[datensicherheit.de, 03.02.2025] „Passwörter haben ausgedient: Sie sind oft schwach, werden wiederverwendet oder sind leicht zu knacken!“, so kommentiert Simon McNally, „Solution Consultant Director for Workforce IAM, Europa“ bei Thales, den „Change your Password Day“ vom 1. Februar 2025. Er führt hierzu weiter aus: „Die durchschnittliche Person verwaltet sage und schreibe 100 Passwörter und verwendet daher Umgehungslösungen, wie die Wahl von leicht zu merkenden Passwörtern oder die Wiederverwendung desselben Passworts für mehrere Dienste. Klingt das bekannt? Das Hinzufügen eines ,!‘ ist nicht gut genug für jede Passwortänderung!“

foto: Thales

Simon McNally rät: Verwenden Sie eine einfache 2FA für mäßig sensible und eine erweiterte für hochsensible Konten!

McNally plädiert für Verwendung von Passkeys

Aus Anlass des „Change your Password Day 2025“ könne man nur die üblichen bewährten Verfahren empfehlen: „Zehn Zeichen, eine Mischung aus Buchstaben und Sonderzeichen, eine Passphrase anstelle eines Passworts“.

Aber McNally plädiert dafür, einen Schritt weiter zu gehen – hin zur Verwendung von Passkeys. Mittels Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und wesentlich sicherer.

„Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden, so dass keine langen, komplizierten Passwörter oder Phrasen mehr erstellt werden müssen.“ Ferner ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten.

Google, Amazon, Sony, Nintendo und Apple haben bereits Passkeys für Nutzer eingeführt

McNally berichtet: „Wir sehen bereits große Fortschritte in diesem Bereich: Google, Amazon, Sony, Nintendo und Apple haben alle Passkeys für Nutzer eingeführt. Diese Art von Entwicklung muss gefördert werden und deshalb sind wir der festen Überzeugung, dass es beim ,Change your Password Day’ darum gehen sollte, die Normen für Passwörter zu ändern!“

Der „Change Your Password Day 2025“ sei nun der perfekte Anlass, um Passkeys einzurichten, „wo immer es möglich ist“. Viele Unternehmen hätten bereits damit begonnen, sie als Standard zu verwenden. „Die Schritte zur Einführung von Passkeys hängen von den Konten ab, die man besitzt, und von den Websites, die man nutzt, aber im Großen und Ganzen gilt Folgendes:“

Überprüfung der Konten
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass ein Wechsel leicht möglich sei.

Passkeys auf den Geräten einrichten
„Unabhängig davon, ob es sich um ein Telefon, ein Tablet oder einen Computer handelt, kann in den Sicherheitseinstellungen nach einer Option zum Erstellen eines Passkeys gesucht werden.“ Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

Einrichten einer Authentifizierungsmethode
„Wenn das Gerät oder Betriebssystem dies unterstützt, sollte man eine Authentifizierungsmethode einrichten.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Unternehmen sollten Passkeys und phishing-resistente Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung einführen

Im Jahr 2025 müssten Unternehmen ihre Cyber-Sicherheit stärken, indem sie moderne Sicherheitspraktiken wie Passkeys und phishing-resistente Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) einführten, um eine sicherere, stärkere Authentifizierung nicht nur für einige wenige Mitarbeiter, sondern für alle zu gewährleisten.

Fast die Hälfte der Unternehmen habe laut der Thales-Studie 2024 zur „Cloud“-Sicherheit bereits eine Datenschutzverletzung in der „Cloud“ erlebt. Die Nichtverwendung der Multi-Faktor-Authentifizierung (MFA) sei ein wesentlicher Faktor bei 17 Prozent dieser Verstöße, was die dringende Notwendigkeit unterstreiche, über Passwörter hinauszugehen. Die Daten zeigten, dass die Zwei-Faktor-Authentifizierung (2FA) 99,9 Prozent der automatisierten Angriffe blockieren und Phishing-Versuche drastisch reduzieren könne.

Unternehmen müssten eine einfache 2FA, wie SMS oder Authentifizierungs-Apps, für mäßig sensible Konten wie Soziale Medien einführen. Für hochsensible Konten wie Bankgeschäfte, E-Mail oder Unternehmenszugänge seien fortgeschrittene 2FA-Methoden wie Sicherheitsschlüssel oder biometrische Verfahren entscheidend. „Dies ist eine einfache, aber wirksame Methode für Unternehmen, um die Daten ihrer Kundinnen und Kunden vor Cyber-Kriminellen zu schützen“, so McNally.

„Change your Password Day 2025“ wichtige Erinnerung daran, sich von der Ein-Faktor-Authentifizierung zu verabschieden

Der „Change your Password Day 2025“ sollte nun auch eine wichtige Erinnerung daran sein, „dass Unternehmen, die sich von der Ein-Faktor-Authentifizierung verabschieden, ihre Sicherheit erheblich verbessern können“. Unternehmen müssten umfassenden Sicherheitsmaßnahmen den Vorrang geben, um verheerende Cyber-Angriffe zu verhindern und ihren Kunden zu zeigen, dass sie sich für den Schutz ihrer Daten einsetzten – „ganz gleich, um welche Daten es sich handelt“.

Die Notwendigkeit einer Zwei-Faktor-Authentifizierung sei nicht verhandelbar: „Jeder, überall, muss sie für alle seine Konten und jedes Gerät aktivieren.“ Da KI Phishing immer raffinierter mache, sei eine fortschrittliche, phishing-resistente 2FA – wie Hardware-Sicherheitsschlüssel oder „FIDO2“-konforme Methoden – von entscheidender Bedeutung, insbesondere für den Zugriff auf sensible Systeme.

McNally rät abschließend: „Verwenden Sie eine einfache 2FA für mäßig sensible Konten wie Soziale Medien oder Online-Shopping und eine erweiterte 2FA für hochsensible Konten wie Bankgeschäfte, E-Mails oder Unternehmenszugänge, bei denen Datenschutzverletzungen schwerwiegende Folgen haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 18.12.2024] „Die Deutschen sollten in der vorweihnachtlichen Einkaufssaison auf der Hut sein, denn Cyber-Kriminelle haben es auf die begehrtesten Weihnachtsartikel abgesehen!“ Laut dem Thales-Unternehmen Imperva sind bösartige Bots und andere KI-Taktiken dafür verantwortlich. Tatsächlich überwache Imperva täglich rund 570.000 KI-gesteuerte Angriffe und helfe, diese zu entschärfen.

Zu Weihnachten 2024 insbesondere 5 Geschenke im Visier Cyber-Krimineller

Solche Bots schnappten sich zuerst nur begrenzt verfügbare Artikel, bevor sie zu höheren Preisen weiterverkauft würden und verweigerten den Verbrauchern während der Spitzenzeiten den Zugang zu den Websites von Markenunternehmen.

Imperva benennt nachfolgend die fünf Geschenke, auf welche es Cyber-Kriminelle zu Weihnachten 2024 insbesondere abgesehen haben könnten:

Spielekonsolen und Videospiele
„,Gamer’, die sich die neuesten Konsolen oder Videospiele zulegen möchten, egal ob es sich um die ,PlayStation 5‘, die ,Xbox Series X’ oder ,Series S’ oder die ,Nintendo Switch’ handelt, werden feststellen, dass es besonders schwierig ist, an sie heranzukommen.“
Selbst wenn diese doch erst einmal unter dem Tannenbaum liegen und in Betrieb genommen werden, liefen Spieler Gefahr, dass Rivalen Bots einsetzten, um sich Zugang zu ihren Konten zu verschaffen: Sie kauften dann mit ihrem Geld Upgrades oder würden im Spiel betrügen – „was die Weihnachtsstimmung dämpft“.

Konzertkarten
Tickets für Konzerte seien heutzutage bekanntermaßen schwer zu bekommen und teuer. Da auch 2025 einige große Namen durch Deutschland touren würden, werde der Einsatz von Bots dieses Problem zweifellos noch verschärfen:
„Indem sie auf Ticket-Websites auf der Lauer liegen und automatisierte Anfragen viel schneller übermitteln, als es ein Mensch schafft, sobald die Tickets freigeschaltet sind, können Ticketverkäufer Bots zu ihrem Vorteil nutzen und den Fans so ein positives Erlebnis verwehren.“

Sporttickets
„Während die Champions League und die Bundesliga in vollem Gange sind, könnten diejenigen, die Tickets für die bevorstehenden Spiele verschenken wollen, Schwierigkeiten haben, Karten zu ergattern.“

Flüge
„Egal, ob man den Winter- oder den Sommerurlaub plant – die Reisebranche ist mit 11,5 Prozent aller Angriffe die zweitwichtigste Zielscheibe für Bot-Aktivitäten.“
Bots könnten für das sogenannte „Seat Spinning“ eingesetzt werden, bei dem Flugplätze reserviert und die Preise bis zur letzten Minute in die Höhe getrieben würden, um sowohl den Betrieb der Fluggesellschaft als auch die Kunden zu verärgern.

Smartphones
Vom „iPhone 16“ über das „Google Pixel 9 Pro“ bis hin zum „Samsung Galaxy S24“ – die neuesten Smartphones seien immer gefragt. „Viele hoffen, dass der Weihnachtsmann mit einem festlichen technischen Upgrade kommt.“
Bösartige Bots nutzten die Nachfrage auf den Websites von Einzelhändlern aus und legten manchmal Artikel in den Einkaufswagen, ohne den Kauf tatsächlich abzuschließen. Dies führe zu einer Verzerrung der Verfügbarkeit.

Cyber-Kriminelle hetzen KI-Bots auf Produkte oder Erlebnisse, bei denen das Angebot knapp und die Nachfrage hoch ist

„Letztlich werden bei jedem Produkt oder Erlebnis, bei dem das Angebot knapp und die Nachfrage hoch ist, bösartige Bots auftauchen.“ Egal, ob es sich um limitierte Sneakers, das Spielzeug, das sich jedes Kind dieses Jahr wünscht, oder sogar um Buchungen für Stoßzeiten in beliebten Restaurants handelt – ohne Schutz könnten Bots die Oberhand gewinnen. Das führe dazu, dass die Kunden bei den Weihnachtseinkäufen für ihre Liebsten zu kurz kämen.

Verbraucher sollten auf diese fünf Anzeichen für bösartige Bot-Aktivitäten achten:

1. Anzeichen: Ungewöhnliche Preisschwankungen
Schnelle oder inkonsistente Preisänderungen könnten auf Bots hindeuten, „die Preisdaten auslesen und manipulieren“.

2. Anzeichen: Langsame Website-Leistung
Bots könnten Server überlasten, „so dass Websites langsamer werden oder nicht mehr reagieren“. Wenn eine Website ungewöhnlich langsam ist, könnte es sich um einen Bot-Angriff handeln.

3. Anzeichen: Häufige CAPTCHA-Herausforderungen
„Wenn CAPTCHAs zu häufig abgefragt werden, könnte dies ein Hinweis darauf sein, dass die Website von Bots stark frequentiert wird.“

4. Anzeichen: Unerwartete Änderungen der Verfügbarkeit
Plötzliche und häufige Änderungen der Produkt-, Ticket- oder Flugverfügbarkeit könnten auf Bots zurückzuführen sein, welche Artikel oder Tickets reservierten und freigäben.

5. Anzeichen: Verdächtige E-Mails oder Nachrichten
„Vorsicht bei unaufgeforderten E-Mails oder Nachrichten, die Angebote anbieten, die zu gut sind, um wahr zu sein, da es sich um Versuche handeln könnte, auf betrügerische Websites zu locken!“

Wer bei seinen Weihnachtseinkäufen misstrauisch ist, sollte die Einzelhändler auf ungewöhnliche Aktivitäten hinweisen und sich nach Möglichkeit von Geschenken mit überhöhten Preisen fernhalten.

[datensicherheit.de, 13.05.2024] „Passwörter sind nicht mehr zweckmäßig – sie sind leicht zu knacken und sind für den Anwender zu komplex!“, so Simon McNally, „Technical Director IAM EMEA“ bei Thales, in seiner aktuellen Stellungnahme. Die jüngste Ausgabe des „Digital Trust Index“ von Thales zeigt demnach auf, dass 64 Prozent der Befragten vom umständlichen Zurücksetzen von Passwörtern frustriert sind. Menschliches Versagen sei immer noch die Hauptursache für Datenschutzverletzungen. Für Unternehmen sollte nicht zuletzt deshalb das Passwort-Thema ein wichtiges Anliegen sein. Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) und des Quantencomputings machten dies nur noch dringlicher. McNally kommentiert: „Passwörter sollten der Vergangenheit angehören, den Passkeys gehört die Zukunft. Die von einigen Tech-Konzernen eingeleitete Entwicklung sollte gefördert werden.“

foto: Thales

Simon McNally: Passkeys ermöglichen besseren Schutz der Privatsphäre

Es ist Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben

McNally: „Wenn also ein Tag für die Sensibilisierung dieses Themas benötigt wird, dann ist es an der Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben.“ Durch den Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und damit wesentlich sicherer. „Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden.“ Für den Anwender sei die Verwendung einfacher und er brauche sich nicht mehr komplizierte Passwörter oder Phrasen zu überlegen.

Schließlich ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten. Letztes Jahr – 2023 – habe Google angekündigt, dass Passkeys nun standardmäßig für Nutzer aktiviert seien, und auch Amazon und Apple hätten diesen Schritt vollzogen.

3 Schritte, um Einsatz von Passkeys zu beginnen

Anwender könnten die folgenden Schritte gehen, um mit dem Einsatz von Passkeys zu beginnen. „Der Einsatz hängt von den Konten ab, über die die Anwender verfügen sowie die Websites, die sie nutzen“, erläutert McNally und führt weiter aus:

1. Bestehende Konten auf den Einsatz von Passkeys überprüfen!
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass der Umstieg einfach sei.

2. Passkeys auf den Geräten aktivieren!
In den Sicherheitseinstellungen des Telefons, Tablets oder Computers gebe es die Option zum Erstellen eines Hauptschlüssels. Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

3. Eine Authentifizierungsmethode einrichten!
„Wenn das Gerät oder Betriebssystem dies unterstützt, muss eine Authentifizierungsmethode eingerichtet werden.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Weitere Informationen zum Thema:

THALES
2024 Thales Digital Trust Index / Building Digital Experiences that Enhance Consumer Trust

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 16.06.2022
Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet / Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen

[datensicherheit.de, 21.11.2022] Chris Harris, „EMEA Technical Director“ bei Thales, gibt in seiner aktuellen Stellungnahme Sicherheitstipps – nicht nur – für den „Black Friday“. Dieser (wie auch andere Sonderaktionen) führt offensichtlich immer wieder zu einem gewaltigen Anstieg der Online-Transaktionen und macht damit sowohl Verbraucher als auch Einzelhändler zu einem Ziel für Betrüger bzw. Cyber-Kriminelle.

Foto: Thales

Chris Harris: Branche in hohem Maße von hochwertigen, ständig verfügbaren Systemen abhängig, was sie zu einem attraktiven Ziel für Ransomware macht…

Robuste und widerstandsfähige Sicherheit – nicht nur am Black Friday

„Einzelhändler sind aufgrund ihrer Größe, ihrer hochgradig verteilten Infrastrukturen und der großen Anzahl von Online- und POS-Kreditkartentransaktionen ideale Ziele“, warnt Harris. Die Branche sei außerdem in hohem Maße von hochwertigen, ständig verfügbaren Systemen abhängig, was sie zu einem attraktiven Ziel für Ransomware mache – „da viele sensible Daten zur Verfügung stehen, die erbeutet werden können, und geschäftskritische Systeme bei einer Deaktivierung den Betrieb gefährden“.

Harris berichtet: „Tatsächlich nannten die Befragten des Einzelhandels in einer unserer Studien über Datenbedrohungen Malware und Ransomware als die beiden größten Bedrohungen, denen sie ausgesetzt sind.“ Vor dem „Black Friday“ müssten Einzelhändler ihre Cyber-Sicherheitspraktiken neu bewerten, „um sicherzustellen, dass sie robust und widerstandsfähig genug sind – nicht nur für den größten Einkaufstag des Jahres, sondern das ganze Jahr über“.

Wichtigste Tipps für Einzelhandelsunternehmen u.a. zum Black Friday:

1. Das Verhältnis von Risiko und Nutzen verstehen!
Unternehmen müssten sicherstellen, dass eine Skalierung, die zur Bewältigung der gestiegenen Nachfrage erforderlich sei, „nicht auf Kosten der Sicherheit geht“. Es sei nicht in Ordnung, Sicherheits- und Datenschutzrichtlinien zu kompromittieren oder zu umgehen, nur um die Leistung zu steigern, und es müsse im Voraus darüber nachgedacht werden, ob die Datenschutzlösung zusammen mit Frontend- und Transaktionsverarbeitungssystemen skaliert werden soll.

2. Datensicherung diversifizieren!
„Unternehmen müssen wissen, wo ihre Daten gespeichert sind und wie sie geschützt werden sollen.“ Sie müssten sich über den Verbleib ihrer Daten informieren und diese nach Risikostufen klassifizieren, „um sicherzustellen, dass sensible Daten ausreichend geschützt und verschlüsselt sind“.

3. Zero-Trust-Prinzipien verfolgen!
Unternehmen müssten für ihre hochgradig verteilten, hochwertigen Daten und Vermögenswerte sowohl innerhalb als auch außerhalb des Netzwerks den Zugriff mit den geringsten Privilegien einführen. Durch die Segmentierung des Netzwerks und das Prinzip „Never Trust, Always Verify“ könnten Beschäftigte nur auf Daten zugreifen, „für die sie autorisiert sind, nachdem sie ihre Identität verifiziert haben“.

4. MFA implementieren!
Unternehmen sollten eine zusätzliche Sicherheitsebene hinzufügen, z.B. eine Zwei- oder Mehrfaktor-Authentifizierung, „um sicherzustellen, dass nur der berechtigte Benutzer auf das Netzwerk zugreifen kann“.

5. Schulungen zur Cyber-Sicherheit durchführen!
„Menschliches Versagen ist nach wie vor das schwächste Glied in der Sicherheitskette von Unternehmen.“ Diese müssten ein Schulungsprogramm zur Cyber-Sicherheit für ihre Mitarbeiter einführen, „damit diese kompetent und sicher mit den Risiken umgehen können“.

6. „Auf eine gute Cyber-Hygiene achten!
„Es braucht nur einen einzigen Mitarbeiter, der nicht aufpasst, damit Cyber-Kriminelle ein ganzes Netzwerk infiltrieren können.“ Unternehmen sollten sicherstellen, dass ihre Mitarbeiter eine gute „Passworthygiene“ praktizieren, indem sie z.B. keine Passwörter für verschiedene Websites wiederholen. Sie sollten Software einsetzen, „die eindeutige Passwörter generiert, so dass bei jeder Registrierung ein zufälliges Passwort für sie erstellt wird“.

Weitere Informationen zum Thema:

datensicherheit.de, 02.12.2021
Black-Friday-Wochenende 2021: DDoS-Angriffe brechen Rekorde / Unternehmen mit Flut von DDoS-Angriffen jenseits der Terabit-Grenze konfrontiert

datensicherheit.de, 24.11.2021
Black Friday: 3 Tipps von Imperva zum Schutz persönlicher Daten / Auch in Deutschland zählt der Black Friday zu den umsatzstärksten Tagen im Jahr – Sicherheits-Tipps können helfen, Gefahren auszuweichen

datensicherheit.de, 16.11.2021
Black Friday: Zunahme von Betrugsversuchen zu erwarten / KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des Black Friday am 26. November 2021

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

[datensicherheit.de, 30.04.2022] Laut Berichterstattung von „BleepingComputer“ soll es einen Cyber-Angriff auf das Netzwerk von Coca Cola gegeben haben. Der weltgrößte Hersteller von Erfrischungsgetränken habe den Angriff mittlerweile bestätigt und zudem mitgeteilt, dass der Vorfall momentan untersucht werde. Chris Harris, „Technical Director EMEA“ bei Thales, berichtet in seiner aktuellen Stellungnahme: „Die Ransomware-Gruppe ,Stormous‘ drang nach eigenen Angaben erfolgreich in einige Server des Unternehmens ein und stahl dabei 161 GB Daten. Anschließend boten die Bedrohungsakteure die Daten auf ihrer Leak-Site zum Verkauf an und verlangten 1,65 Bitcoin, was derzeit umgerechnet etwa 62.000 Euro entspricht.“

Foto: Thales

Chris Harris: Warnung für Unternehmen aller Größenordnungen, wachsam zu bleiben!

Hacker-Angriff auf Coca Cola verdeutlicht Schwere und Häufigkeit von Sicherheitsverletzungen

„Dieser Hack verdeutlicht die Schwere und Häufigkeit von Sicherheitsverletzungen in großen Organisationen, die über die sensiblen Daten von Millionen von Menschen auf der ganzen Welt verfügen“, kommentiert Harris.
Für eine Reaktion auf Cyber-Angriffe, „von denen alle 39 Sekunden einer stattfindet“, habe laut dem „Thales Data Threat Report“ weniger als die Hälfte der Unternehmen (48%) einen formellen Ransomware-Plan. „Das zeigt auf, dass sich Unternehmen bei der Verschärfung ihrer Sicherheitsprotokolle zum Schutz von Kundendaten nicht ausreichend bemühen.“

Vorfall bei Coca Cola mahnt, robustere Cyber-Sicherheitsstrategien zu entwickeln

Harris warnt: „Auch wenn die Implementierung von Sicherheitstechnologien wie Verschlüsselung und Multi-Faktor-Authentifizierung zwar leicht zugenommen hat, haben wir noch nicht das Niveau erreicht, bei dem die Mehrheit der Anwendungen und Daten vollständig geschützt sind.“
Daher müssten sofortige Maßnahmen ergriffen werden, um robustere Cyber-Sicherheitsstrategien zu entwickeln, und die Unternehmen müssten „ihren Ansatz an die veränderten Bedrohungsmodelle anpassen, denen sie ausgesetzt sind“.

Cyber-Kriminelle werden Schwachstellen – wie bei Coca Cola – ausnutzen

Bei dieser schwerwiegenden Kompromittierung handele es sich um eine weitere deutliche Warnung für Unternehmen aller Größenordnungen, wachsam zu bleiben. „Wenn diese sicherheitsrelevanten Ziele aus den Augen verloren gehen, dann werden Kriminelle Schwachstellen ausnutzen“, so Harris.
Betroffene Unternehmen müssten in der Folge mit Betriebsunterbrechungen, erheblichen finanziellen Schäden und Kosten zur Wiederherstellung der Reputation rechnen.

Weitere Informationen zum Thema:

BLEEPINGCOMPUTER, Bill Toulas, 26.04.2022
Coca-Cola investigates hackers‘ claims of breach and data theft

datensicherheit.de, 30.04.2022
Hacker-Attacke auf Coca Cola – zunehmende Bedrohung durch Ransomware-Gruppierungen / Ransomware ist und bleibt ganz offensichtlich größte treibende Kraft in der aktuellen Bedrohungslandschaft

[datensicherheit.de, 12.04.2022] Bei gelungenen Ransomware-Angriffen auf Unternehmen werde bei der Diskussion um die Behebung oder zumindest Eindämmung des entstandenen Schadens zu wenig beachtet, dass eine umfassende Strategie zur Prävention der beste Weg im Kampf gegen Ransomware gewesen wäre. Viele Unternehmen hätten hierfür noch keine geeignete Strategie. Oliver Ott, „Regional Sales Director DACH“ für „Identity & Access Management“ (IAM) bei Thales, geht in seiner aktuellen Stellungnahme auf den neuen, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Maßnahmenkatalog ein:

Foto: Thales

Oliver Ott: Prävention der beste Weg im Kampf gegen Ransomware!

Effektiv und lückenlos auf möglichen Ransomware-Angriff vorbereiten!

Das BSI hat demnach einen Maßnahmenkatalog veröffentlicht, „der beschreibt, was Unternehmen berücksichtigen müssen, um sich effektiv und lückenlos auf einen möglichen Ransomware-Angriff vorzubereiten“. Dabei gebe das BSI insbesondere den Unternehmen ein paar Grundlagen an die Hand, die sich bislang kaum mit vorbeugenden Maßnahmen gegen Ransomware-Angriffe beschäftigt hätten.

Ott: „Entscheidend ist dabei, dass es unter den beschriebenen Handlungsschritten nicht etwa den einen bestimmten gibt, der zuverlässig schützt, sondern dass es sich vielmehr um eine To-Do-Liste aus mehreren Punkten handelt, die sich insgesamt zu einer Handlungsstrategie ergänzen.“

Grundsätzliche Fragen, die sich Sicherheitsverantwortliche laut BSI stellen sollten, beträfen den Zugang von außen ins IT-Netzwerk, den Zugriff auf administrative Zugänge, die Verwaltung von „Assets“ sowie Nutzeraccounts.

Im Zuge des zunehmenden Home-Office-Trends Gefahr durch Ransomware beachten!

Sicherheitsverantwortliche müssten genau wissen, welche Bereiche des IT-Netzwerks von ihnen genutzt werden und wer für diese zuständig ist. Hierbei müsse ebenso Klarheit darüber herrschen, wer Zugang zu diesen Bereichen besitzt. „Nur wenn Zuständigkeiten eindeutig festgelegt sind und jedes Mitglied des IT-Sicherheitsteams diese kennt, werden unentdeckte Angriffe unwahrscheinlicher“, so Ott.

Er erläutert: „Werden Netzbereiche nicht zentral beschafft und verwaltet, dann muss auch hier das IT-Team frühzeitig beteiligt werden.“ In beiden Fällen sollte die Verwaltungshoheit allein bei den IT-Verantwortlichen des Unternehmens liegen.

Für eine sichere Netzwerknutzung entscheidend sei zudem, auf welche Weise administrative Zugänge genutzt und wie diese geschützt werden. Besonders im Zuge des zunehmenden Home-Office-Trends spielten Remote-Netzwerkzugänge wie über VPN eine wichtige Rolle im Arbeitsalltag. Die Gewährleistung der Sicherheit dürfe dabei nicht zu kurz kommen.

Ungeschützter VPN-Zugang idealer Eintrittspunkt für Ransomware-Angreifer

Ungeschützt sei ein VPN-Zugang der ideale Eintrittspunkt für einen Angreifer, welcher sich nach einem gelungenen Angriff schnell im gesamten Netzwerk bewegen könne. „Ideal geschützt werden VPNs über Multi-Faktor-Authentifizierung. Zudem sollten Zugriffe aufgezeichnet werden, um sie im Zweifelsfall rückverfolgen zu können.“

Multi-Faktor-Authentifizierung sollte überall wo möglich Standard sein, um sich als berechtigter Nutzer zu identifizieren. Ratsam sei zudem, „dass Administratoren für die Verwaltung von Clients und Servern getrennte Accounts verwenden“. Auch sollten für jedes Account nur die nötigen Berechtigungen gegeben sein.

„Sobald Ransomware ins Unternehmensnetzwerk gelangt ist, kann sie sich darin schnell ungehindert ausbreiten und enormen, in vielen Fällen irreversiblen Schaden anrichten.“ Ott schließt mit der Empfehlung, dass Unternehmen daher im Kampf gegen Ransomware auf eine präventive Strategie setzen und sich grundlegend absichern sollten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 2022
Maßnahmenkatalog Ransomware / Arbeitspapier

[datensicherheit.de, 28.01.2022] In einer Zeit, in der die zunehmende Regulierung zu einer Verlagerung hin zur Eingrenzung und Lokalisierung von Daten führe, sei der „Europäische Datenschutztag“ eine wichtige Erinnerung für Unternehmen, „die notwendigen Maßnahmen zum Schutz von Daten zu ergreifen, die zwischen souveränen Ländern übertragen werden“. Chris Harris, „EMEA Technical Director“ bei Thales UK, geht in seiner aktuellen Stellungnahme auf die Bedeutung des „Europäischen Datenschutztages“ ein. Die Kontrolle über die Verschlüsselung und den Zugriff auf sensible Unternehmensdaten stelle sicher, „dass die Informationen nicht unerlaubt in die Hände einer ausländischen Einrichtung fallen – was genauso teuer werden kann wie ein schlechter Ruf“.

Foto: Thales

[thales-chris-harris.jpg]

Chris Harris: Weltweit mehr als 1.800 Gesetze zur Einhaltung von Datenschutzbestimmungen…

Datenschutz und -souveränität erfordern Zugriffskontrolle

Weltweit gebe es inzwischen mehr als 1.800 Gesetze zur Einhaltung von Datenschutzbestimmungen, die Unternehmen befolgen müssten. Harris betont:
„Bei der Datensouveränität geht es nicht mehr nur um Lokalisierung, sondern darum, dass Nationalstaaten die Möglichkeit haben, ihre Daten im eigenen Land zu speichern und den Zugriff darauf zu kontrollieren.“

Datenschutz-Anforderungen führen zu mehr lokalen Rechenzentren

Mit Blick auf die Zukunft müssten Unternehmen ihre „Cloud“-Strategie, ihre „Governance“ und ihr Risikomanagement neu überdenken. Es sei wahrscheinlich, dass immer mehr Tech-Giganten damit beginnen würden, lokale Rechenzentren zu errichten, um geographische Hindernisse für ihre Geschäfte zu umgehen.

„Dies wiederum wird dazu führen, dass globale ,Cloud‘-Anbieter zunehmend in die ,Cloud‘-Infrastruktur von Nationalstaaten investieren“, so Harris abschließend.

[datensicherheit.de, 26.07.2021] „Seit den Olympischen Spielen 2004 in Athen ist Cyber-Sicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC)“, so Chris Harris, „EMEA Technical Director“ bei Thales. Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur habe zu erhöhten Anforderungen an die IT-Sicherheit geführt, um sich auf mögliche Cyber-Attacken vorzubereiten und diese abzuwehren.

