Aktuelles, Branche - geschrieben von dp am Dienstag, Juli 23, 2013 16:41 - noch keine Kommentare
Unsicheres Internet: softScheck benennt 10 IT-Sicherheitsgebote
Verantwortungsbewusste Unternehmen erhöhten den Widerstandswert ihrer Sicherheitssysteme, um sich stärker gegen Spionage und Sabotage zu schützen
[datensicherheit.de, 23.07.2013] In einer aktuellen Stellungnahme weist die softScheck GmbH aus Sankt Augustin darauf hin, dass seit über zehn Jahren das gesamte Internet nicht nur weltweit vollständig überwacht werde, alle Kommunikationsvorgänge würden protokolliert, aufgezeichnet, ausgewertet, nicht nur bei personenbezogenen Daten (Datenschutz), sondern es werde intensiv Wirtschaftsspionage betrieben – und das nicht nur von einem Staat, sondern von allen (!) Industriestaaten und von Staaten, die Wirtschaftsspionage bezahlen können. „PRISM“, „StellarWind“, „EvilOlive“, „Tempora“, „ECHELON“ etc. seien also nur Kürzel für Wirtschaftsspionage, und es gebe weitere Spionageprogramme.
Die aktuelle Diskussion um die internationale Telefon- und Internetüberwachung führe uns einmal mehr vor Augen, wozu Informationstechnik (IT) ganz legal eingesetzt wird – sicherheitsbewusste Unternehmen hätten bereits reagiert und erhöhten ihr IT-Sicherheitsniveau, den Widerstandswert ihrer Sicherheitssysteme, um sich stärker gegen Abhören (Spionage) und Manipulation ihrer Daten und Prozesssteuerungen (Sabotage) zu schützen. Basis für Sicherheitsmaßnahmen sei in jedem Fall der Grundschutz nach BSI bzw. die internationale Normenfamilie ISO 27000 – aber auch nur die Basis.
Die softScheck GmbH benennt die nach ihrer Ansicht wichtigsten zehn zusätzlichen Sicherheitsmaßnahmen:
- Datensparsamkeit
Nur unverzichtbar notwendige Daten dürfen in IT-Systemen und Netzwerken gespeichert und übertragen werden. Die wertvollsten Daten gehören auf stand-alone Systeme – ohne Anschluss an das Internet. - Anschlüsse an das Internet einschränken
Ausschließlich hoch abgesicherte Computer und Netze dürfen an andere interne und externe Netze oder gar an das Internet angeschlossen werden. - Soziale Netzwerke
Besonders stark von Nachrichtendiensten überwacht werden Soziale Netzwerke, weil darin (fast) alle Informationen über die Teilnehmer erhältlich sind, bis hin zu Fotos von unterschiedlichen Ereignissen. Es muss im Unternehmen geprüft werden, ob die Nutzung für den Geschäftserfolg wirklich notwendig ist. - Suchmaschinen
Auch wenn der gesamte Internetverkehr überwacht wird, können in vielen Fällen anonymisierende Suchmaschinen wie die deutsche Suchmaschine „Metager2“, „ixquick“, „Scroogle“, „StartPage“ oder die US-Suchmaschine „DuckDuckGo“ ausreichen, um ein Abhören der Interessengebiete zu erschweren. Zumindest sollte die Individualisierungsfunktion der jeweils benutzten Suchmaschine abgeschaltet werden. - Verschlüsselung
Auch wenn wohl alle modernen Verschlüsselungsverfahren geknackt werden, sollte zur Erhöhung des Sicherheitsniveaus jede Kommunikation über das Internet verschlüsselt werden. Beachtenswert ist die Qualität der Verschlüsselungsprogramme – lange Schlüssel, die nach jeder Nachricht gewechselt werden. Gerade im Kryptobereich muss vor der Entscheidung für ein Produkt eine detaillierte Funktionsprüfung durchgeführt werden. - Zugriffskontrolle, Identity Management
Berechtigte dürfen nur die geringstmöglichen Zugriffsrechte erhalten. Das Management der Zugriffsberechtigungen selbst bedarf eines hohen Sicherheitsniveaus. Alle Zugriffe auf wertvolle Daten müssen protokolliert und sorgfältig ausgewertet werden. - Qualität von Sicherheitsprogrammen
Die wichtigsten Programme – insbesondere die Sicherheitsprogramme – müssen auf Hintertüren (covert functions) und Sicherheitslücken – vor allem auf bislang nicht veröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) – überprüft werden und die identifizierten Sicherheitslücken müssen auch behoben (gepatcht) werden. Anderenfalls sind die IT-Systeme „offen wie ein Scheunentor“ für Nachrichtendienste und Spionage-treibende Mitbewerber. Diese Angriffstechnik „Ausnutzung bisher unveröffentlichter Sicherheitslücken“ beherrschen – neben dem klassischen Abhören – Sicherheitsbehörden auch von Drittstaaten sowie größere kriminelle Organisationen. - Software-Entwicklung
Sicherheit beginnt im Software-Entwicklungsprozess beim Entwurf der Software mit Untersuchung des Security Designs auf fehlende Sicherheitsmaßnahmen: „Threat Modeling“. Die Implementierung muss mit „Static Source Code Analysis“ und dann mit „Penetration Testing“ überprüft werden. Den unverzichtbaren Abschluss der Software-Entwicklung bildet „Dynamic Analysis – Fuzzing“: Es werden in das zu untersuchende Programm erfahrungsgemäß erfolgreiche Angriffsdaten eingespeist; wenn das Zielprogramm anomal reagiert, wird diese Programmstelle von Experten untersucht. Die Methoden klingen einfach – sind aber nur durch den Einsatz vieler Tools (weltweit werden über 300 angeboten) wirkungsvoll, kostengünstig und schnell! - Outsourcing
Unter Sicherheitsaspekten muss jede Auslagerung von Daten aus dem Unternehmen ständig und umfassend technisch kontrolliert werden:- Wer hat welche Zugriffsberechtigungen (Mitarbeiter des Dienstleisters? Wie können Zugriffe Unberechtigter erschwert werden?)
- Kann die Sicherheitsqualität der Maßnahmen von den Unternehmens-eigenen Mitarbeitern eprüft und bewertet werden?
- Falsche Empfehlungen
- Nationale Internetdienste
In Europa oder besser Deutschland angesiedelte Internetdienste nutzen: Dies verbessert nur die rechtliche Situation wegen des höheren Datenschutzniveaus, ergibt aber keinerlei höheres technisches Sicherheitsniveau. - Clouds
Zwar können Daten verschlüsselt übertragen und gespeichert werden – allerdings müssen sie zur Verarbeitung unverzichtbar entschlüsselt werden. Es muss sorgfältig überprüft werden, welche Sicherheitsmaßnahmen zur Erreichung der Verfügbarkeit, der Vertraulichkeit und der Integrität implementiert sind und vor allem muss die Implementierungsqualität in public und hybrid Clouds geprüft werden! - ByoD – Bring your own Device
Bis 2017 sollen Mitarbeiter in mehr als der Hälfte aller Unternehmen ihre eigenen mobilen Geräte mitbringen. Die mit ByoD verbundenen Bedrohungen u.a. durch Zero-Day-Vulnerabilities und covert Functions (nicht-dokumentierte Funktionen) in Apps werden mit unabsehbaren Folgen völlig unterschätzt.
- Nationale Internetdienste
Weitere Inforationen zum Thema:
softScheck GmbH
Kostengünstige Identifizierung von Sicherheitslücken
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren