensicherheit.de, 20.02.2024] Cyber-Kriminelle versuchten immer wieder, Methoden zur Betrugsprävention und Identitätsüberprüfung mit kreativen Methoden zu umgehen. „Dafür müssen oftmals Validierungsschritte außer Kraft gesetzt werden, die garantieren sollen, dass ,Bots’ keinen Zugriff erhalten“, kommentiert Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, die aktuelle Zuspitzung der Deepfake-Bedrohungen. Beispielhaft hierfür seien sogenannte Captchas, „die zunächst nur die Eingabe von Zahlen und Buchstaben verlangten und schließlich zu komplexeren Aufgaben weiterentwickelt wurden“. Ein getipptes Captcha allein reiche oft nicht aus, um sensible Arbeitsabläufe wie Finanztransaktionen und Marktplätze für „Krypto-Währungen“ zu schützen.

Foto: Tanium

Melissa Bischoping: Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen!

Cyber-Sicherheit vs. Deepfakes: Ein Katz-und-Maus-Spiel…

Bischoping führt aus: „Deepfake-Apps sind mittlerweile in der Lage, Bilder von realen Menschen in beliebigen Situationen zu produzieren oder sogar legitim aussehende Videos von Personen zu erstellen, die nicht existieren. Plattformen, die auf Identitätsüberprüfung angewiesen sind, werden deshalb gezwungen, komplexere Nachweise zu verlangen, um zu überprüfen, ob Zugriffsanfragen von echten Personen ausgehen.“

Bei der Nutzung von Finanzplattformen müssten Nutzer oftmals eine Video-Aufnahme machen, „in der sie ihren Kopf in einem bestimmten Muster drehen, während sie ihren Ausweis in der Hand halten“. Dies möge albern wirken, erschwere jedoch die Täuschung durch einen Deepfake erheblich. Es bestehe jedoch das Risiko, dass diese Methoden und Daten dazu verwendet werden könnten, bessere Modelle zu trainieren, um Menschen zu erkennen oder nachzuahmen.

Deepfake-Funktionen können der Unterhaltungsindustrie auf legale Weise nützlich sein

Der Begriff „Deepfake“ werde in der Regel mit kriminellen Machenschaften assoziiert. „Es gibt aber einen legitimen Markt für die zugrunde liegende Technologie“, erläutert Bischoping: Einige Software-Unternehmen böten Möglichkeiten zur Nutzung der Deepfake-Funktionen in der Unterhaltungsindustrie an – in der Regel mit dem Einverständnis der verkörperten Person.

„Sie können sogar Ihren Stimmabdruck archivieren, um diesen zu verwenden, wenn sie aufgrund einer Erkrankung nicht selbst sprechen können. Die gleichen Technologien, die für die Erstellung von Deepfakes verwendet werden, sind auch für die Erkennung von deren Missbrauch unerlässlich“, betont Bischoping. Wie bei jeder leistungsstarken Technologie hänge die Rechtmäßigkeit von Absicht, Zustimmung und Offenlegung ab.

Deepfake-Bedrohungen indes unbedingt ernstzunehmen

Die von Deepfakes ausgehenden Bedrohungen seien indes unbedingt ernstzunehmen. „Neben einer gefälschten ID für eine betrügerische Transaktion können diese Fälschungen zu psychologischen Traumata und zur Schädigung des persönlichen Rufs führen.“ Allein im letzten Monat hätten eine Wahlkampfkampagne mithilfe von Deepfakes und die Ausbeutung KI-generierter Bilder von Taylor Swift das öffentliche Interesse geweckt.

Diese Deepfake-Missbräuche seien zwar nicht neu, die Zahl der Opfer dieser Straftaten nehme jedoch in alarmierendem Maße zu. Deepfakes ermöglichten es Kriminellen, Geld zu erbeuten, Psychoterror auszuüben, Karrieren zu ruinieren oder sogar politische Entscheidungen zu beeinflussen. „Es ist offensichtlich, dass Aufklärung, Regulierung und ausgefeilte Präventionsmaßnahmen eine Rolle beim Schutz der Gesellschaft spielen werden“, so Bischoping.

Unternehmen sollten zusätzliche Überprüfungsebenen einsetzen, um Deepfakes zu erkennen

Einige Unternehmen schulten ihre Mitarbeiter bereits darin, Betrugsversuche zu erkennen, die im Arbeitsalltag eine Rolle spielten. Diese Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen. Gleichzeitig sollten Unternehmen zusätzliche Überprüfungsebenen für sensible Arbeitsabläufe und Transaktionen einsetzen – es reiche nicht mehr aus, einer Textnachricht, einem Telefon- oder sogar einem Video-Anruf als Form der Identitätsüberprüfung zu vertrauen.

Bischoping rät abschließend: „Wenn sich jemand mit Ihnen in Verbindung setzt, um eine private oder berufliche Transaktion durchzuführen, ist es immer besser, eine zusätzliche Verifizierung vorzunehmen, wenn Sie nicht in der Lage sind, die Person am Telefon eindeutig zu erkennen. Oft reicht es schon aus, aufzulegen und eine bekannte, vertrauenswürdige Nummer der Person zurückzurufen, die sich an Sie gewandt hat, um den Betrug zu entlarven.“ Ferner sollten im eigenen Unternehmen Arbeitsabläufe eingerichtet werden, welche sich auf robustere Formen der Authentifizierung stützten, „die von einer KI nicht gefälscht werden können – ,FIDO2‘-Sicherheitstoken, Genehmigungen durch mehrere Personen und Verifizierungen sind ein guter Anfang“.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2024
Deep-Fake-Video: Die nächste Eskalationsstufe des Chef-Betrugs / Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

[datensicherheit.de, 04.02.2024] „Um auf die stetige und schnelle Weiterentwicklung der Bedrohungslandschaft erfolgreich reagieren zu können, werden Unternehmen weitgehend autonome Funktionen in ihre IT-Sicherheitsstrategie implementieren müssen, die Cyber-Sicherheitssysteme in Echtzeit unterstützen können“, so Zac Warren, „Chief Security Advisor EMEA“ bei Tanium, in seiner aktuellen Stellungnahme. Angesichts der laufenden Entwicklungen im Bereich der Künstlichen Intelligenz (KI), welche Hackern schnelle und präzise Angriffe ermögliche, müssten Unternehmen ähnliche Technologien einsetzen – dann könnten sie Angreifern immer einen Schritt voraus sein.

Foto: Tanium

Zac Warren rät, auf Echtzeit-Sicherheitslösungen zu setzen und autonome Mechanismen zu etablieren

Komplizierte neue Cyber-Bedrohungen frühzeitig erkennen und entschärfen!

„Während sich die Compliance-Landschaft weiterentwickelt, müssen Unternehmen erkennen, dass ein Mangel an Bereitschaft eine ernsthafte Bedrohung für den eigenen Erfolg darstellen könnte“, unterstreicht Warren. Die Integration eines autonomen Systems werde Unternehmen dazu befähigen, komplizierte neue Cyber-Bedrohungen frühzeitig zu erkennen und zu entschärfen. Nur so werde es Unternehmen möglich sein, ihre Verteidigungsmechanismen an die aktuelle Bedrohungslage anzupassen.

Warren prognostiziert: „Angriffe werden auch zukünftig an Geschwindigkeit und Präzision gewinnen, wodurch sich Echtzeit-Sicherheitslösungen als unerlässlich erweisen werden.“ Unternehmen, denen es an Automatisierung und damit Reaktionsschnelligkeit fehlt, würden dadurch angreifbar sein. Die Verbesserung der grundlegenden „IT-Hygiene“ und der Automatisierung seien deshalb wichtige erste Schritte, um das eigene Unternehmen abzusichern. Dieser strategische Ansatz erleichtere nicht nur den Übergang zu Echtzeitdaten, sondern ebne auch den Weg für eine autonome Bedrohungsjagd.

Anpassungsunwilligen Unternehmen droht massive Beeinträchtigung ihres Cyber-Schutzes

Die sogenannte Blockchain-Technologie sei entscheidend, um die Einhaltung der bevorstehenden Netzwerk- und Informationssystem-Richtlinie (NIS2) und des „Digital Operational Resilience Act“ (DORA) sicherzustellen. Warren erläutert: „Durch die Nutzung der ,Blockchain’ können Unternehmen compliance-bezogene Aktivitäten sicher aufzeichnen und verifizieren, um Regulierungsbehörden transparente und fälschungssichere Informationen zu liefern.“ Beide Verordnungen verlangten einen hohen Standard an betrieblicher Widerstandsfähigkeit und Sicherheitsmaßnahmen. „Um diese zu erfüllen, ist die Aufrechterhaltung der ,IT-Hygiene’ von zentraler Bedeutung!“

Auf die ständige Anpassung ihrer Sicherheitssysteme an die technischen Standards zu verzichten, bedeute für Unternehmen eine massive Beeinträchtigung ihres Schutzes vor Cyber-Angriffen. Warrens Empfehlung zum Abschluss: „Es ist deshalb unerlässlich, auf Echtzeit-Sicherheitslösungen zu setzen und autonome Mechanismen zu etablieren!“

[datensicherheit.de, 23.01.2024] Erik Gaston, „VP Global Executive Management“ bei Tanium, geht in seiner aktuellen Stellungnahme auf die „Data Privacy Week 2024“ ein – demnach leben wir in einer Zeit, in der jeder Einzelne jede Sekunde fast 2 MB an Daten produziert. „Es ist deshalb für Unternehmen von entscheidender Bedeutung, proaktive und präventive Sicherheitsstrategien zu verfolgen, um Mitarbeiter- und Kundendaten zu schützen“, kommentiert Gaston. Außerdem sei es wichtig, den Überblick über die Datenpakete zu behalten, die ins Firmennetz gelangen und darüber wo sie gespeichert werden. Datenschutzverletzungen (sowohl versehentlich als auch vorsätzlich), „Data Mining“ und der potenzielle Missbrauch personenbezogener Daten könnten dazu führen, dass diese in die Hände Unbefugter gelangten. Um dieses Risiko zu mindern, gibt Gaston einige Empfehlungen für eine proaktive, vorbeugende Strategie (im Gegensatz zu einer solchen, die sich ausschließlich auf reaktiven Datenschutz verlässt):

Foto: Tanium

Erik Gaston rät zu proaktivem Ansatz und ständiger Neubewertung der Datenschutzstrategien

Passwort-Vergabe notwendig, aber nicht hinreichend – Unternehmen sollten auf MFA als zusätzliche Datensicherheitsebene setzen

Zunächst empfiehlt Gaston, die Verwaltung und Überwachung von Passwörtern, Authentifizierungsversuchen und installierter Software bzw. Einstellungen auf persönlichen Geräten streng zu verfolgen. Zudem sollten Mitarbeiter selbstverständlich dazu angehalten werden, keinesfalls persönliche und geschäftliche Informationen im Internet weiterzugeben, insbesondere nicht in Sozialen Netzwerken.

Die Angestellten sollten außerdem individuelle Passwörter für alle Online-Konten nutzen und diese regelmäßig aktualisieren. Da diese Passwörter aber alleine keinen ausreichenden Schutz bieten könnten, müssten Unternehmen auf Multi-Faktor-Authentifizierung (MFA) als zusätzliche Sicherheitsebene setzen.

IT-Teams sollten die Datenschutzeinstellungen auf verschiedenen Geräten und Plattformen festlegen

Zur grundlegenden Cyber-Hygiene gehöre unter anderem, jegliche Firmensoftware auf dem neuesten Stand zu halten. Zudem seien IT-Teams dafür verantwortlich, Datenschutzeinstellungen auf verschiedenen Geräten und Plattformen festzulegen, um Fehlern der Angestellten vorzubeugen.

„Datenschutz ist keine Initiative, die man einfach abhaken und vergessen kann!“, betont Gaston. Ein proaktiver Ansatz und eine ständige Neubewertung der Datenschutzstrategien seien notwendig, damit die Daten von Unternehmen und Einzelpersonen privat und sicher blieben – „nicht nur während der ,Data Privacy Week’, sondern während des ganzen Jahres“.

[datensicherheit.de, 26.07.2023] „Das ,Voyager18‘-Forschungsteam von Vulcan Cyber hat eine neue Angriffstechnik entdeckt, die auf ,ChatGPT’ basiert“, berichtet Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme und warnt: Diese ermögliche es Angreifern, mit geringem Aufwand Zugriff auf Entwicklerumgebungen zu erlangen.

Foto: Tanium
Melissa Bischoping: ChatGPT und andere generative KI-Plattformen neigen dazu, Fragen mit künstlich kreierten Quellen, Links, Blogs und Statistiken zu beantworten

Voyager18 hat neue Angriffstechnik via ChatGPT AI-Paket-Halluzination genannt

„Voyager18“ hat demnach diese neue Technik „AI-Paket-Halluzination“ genannt. Diese beruht laut Bischoping auf der Tatsache, „dass ,ChatGPT’ und andere generative KI-Plattformen dazu neigen, Fragen mit künstlich kreierten Quellen, Links, Blogs und Statistiken zu beantworten“.

Es würden auch fragwürdige Korrekturen für „Common Vulnerabilities and Exposures“ (CVEs) generiert und Links zu Code-Bibliotheken angeboten, die nicht existierten. Bischoping erläutert: „Wenn ein Angreifer eine Empfehlung für ein unveröffentlichtes Paket findet, kann er sein eigenes Paket an dessen Stelle veröffentlichen.“ Anschließend könne er Supply-Chain-Angriffe ausführen, indem er bösartige Bibliotheken in bekannten Repositories bereitstellt.

Empfehlungen auch von ChatGPT bergen einige Gefahren

Unternehmen sollten deshalb niemals Codes herunterladen und ausführen, „den sie nicht gründlich überprüft oder getestet haben“, rät Bischoping. Gerade der Download aus einer nicht überprüften Quelle – wie Open-Source-Github-Repos oder jetzt Empfehlungen von „ChatGPT“ – berge einige Gefahren. „Jeder Code, der ausgeführt werden soll, muss auf Sicherheit geprüft werden.“ Außerdem empfehle es sich, private Kopien anzulegen.

Bischoping unterstreicht: „Importieren Sie Codes nicht direkt aus öffentlichen Repositories, wie sie in dem Beispielangriff von ,Voyager18‘ verwendet wurden.“ In diesem Fall hätten die Angreifer „ChatGPT“ als Übermittlungsmechanismus verwendet. Es sei jedoch nicht neu, dass die Lieferkette durch die Verwendung gemeinsam genutzter oder von Drittanbietern importierter Bibliotheken kompromittiert werde. „Diese Strategie wird auch weiterhin verwendet werden, und die beste Verteidigung besteht darin, sichere Kodierungspraktiken anzuwenden.“ Außerdem sollte insbesondere von Dritten entwickelter Code, der für die Verwendung in Produktionsumgebungen vorgesehen ist, gründlich getestet und überprüft werden. Abschließend legt Bischoping nahe: „Vertrauen Sie nicht blind jeder Bibliothek oder jedem Paket, das Sie im Internet (oder in einem Chat mit einer KI) finden!“

[datensicherheit.de, 05.04.2023] „Es ist keine Überraschung, dass sich Australien den von den USA, dem Vereinigten Königreich und der Europäischen Kommission verhängten Verboten anschließt“, so Chris Vaughan, „VP Technical Account Management, EMEA“ bei Tanium, in seinem aktuellen Kommentar. Er führt aus: „Die Institutionen erkennen, dass die Nutzung von ,TikTok’ für Mitarbeiter und Bürger eine Vielzahl von Problemen mit sich bringen könnte, einschließlich Kampagnen, die darauf abzielen, die politischen Ziele von Gegnern zu fördern und die Spaltung der westlichen Gesellschaften zu vertiefen.“

Foto: Tanium

Chris Vaughan: Regierungen sollten Nutzung Sozialer Medien eindeutig mit größerer Priorität behandeln als zuvor!

Frage, ob ausreichende Trennung zwischen TikTok und chinesischer Regierung besteht

Die zugrundeliegende Besorgnis beziehe sich in erster Linie auf die Frage, „ob eine ausreichende Trennung zwischen ,TikTok’ und der chinesischen Regierung besteht, was jedoch schwer zu ermitteln ist“. Nur sehr wenige Menschen würden die Hintergründe kennen, wie die jüngste Aussage des „CEO“ von TikTok vor dem US-Kongress gezeigt habe. „Wir wissen allerdings, dass die chinesische Regierung in der Vergangenheit Cyber-Spionage betrieben und Informationen gesammelt hat, um ihre strategischen Ziele zu erreichen“, erläutert Vaughan.

Sie wüssten auch, dass die Nutzer durch die Annahme der „TikTok“-Bedingungen große Datenmengen preisgäben, „beispielsweise die Überwachung von Objekten, Landschaften und Gesichtszügen, die in den Videos erscheinen, sowie ihre Tastenanschlagmuster oder -rhythmen“. Diese Datenerhebungen seien deutlich umfangreicher als bei anderen Social-Media-Plattformen, was zu Bedenken geführt habe.

Spitze des Eisbergs: TikTok-Verbot auf staatlichen Geräten

Westliche Politiker müssten sich diesen Maßnahmen entgegenstellen und auf Regierungsebene entschieden dagegen vorgehen. Vaughan betont: „Sie können es sich nicht leisten, die Verantwortung den einzelnen Organisationen zu überlassen. Es bleibt abzuwarten, wie China auf die Verbote reagieren wird.“ Die Regierungen dürften sich aber durch diese Ungewissheit nicht davon abhalten lassen, Maßnahmen zur Gewährleistung der Nationalen Sicherheit zu ergreifen.

„Ich glaube, dass wir gerade erst die Spitze des Eisbergs sehen, was das Verbot von ,TikTok’ und anderen Social-Media-Plattformen auf staatlichen Geräten angeht. Unabhängig davon, ob die Menschen mit den einzelnen Verboten einverstanden sind, ist wichtig, dass die Regierungen die Nutzung Sozialer Medien eindeutig mit größerer Priorität behandeln als zuvor.“ Dies habe auch die Aufmerksamkeit der breiten Öffentlichkeit auf das Thema gelenkt, was ein weiterer zentraler Faktor sei.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, 04.04.2023
Tiktok-Verbot: Australien verbannt Tiktok

heise online, 04.04.2023
Australien verbietet Tiktok auf Regierungshandys / Australische Regierungsmitarbeiter dürfen auf ihren Diensthandys kein Tiktok mehr installiert haben – aus Sicherheitsgründen

[datensicherheit.de, 24.02.2023] Laut einer aktuellen Meldung von Tanium wurde für Mitarbeiter der EU-Kommision ein „TikTok“-Verbot ausgesprochen. Kürzlich habe bereits die US-Regierung sowohl auf bundesstaatlicher als auch auf föderaler Ebene Schritte unternommen, um „TikTok“ auf Geräten im Staatsbesitz zu verbieten – „daher ist es keine Überraschung, dass die EU dies nun ebenfalls umsetzt“, kommentiert Chris Vaughan, „VP Technical Account Management, EMEA“ bei Tanium.

Foto: Tanium

Chris Vaughan: Regierungsebene sollte entschieden dagegen vorgehen, anstatt die Verantwortung einzelnen Organisationen zu überlassen!

TikTok im Verdacht: kontinuierliche Sammlung von Daten

Vaughan führt aus: „Die Verantwortlichen erkennen allmählich, dass ein umfassenderer Ansatz erforderlich ist, um die Bürgerinnen und Bürger vor Social-Media-Kampagnen zu schützen, die darauf abzielen, ausländische politische Ziele zu fördern und die Spaltung der westlichen Gesellschaften zu vertiefen.“

Die Taktiken der chinesischen Geheimdienste seien auf längerfristige Ziele ausgerichtet und würden durch die kontinuierliche Sammlung von Daten vorangetrieben. „Die immense Sammlung von Nutzerdaten, zu denen inzwischen auch Handelsinformationen, biometrische Daten und andere Online-Aktivitäten gehören, liefert detaillierte Informationen über eine Vielzahl an Nutzern“, erläutert Vaughan.

TikTok-Kritiker fürchten wachsenden chinesischen Einfluss

Diese Daten könnten wiederum genutzt werden, um gezielte und oft personalisierte psychologische Einflusskampagnen gegen Einzelpersonen oder Gruppen von Bürgern durchzuführen. „Dies wurde in den letzten Jahren vermehrt bei Wahlen und anderen politisch brisanten Ereignissen beobachtet“, so Vaughan.

Das jüngste „TikTok“-Verbot sei Teil einer komplexen Frage, „wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird“. In den letzten Monaten habe die Besorgnis im Westen zugenommen, in deren Folge der Einsatz chinesischer Überwachungstechnologie eingeschränkt worden sei.

TikTok-Fall zeigt: Westliche politische Führer müssten Herausforderung direkt angehen

Es habe auch zahlreiche Berichte über chinesische Bemühungen gegeben, Politiker durch Lobbyarbeit und Spenden zu beeinflussen und die Öffentlichkeit über Soziale Medien und die gezielte Verbreitung von Desinformationen zu beeinflussen. „In der Vergangenheit war Russland der prominenteste Nutzer von Informationskampagnen, wie wir an den Aktivitäten im Zusammenhang mit den US-Wahlen 2016 und dem ,Brexit’-Referendum gesehen haben“, sagt Vaughan. China habe sich eher auf den Diebstahl Geistigen Eigentums konzentriert, welches es dann zu seinem eigenen Vorteil nutzen könne.

Es gebe jedoch Anzeichen dafür, dass sich die KPCh zunehmend auf Informations- und Einflusskampagnen konzentrieren werde, um ihre strategischen Ziele zu erreichen. Vaughans Fazit: „Alle Fälle dieser Art müssen von den westlichen politischen Führern direkt angegangen werden, die auf Regierungsebene entschieden dagegen vorgehen sollten, anstatt die Verantwortung einzelnen Organisationen zu überlassen.“

Weitere Informationen zum Thema:

zdf heute, Cedrik Pelka, 23.02.2023
Entscheidung der Kommission: TikTok-App auf EU-Diensthandys verboten

tagesschau, 23.02.2023
Mitarbeiter der EU-Kommission / TikTok-Verbot auf Diensthandys

heise online, 19.01.2023
Lebensgefährliche Videos: EU droht Tiktok mit Verbot / Tiktok unternehme zu wenig für den Schutz der (oft minderjährigen) User, kritisiert EU-Kommissar Breton