Foto: Thales

Chris Harris: Cybersecurity-Bedrohungen für Olympischen Spiele nicht ohne Präzedenzfall…

Abhängigkeit der Olympischen Spiele von der Technologie verdeutlicht potenzielle Risiken, falls IT-Systeme infiltriert werden

Harris führt aus: „Auch wenn die Olympischen Spiele in Tokio ohne Zuschauer stattfinden werden, nachdem Japan nach einem Anstieg der ,COVID-19‘-Fälle erneut den Notstand ausgerufen hat, sind die Spiele dennoch auf eine Vielzahl modernster digitaler Infrastrukturen angewiesen, wie z.B. KI-gestützte Geräte zur Live-Übersetzung, Technologie zur Gesichtserkennung und das ,Robot Taxi‘ von ZMP, ein fahrerloses Auto.“
Die Abhängigkeit der Olympischen Spiele 2020 in Tokio, pandemie-bedingt erst jetzt stattfindend, von der Technologie verdeutliche die potenziellen Risiken, „für den Fall, dass die IT-Systeme infiltriert werden“. Das Gastgeberland und das Internationale Olympische Komitee müssten sich auf diese Unternehmen, ihr technisches Know-how und ihre digitale Infrastruktur verlassen können.

Japan und IOC haben IT-Sicherheit als überaus wichtigen Faktor identifiziert

Es sei daher nicht verwunderlich, dass Japan und das IOC die Cyber-Sicherheit als einen überaus wichtigen Faktor identifiziert und Pläne angekündigt hätten, in diesen Bereich zu investieren, um eine möglichst cyber-sichere Umgebung für die Spiele zu schaffen. Das IOC weise jedoch darauf hin, dass es die spezifischen Details seines Cyber-Sicherheitsplans nicht offenlegen werde, da Cyber-Kriminelle daraus Informationen schöpfen könnten.
„Cybersecurity-Bedrohungen für die Olympischen Spiele sind nicht ohne Präzedenzfall. Bei den Olympischen Winterspielen 2018 in Pyeongchang gab es bis dato die meisten Angriffe. Russische Hacker führten vor der Eröffnungsfeier Angriffe auf die Netzwerke des Austragungsorts durch, die den Einlass der Zuschauer verlangsamten und Wi-Fi-Netzwerke offline nahmen. Sie manipulierten auch Teile der TV-Übertragung“, so Harris.

Ergänzend zur physischen Sicherheit gewinnt IT-Sicherheit an Bedeutung

In der Vergangenheit habe der Schwerpunkt bei den Olympischen Spielen auf der physischen Sicherheit des Ereignisses gelegen. „Da jedoch heute das virtuelle Publikum in unserer immer stärker vernetzten Welt wächst, muss die Cyber-Sicherheit in den Mittelpunkt gerückt werden, um sicherzustellen, dass eine derartige Großveranstaltung ohne Unterbrechungen oder Sicherheitsrisiken durchgeführt werden kann. Wenn Länder aus der ganzen Welt zusammenkommen, werden böswillige Akteure zweifelsfrei versuchen, sich durch kriminelle Vorhaben zu bereichern oder die Gastgebernation auf der internationalen Bühne zu blamieren.“
Tatsächlich unterschieden sich die konkreten Risiken nicht wesentlich von denen, mit denen auch normale Unternehmen im Cyber-Raum konfrontiert seien, „aber die Verlockung einer solch großen und sichtbaren Bühne und eines hochkarätigen Ziels bedeutet, dass das Ausmaß und die Menge dieser Angriffe weit über das hinausgehen, womit andere Organisationen normalerweise konfrontiert werden“. Die RAND Corporation habe eine Studie veröffentlicht, die die Arten von Bedrohungen aufzeige, denen Tokio ausgesetzt sei, darunter:

• Gezielte Angriffe, die sich gegen hochrangige olympische Einrichtungen, Personen oder Organisationen richten.
• Distributed-Denial-of-Service-Angriffe (DDoS) gegen die Infrastruktur von Tokio 2021 oder zugehörige Netzwerke.
• Ransomware-Angriffe, die eine Vielzahl von Geräten, Diensten und die zugrunde liegende Infrastruktur zur Unterstützung der Olympischen Spiele Tokio 2020 betreffen könnten.
• Cyber-Propaganda oder Fehlinformationen zur Schädigung des Rufs von Einzelpersonen, Sponsoren-Organisationen oder der Gastgebernation.

Derselben Studie zufolge seien die wahrscheinlichsten Bedrohungsakteure ausländische Geheimdienste, Cyber-Terroristen, Cyber-Kriminelle, „Hacktivisten“ oder böswillige Insider.

IT-Sicherheit mitgedacht: umfangreiche Vorbereitungen in Tokio

Um diesem Ausmaß an Bedrohungen zu begegnen, sei eine solide Planung unerlässlich. Japan habe seit 2015 mit den Vorbereitungen für die Olympischen Spiele begonnen und Partnerschaften mit internationalen und nationalen Organisationen und Behörden geschlossen. „So wurde beispielsweise eine Partnerschaft mit dem U.S. Department of Homeland Security, dem NIST und einem israelischen Stromversorger geschlossen, um Cyber-Sicherheitsbedrohungen für Kritische Infrastrukturen während der Olympischen Spiele zu bewältigen“, berichtet Harris.
Noch wichtiger sei, dass alle führenden japanischen Unternehmen, welche die Olympischen Spiele unterstützen, das „NIST Cybersecurity Framework“ angepasst hätten, um ihre Bereitschaft und Reaktion auf das weltweit akzeptierte Rahmenwerk abzustimmen. Das Gastgeberland habe außerdem vor Kurzem erst Erfahrungen bei der Organisation eines Großevents sammeln können – so sei Japan Gastgeber der Rugby-Weltmeisterschaft 2019 gewesen, einer weiteren großen internationalen Sportveranstaltung, welche als Probelauf für Tokio 2021 gedient habe.

Sogenannte Ethical Hacker ausgebildet, um Mangel an IT-Sicherheitsexperten auszugleichen

Harris kommentiert: „Dies war eine einmalige Gelegenheit für das Land, vor den Olympischen Spielen einen Meilenstein zu setzen, um seine Bereitschaft und Fähigkeiten zur Reaktion auf Vorfälle im Voraus zu testen. Schließlich zeigte eine Überprüfung der japanischen Cyber-Sicherheitsstrategie für Tokio 2021, dass das Land nur über eine begrenzte Anzahl von Cyber-Sicherheitsexperten verfügt, da lediglich 28 Prozent der IT-Fachleute im Land arbeiten.“
Um dieses Problem zu lösen, habe Japan 220 „Ethical Hacker“ ausgebildet, in der Hoffnung, ein besser auf Cyber-Attacken vorbereitetes Tokio 2021 zu schaffen. Derselbe Bericht komme zu dem Schluss, dass es von äußerster Wichtigkeit sei, nicht nur die mit Tokio 2021 zusammenhängende Infrastruktur wie Strom, Transport und Veranstaltungsorte zu sichern, sondern auch die IT-Umgebung für die Remote-Arbeit.

IT-Sicherheit – ein Marathonlauf im Sprinttempo

Der Faktor Verschlüsselung werde eine übergeordnete Rolle beim Schutz der Informationen spielen, welche für den erfolgreichen und sicheren Betrieb der Spiele entscheidend seien. Netzwerke sollten verschlüsselt werden, „so dass alle erfassten Daten unlesbar sind“. Die Prinzipien von „Zero Trust“ müssten angewendet werden, „um sicherzustellen, dass Personen und Geräte innerhalb des internen Netzwerks authentifiziert sind und nur Zugriff auf die benötigten Ressourcen erhalten“. Jeder Server, jeder Datenspeicher, jedes IoT-Gerät, das z.B. die Bewegung von Fahrzeugen oder Sendungen verfolgt oder Videos aufnimmt, sollte verschlüsselte Informationen an vertrauenswürdige Stellen übermitteln und nur mit den Servern und Diensten kommunizieren können, „die für den Betrieb notwendig sind“.
Harris betont abschließend: „Und schließlich ist es angesichts der zunehmenden Ransomware-Angriffe wichtig, sicherzustellen, dass kritische Systeme und Netzwerke getrennt sind, und weiterhin zu gewährleisten, dass Backups und Berechtigungskontrollen auf Prozessebene vorhanden sind, um die Bedrohung der Kernsysteme zu begrenzen.“

[datensicherheit.de, 18.06.2021] Am 21. Juni 2021 soll der „Amazon Prime Day“ wieder zur Schnäppchenjagd animieren. Viele Verbraucher auch in Deutschland freuen sich sicher darauf – allerdings gibt es eine Reihe von Sicherheitsrisiken und Cyber-Gefahren, derer sie sich bewusst sein sollten. Todd Moore, „VP Encryption Solutions“ bei Thales, geht in seiner aktuellen Stellungnahme auf diesen Tag ein und warnt: „Verbraucher mögen versiert sein, wenn es um Bedrohungen wie Phishing und betrügerische Landing-Pages geht, aber viele wissen nicht, dass ihre persönlichen Daten noch lange nach der eigentlichen Lieferung durch Cyber-Angriffe gefährdet sind“.

Foto: Thales

Todd Moore: Einzelhändler sollten Ende-zu-Ende-Verschlüsselung sensibler Zahlungsdaten implementieren

Thales empfiehlt starke Passwörter und Multi-Faktor-Authentifizierung

Tatsächlich habe der Thales Data Threat Report 2021 herausgefunden, dass 48 Prozent der deutschen Unternehmen in den letzten zwölf Monaten einen Anstieg des Volumens, der Schwere und des Umfangs von Cyber-Angriffen festgestellt hätten.
Moore rät: „Verbraucher sollten sicherzustellen, dass sie starke Passwörter und eine Multi-Faktor-Authentifizierung verwenden, um ihre Daten zu schützen.“ Die Hauptverantwortung liege jedoch bei den Einzelhändlern, eine Ende-zu-Ende-Verschlüsselung von sensiblen Zahlungsdaten zu implementieren. Allerdings hinkten viele hinterher: 61 Prozent der deutschen Unternehmen seien in den letzten zwölf Monaten bei einem Compliance-Audit durchgefallen.

Thales warnt vor Leichtsinn der Verbraucher während Shopping-Events

„Da die Einzelhandelsumsätze in diesem Sommer und bis Ende 2021 voraussichtlich stark ansteigen werden, könnten Angreifer versuchen, den Leichtsinn der Verbraucher während Shopping-Events wie dem ,Amazon Prime Day‘ oder dem ,Black Friday‘ auszunutzen.“ Deshalb sollten Verbraucher vor betrügerischen Aktivitäten auf der Hut sein.
Für Einzelhändler und alle Unternehmen, die Sicherheit gewährleisten wollen, sei Agilität der Schlüssel. Moore erläutert: „In der Praxis bedeutet dies, dass sie ihre Infrastruktur, ihre Teams und ihre Schulungen auf allen Ebenen kontinuierlich bewerten, darauf reagieren, ggf. neu ausrichten und in sie investieren müssen.“

Thales gibt Tipps zur sicheren Schnäppchenjagd

Der „Amazon Prime Day 2021“ nun werde wohl im aktuellen Online-Shopping-Boom für neue Rekorde sorgen. Verbraucher sollten die folgenden Tipps befolgen, um beim Online-Shopping sicher zu bleiben: „Befolgen Verbraucher diese Tipps, dann steht der sicheren Schnäppchenjagd nichts im Wege“, so Moore.

• Wenn Sie ein kostenloses, aber unsicheres Wifi-Netzwerk nutzen, verwenden Sie ein vertrauenswürdiges ,Virtual Private Network‘ (VPN).
• Klicken Sie nicht auf Links, die Sie per E-Mail oder SMS erhalten. Geben Sie stattdessen die URL der Website direkt in Ihren Browser ein, oder, wenn Sie mobil sind, direkt über die App.
• Aktivieren Sie die Zwei-Faktor-Authentifizierungsdienste der aufgerufenen Webseiten, um eine zusätzliche Sicherheitsebene zu aktivieren und sicherzustellen, dass nur Sie auf Ihre Konten zugreifen können.
• Stellen Sie sicher, dass Ihre Software, Ihr Betriebssystem und Ihre Sicherheitstools auf dem neuesten Stand sowie die neuesten Patches installiert sind, um Ihre Geräte vor Sicherheitslücken schützen.
• Verwenden Sie zum Schutz der Datenintegrität nur Geräte und Infrastrukturen, die über starke Sicherheitstechnologien, wie Verschlüsselung und Zwei-Faktor-Authentifizierung, verfügen.

Weitere Informationen zum Thema:

datensicherheit.de, 15.11.2020
Black Friday: Warnung an Schnäppchenjäger vor erhöhtem Cyber-Risiko / Der am 27. November 2020 startende diesjährige „Black Friday“ erfreut sich bei Deutschen wachsender Beliebtheit – auch bei Cyber-Kriminellen

datensicherheit.de, 21.11.2019
Black Friday: Tipps für sicheres Online-Shopping / Andreas Volkert, Sicherheitsexperte bei McAfee, rät, Vertrauenswürdigkeit der Anbieter und Angebote kritisch zu prüfen

datensicherheit.de, 19.11.2018
Online-Shopping: Sicher einkaufen am Black Friday und Cyber Monday / Empfehlungen des BSI

[datensicherheit.de, 29.10.2020] IT-Sicherheitsabteilungen seien in diesem Jahr, 2020, gefordert wie vielleicht noch nie und seien entsprechend ausgelastet. „Normalerweise wird während des ,National Cybersecurity Awareness Month‘ (NCSAM) über die vergangenen Monate nachgedacht und damit begonnen, Vorhersagen über neue Bedrohungen für die Datensicherheit zu treffen“, so Tina Stewart, „VP Global Market Strategy for Cloud Protection and Licensing“ bei Thales. Angesichts der beispiellosen Zahl von Beschäftigten im Home-Office, der „Pandemie“ und der Suche nach einem Impfstoff, seien viele Organisationen mit der gegenwärtigen und kurzfristigen Cyber-Sicherheit überfordert. Jetzt sei ein guter Zeitpunkt, sich daran zu erinnern, dass die Auseinandersetzung mit der langfristigen Sicherheit von Daten „der Schlüssel zum Aufbau einer Zukunft“ sei, der wir alle vertrauen könnten.

Foto: Thales

Tina Stewart rät, sichereres „Daten-Ökosystem“ zu etablieren

Unternehmen und Verbraucher sollten gerade jetzt gemeinsam versuchen, mehr über Datensicherheit nachzudenken

Daten hätten die Macht, Ergebnisse zu beeinflussen. Der NCSAM sei ein wichtiger Moment, in dem Unternehmen und Verbraucher gemeinsam versuchten, mehr über die Internet-Sicherheit nachzudenken und entsprechende Maßnahmen zu ergreifen.
Stewart betont: „Besonders Daten müssen besser geschützt werden. Datensicherheit wirkt sich auf alles aus, und das wird sich nicht ändern.“ Zentraler Ansatzpunkt sei ein „sichereres Daten-Ökosystem“.

Datensicherheit von morgen als Auftrag für heute

Die gegenwärtige und kurzfristige Zukunft der Cyber-Sicherheit hänge stark von den täglichen Best-Practices ab, mit denen sich die Mitarbeiter beschäftigten, wie Multifaktor-Authentifizierung, Nutzung von VPNs und sicherer Dateiaustausch.
„Das Festnageln von Sicherheitsgrundlagen hilft Unternehmen bei der Umstellung auf die Cloud und bei der Unterstützung von überall aus arbeitender Beschäftigten, die nun anfälliger für Cyber-Bedrohungen sind.“ Der NSCAM, welcher sich nun im 17. Jahr seines Bestehens befinde, biete Cyber-Sicherheitsressourcen für IT-Leiter und die Führungsebene an, um bei der Prävention und Reaktion auf Vorfälle zu helfen.

Tipp 1: Implementierung einer einheitlichen Datensicherheitslösung!

In dem „2020 Thales Data Threat Report – Global Edition“ werde die Komplexität als Sicherheitsbarriere Nummer 1 identifiziert. Die meisten Datensicherheits-Lösungen seien nach wie vor spezialisiert und isoliert und zwängen Unternehmen dazu, viele Systeme und Anbieter zu verwalten.
Mangelnde Transparenz und betriebliche Komplexität verhinderten, „dass Unternehmen wissen, wo all ihre sensiblen Daten gespeichert sind, was die Sicherheit erschwert“. Obwohl dieses Hindernis real sei, sei es nicht unüberwindbar. Durch die Implementierung einer einheitlichen Datensicherheitslösung, „die Daten auffindet, schützt und kontrolliert, wo immer sie sich befinden“, könne die Komplexität gelöst werden.

Tipp 2: Ordnungsgemäße Zugriffsverwaltung stärkt Datensicherheit!

„Da ein beträchtlicher Teil der Beschäftigten immer noch aus der Ferne arbeitet, ist eine robuste Netzwerk-Zugangskontrolle von größter Bedeutung. Phishing-Betrügereien und Malware-Angriffe sind auf einem Allzeithoch, da Cyber-Kriminelle Schwachstellen ausnutzen.“
Jetzt sei es an der Zeit, effektive Datenerkennungslösungen zu implementieren, welche IT-Teams in die Lage versetzten, granulare Zugriffskontrollen zu nutzen, die strukturierte und unstrukturierte Daten im Ruhezustand und während der Übertragung schützten. Durch eine ordnungsgemäße Zugriffsverwaltung könne der richtige Benutzerzugriff auf die richtige Ressource und auf der richtigen Vertrauensebene gewährt werden.

Tipp 3: Fachkräfte sind wesentlicher Erfolgsfaktor für Datensicherheit!

Der Mangel an Arbeitskräften im Bereich der Cyber-Sicherheit – vor dem schon seit zehn Jahren gewarnt werde – sei ein Hindernis, das sich zu einer sich verschärfenden globalen Krise entwickele. „Hinzu kommt, dass Frauen während ihrer gesamten Ausbildung systematisch von Wissenschaft und Mathematik abgehalten werden, was ihre Möglichkeiten, sich im Bereich der Cyber-Sicherheit zu engagieren, einschränkt, wie eine Studie der American Association of University Women (AAUW) belegt.“
Der private Sektor, Regierungen, gemeinnützige Organisationen sowie Berufs- und Handelsverbände müssten zusammenarbeiten, um mehr Frauen für diesen Bereich zu gewinnen, da die Geschlechtervielfalt am Arbeitsplatz für künftige Innovationen von entscheidender Bedeutung sei, so Stewart.

Weitere Informationen zum Thema:

THALES
2020 Data Threat Report – Global Edition / Survey and analysis from IDC

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus