Posts Tagged: ‘Sicherheit’

PerSwaysion: Phishing-Attacken auf Top-Manager

9. Juni 2020 Posted by Lyubomir Tulev

Bereits über 150 Unternehmen gehackt

„Jetzt lesen“ – NICHT LESEN!

Heutzutage werden wir von einer noch moderneren und raffinierteren Art gezielter Phishing-Cyberattacken bedroht: PerSwaysion. Wie bei den meisten bekannten Phishing-Angriffen, sollen auch hier Microsoft 365-Anmeldeinformationen gestohlen werden. Betrüger senden dabei E-Mails an ihre ausgesuchten Opfer mit nicht-schädlichem PDF-Anhang, der den Link „Jetzt lesen“ enthält. Der Link führt dann zu Dateien, die auf Microsoft Sway, SharePoint oder OneNote bereitgestellt werden. Diese legitimen Cloud-basierten Inhaltsfreigabe-Services werden absichtlich ausgewählt, um eine Angriffserkennung durch das IDS (Intrusion Detection System) und andere Sicherheitssysteme zu vermeiden. Die PerSwaysion-Attacke zielt hauptsächlich auf Mitglieder des obersten Managements. Inzwischen wurden die Führungskräfte von mehr als 150 Unternehmen gehackt.

Im nächsten Schritt wird dem Opfer eine speziell gestaltete Landingpage des Microsoft Sway/SharePoint-Dienstes vorgelegt. Sie enthält einen „Jetzt lesen“-Link, der zur eigentlichen Phishing-Site weiterleitet. Dort wird der Benutzer aufgefordert, seine E-Mail-Konto-Anmeldeinformationen oder andere vertrauliche Informationen einzugeben.

Sobald diese Daten gestohlen sind, laden die Angreifer als nächstes die E-Mail-Daten der Gehackten mithilfe von IMAP-APIs vom Server herunter. Daraufhin übernehmen sie diese gestohlenen Identitäten, um weitere Personen anzusprechen, die kürzlich E-Mail-Kontakt mit dem aktuellen Opfer hatten und wichtige Funktionen in demselben oder anderen Unternehmen haben.

PerSwaysion

Leichte Opfer

Im Mittelpunkt des Angriffes von PerSwaysion stehen die Nutzer, die alle Sicherheitskontrollen umgehen, in der geschäftlichen Kommunikationsinfrastruktur implementiert sind und so leicht zu Opfern werden können. Das größte Problem ist nicht nur der E-Mail-Datenverlust, sondern auch das entführte Konto, das später vom Angreifer zur Ausführung weiterer Angriffe genutzt werden kann. Zum Beispiel um geschäftliche E-Mails zu kompromittieren, indem dieser Nutzer andere Mitarbeiter anweisen kann, ungewollt betrügerische Aktivitäten durchzuführen.

Es spielt keine Rolle, wie gut die von Ihnen implementierten logischen Kontrollen und Cybersicherheits-Lösungen sind. Keine von ihnen kann ein „vertrauenswürdiges“ gephishtes Mitarbeiter-Konto erkennen und Ihr Unternehmen davor schützen. Es sei denn, Sie überwachen und inspizieren die Aktivitäten eines Mitarbeiters vollständig und vergleichen diese mit bereits eingerichteten Verhaltensvorlagen des jeweiligen Benutzers.

Eine mögliche Lösung könnte sein, die Mitarbeiter zu schulen, um die aktuellen Cyber-Angriffsvektoren zu identifizieren und sie durch ihre automatisierte, auf maschinellen Lernverfahren basierende Anomalie-Erkennung zu unterstützen. Auf diese Weise kann eine sogenannte „Human Layer Security“ gebildet werden. Dies ist der Schlüssel, um Ihre Cybersicherheit widerstandsfähig zu machen.

iQ.Suite 360 – mehrstufiger Schutz für SharePoint

PerSwaysion Wenn Sie Ihre SharePoint-Umgebung durch mehrstufigen Schutz vor Malware mit multiplen Scannern namhafter Premiumhersteller sichern möchten, sollten Sie iQ.Suite 360 einsetzen. Der Schutz der Collaboration-Umgebung wird dabei nicht nur für interne User, sondern auch beim Zugriff durch externe Kommunikationspartner gewährleistet. Ein weiteres Highlight der Lösung ist das zeitgesteuerte Scannen der gesamten SharePoint-Umgebung mit aktuellsten Malware Pattern außerhalb der Arbeitszeiten. iQ.Suite 360 ist eine compliance-konforme, mehrstufige Malware-Schutzlösung für SharePoint, die seit Kurzem von GBS (a BULPROS Company) angeboten wird.

Sind Sie bereits Opfer von Phishing-Attacken geworden? Wie schützen Sie sich vor Cyber-Angriffen? Wir freuen uns auf Ihre Kommentare.

Der Beitrag PerSwaysion: Phishing-Attacken auf Top-Manager erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Sind DSGVO-Prozesse im Unternehmen integriert?

20. Januar 2020 Posted by Dr. Rolf Kremer

DSGVO-Prozesse sicher und transparent umsetzen

Professionelle Data Leakage Prevention Lösung im Fokus!

Mit der Europäischen Datenschutzgrundverordnung (kurz „DSGVO“) haben wir uns in diesem Blog bereits beschäftigt. Im damaligen Beitrag: „DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet“, lag der Fokus auf der Einbeziehung der E-Mail-Sicherheit (siehe den Artikel „DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet“. Ein weiteres wichtiges Thema ist, wie die durch hinzugekommenen DSGVO-Prozesse im Unternehmen eingeführt und umgesetzt werden können. Diese werden daher in diesem Beitrag etwas näher betrachtet.

Von nichts gewusst?!


LesetippKeiner kann so tun, als hätte er von nichts gewusst, dennoch gehen deutsche Unternehmen die Umsetzung für die DSGVO offenbar nicht mit der erforderlichen Ernsthaftigkeit an. Mehr dazu in diesem Blogartikel: DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet

Anwendungspflicht für alle Unternehmen

Die Anwendungspflicht der DSGVO besteht seit dem 25. Mai 2018 und gilt für alle Unternehmen innerhalb der Europäischen Union (EU) und für alle internationalen Unternehmen, welche Daten von EU-Bürgern speichern oder verarbeiten. Die DSGVO definiert dabei einen einheitlichen Rechtsrahmen für den Datenschutz in der EU und innerhalb des Europäischen Wirtschaftsraums, also für den nicht öffentlichen Bereich. Das Ziel ist es, alle EU-Bürger vor Datenschutzverletzungen zu schützen. Betrachtet wird dabei die Verarbeitung personenbezogener, strukturierter oder unstrukturierter Daten, soweit diese im Rahmen von Aktivitäten in der EU durchgeführt werden und zwar unabhängig davon, ob die Verarbeitung in der EU erfolgt.

Beispiele für persönliche Daten sind Mitarbeiter- und Kundendaten oder auch Einzelinterviews bei Vorstellungsgesprächen. Diese Daten werden vornehmlich in der Personalabteilung, im Vertrieb, im Rechnungswesen oder in der IT-Abteilung eines Unternehmens verarbeitet. Die Verarbeitung erfolgt beispielsweise durch die Anwendungsverwaltung, Fakturierung, einem Newsletter-Versand oder Wartungstätigkeiten.

Durch die DSGVO sind auf jedes Unternehmen einige Pflichten zugekommen. Dazu gehören der Nachweis und die Rechenschaftspflicht (geregelt im §5 der DSGVO). Ebenso besteht eine Meldepflicht bei Verletzung eines Rechts gegenüber der zuständigen Datenschutzbehörde. Dazu gibt es verschiedene einzuhaltende Fristen: So muss die Erledigung von Auskunftsersuchen innerhalb eines Monats erfolgen (§12) und innerhalb von 72 Stunden muss bei Verletzungen gegen die Datenschutzbestimmungen reagiert werden (§33). Des Weiteren muss ein Datenschutzbeauftragter (§37) in größeren Unternehmen bestellt werden. Wichtig ist auch die Dokumentation. So muss eine Liste der Verarbeitungsaktivitäten, eine Risikobewertung und gegebenenfalls auch Datenschutz-Folgenabschätzungen dokumentiert werden.

Bei Nichteinhaltung drohen Geldbußen von bis zu 20 Mio. EUR oder im Falle eines Unternehmens bis zu 4 Prozent seines weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr (§83). In Ausnahmefällen kann auch ein Verbot der Verarbeitung personenbezogener Daten ausgesprochen werden (§58).

Integrierte DSGVO-Prozesse

DSGVO-Prozesse Es gibt einige wichtige unternehmensinterne DSGVO-Prozesse, wozu das Auskunftsrecht über die Verwendung personenbezogener Daten , das Recht auf Berichtigung, das Löschrecht, das Widerrufsrecht, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht und das Beschwerderecht gehören. Ferner gibt es das Datenschutzverletzungsmanagement und die Datenschutzfolgenabschätzungen.

Verzeichnis der Verarbeitungstätigkeiten

DSGVO-Prozesse Zunächst schreibt die DSGVO vor, ein Verzeichnis über die ausgeführten Verarbeitungsvorgänge zu führen. Es gibt dabei zwei Arten von Verzeichnissen: Eines für interne Verarbeitungsvorgänge und eines für alle Verarbeitungsvorgänge, welche im Rahmen einer Auftragsdatenverarbeitung stattfinden. Dieses ist nur für Unternehmen erforderlich, welche Daten für andere Unternehmen verarbeiten. Das Anlegen eines internen Registers gilt nicht für Unternehmen mit weniger als 250 Mitarbeitern, es sei denn, die Verarbeitung ist aus Datenschutzsicht riskant oder die Verarbeitung findet nicht zufällig statt oder betrifft spezielle Kategorien personenbezogener Daten beziehungsweise krimineller Daten.

Datenschutz-Folgenabschätzung

DSGVO-Prozesse Für neue interne Verarbeitungsvorgänge kann eine Datenschutz-Folgenabschätzung erforderlich sein (§35), wenn die Verarbeitung zu einem hohen Risiko für die Rechte und Freiheiten von Personen führen kann. Insbesondere wenn eine systematische und umfassende Bewertung der persönlichen Daten einer Person, einschließlich Profilerstellung, vorliegt oder wenn eine Verarbeitung sensibler Daten beziehungsweise eine systematische Überwachung öffentlicher Bereiche in großem Umfang stattfindet. In diesen Fällen muss im Vorfeld einer Datenverarbeitung eine Gefährdung des Datenschutzes überprüft und Risiken identifiziert und dokumentiert werden. Die Beteiligten in diesem Prozess können die Verantwortlichen für den Verarbeitungsvorgang, der Datenschutzbeauftragte im Unternehmen, betroffene Personen oder deren Vertreter (z.B. Betriebsrat) und eventuell beratend auch die Datenschutzaufsichtsbehörde sein.

Software Unterstützung für wichtigste Prozesse

Für die Durchführung dieser Prozesse eignen sich professionelle Software-Systeme mit einer Prozessunterstützung. Ein Beispiel ist die auf einer Low-Code Entwicklungsumgebung basierende Lösung GDPR Compliance Manager. Diese beinhaltet für die zuvor genannten vier Bereiche jeweils die Unterstützung der wichtigsten Prozesse. Dabei liegen die jeweiligen Prozessmodelle auf Basis der weit verbreiteten Modellierungssprache BPMN 2.0 vor. Damit ist eine schnelle Einarbeitung gewährleistet. Da jedes Unternehmen eigene Anforderungen an seine Prozesse hat, ist es wichtig, dass die Prozesse und auch die dazugehörigen Formulare mit einfachen Mitteln angepasst werden können. Dazu stehen im GDPR Compliance Manager grafische Werkzeuge zur Prozessmodellierung und dem Formular-Design zur Verfügung. Des Weiteren können viele Parameter aus den Prozessen mit individuellen Werten belegt werden.

Professionelle Data Leakage Prevention Lösung gegen Datenverlust

DSGVO-Prozesse Neben der Datenschutz-Folgenabschätzung werden auch mögliche Datenschutzverletzungen im Rahmen der DSGVO behandelt. Eine solche Datenschutzverletzung kann auftreten, wenn beispielsweise unerlaubte Personen Zugang zu zweckgebundenen personenbezogenen Daten erhalten. Um einen solchen möglichen Datenverlust festzustellen, bietet sich der Einsatz einer professionellen Data Leakage Prevention-Lösung (DLP) an. Mit einer solchen Lösung kann beispielsweise festgestellt werden, wenn Mitarbeiter die zu schützenden Daten per E-Mail an externe E-Mail-Adressen versenden möchten. Die DLP-Software kann diesen Versand erkennen und verhindern, dass die E-Mail mit den vertraulichen Informationen versendet wird. Die DLP-Software kann zudem zusätzlich einen internen Untersuchungsprozess initiieren, sodass eine weitere Überprüfung erfolgt, ob das Versenden zu einer Datenpanne geführt hätte. Mit diesem Prozess kann versucht werden, im Vorfeld mögliche Datenpannen zu verhindern. Dies kann beispielsweise mit der Software iQ.Suite DLP Advanced in Kombination mit dem GDPR Compliance Manager der GBS realisiert werden. Entdeckt die iQ.Suite DLP eine verdächtige E-Mail, initiiert sie im GDPR Compliance Manager einen Untersuchungsprozess. Anschließend folgt eine automatische Weiterleitung zum Datenschutzbeauftragten, der die Überprüfung durchführen und die weitere Durchführung des Prozesses steuern kann. Durch dieses Zusammenspiel kann ein optimaler Schutz mit einer Prozessunterstützung, ohne einen zu hohen manuellen Aufwand, erreicht werden.

Für einen weiteren Überblick zur GDPR hat die GBS einen juristischen Überblick und wichtige Handlungsempfehlungen in einem kostenlosen Whitepaper veröffentlicht. Zudem findet einmal pro Monat ein Webinar zum Thema dieses Beitrags statt.

Weitergehende Informationen sind im Internet von vielen Herausgebern zu finden, beispielsweise eine Praxishilfe für die Anwendung der DSGVO im Gesundheitswesen oder einen Leitfaden der Bitkom.

Der Beitrag Sind DSGVO-Prozesse im Unternehmen integriert? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

IPBan Konfiguratoin mit Domino unter Windows – Intrusion Detection

19. August 2019 Posted by Michael Siegrist

Nachdem Daniel ĂĽber den Schutz von Domino Servern  mittels Fail2Ban unter Linux geschrieben hat, schreibe ich hier mal etwas vergleichbares fĂĽr Windows Server mit Domino auf.
Um die Windows Eingenheiten zu berĂĽcksichtigen und da es Fail2Ban fĂĽr Windows nicht gibt, nutze ich hier IPBan, welches entsprechend an Windows und dessen Notwendigkeiten angepasst ist.
Der Artikel von Daniel findet sich auf seinem Blog.

Das Ganze gliedert sich in 3 Schritte:


1. Events in Domino in das Windows Event log laufen lassen
2. IPBan installieren
3. IPBan fĂĽr Domino konfigurieren



1. Events in Domino in das Windows Event log laufen lassen

In der events4.nsf auf dem Dominoserver gilt es einen Event Handler zu erstellen:

Der korrekte Dominoserver muss hier natĂĽrlich noch eingetragen werden.

Mit dem String "authentication failure using internet password" sollten alle notwendigen Internetprotokolle abgedeckt sein.




2. IPBan installieren

IPBan kann von hier geladen werden.
Ich habe unter C:\ ein Unterverzeichnis scripts erstellt und das Archiv nach C:\scripts\ entpackt. Nach dem Entpacken des richtigen Unterarchievs (32 oder 64 Bit) habe ich das Verzeichnis in IPBan umbenannt, sodass die Daten unter C:\scripts\IPBan zu finden ist.

In einem Admin Command Prompt sollte, falls nicht schon in den lokalen Sicherheitsrichtlinien aktivert, folgendes ausgefĂĽhrt werden:
 auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable 
auditpol /set /category:"Account Logon" /success:enable /failure:enable

In einer elevated Powershell wird danach folgendes eingegeben:

 dir C:\scripts\IPBan | Unblock-File 

Hiermit wird in der gleichen Powershell das ganze als Dienst installiert und gestartet.

 New-Service -Name "IPBAN" -BinaryPathName "c:\scripts\IPBan\DigitalRuby.IPBan.exe" -StartupType automatic -DisplayName "IPBAN" -Description "Automatically builds firewall rules for abusive login attempts: http://github.com/DigitalRuby/IPBan" 
Get-WmiObject win32_service -Filter "name='IPBAN'"
Start-Service IPBAN
sc.exe config IPBAN start= delayed-auto



Nun läuft IPBan schon als Dienst und blockt fleissig, falls installiert,
  • RDP
  • MSSQL
  • MySQL
  • MSExchange
  • phpMyAdmin
  • SSH
  • VNC

ĂĽber Fehler im EventLog.
Da Domino ja jetzt auch ans EventLog reported, gilt es die IPBan Konfiguration um den Domino Event zu erweitern.


3. IPBan fĂĽr Domino konfigurieren

In C:\scripte\IPBan gibt es die Konfigurationdatei DigitalRuby.IPBan.dll.config. Diese wird unter ExpressionsToBlock , z.B hinter RDP um den Domino Part erweitert:

Domino.config



Am Ende der Konfigurationsdatei kann man den Ban auch etwas aggresiver konfigurieren, z.b indem man FailedLoginAttemptsBeforeBan von 5 auf 2 reduziert.

Nach der Ă„nderung sollte der Dienst neu gestartet werden. Nun werden auch die von Domino ins EventLog gespeicherten Attacken nach 2 Versuchen mit der Windows Firewall geblockt.

IPBan Konfiguration mit Domino unter Windows – Intrusion Detection

19. August 2019 Posted by Michael Siegrist

Nachdem Daniel ĂĽber den Schutz von Domino Servern  mittels Fail2Ban unter Linux geschrieben hat, schreibe ich hier mal etwas vergleichbares fĂĽr Windows Server mit Domino auf.
Um die Windows Eigenheiten zu berĂĽcksichtigen und da es Fail2Ban fĂĽr Windows nicht gibt, nutze ich hier IPBan, welches entsprechend an Windows und dessen Notwendigkeiten angepasst ist.

Der Artikel von Daniel findet sich auf seinem Blog.

Das Ganze gliedert sich in 3 Schritte:


1. Events in Domino in das Windows Event log laufen lassen
2. IPBan installieren
3. IPBan fĂĽr Domino konfigurieren



1. Events in Domino in das Windows Event log laufen lassen

In der events4.nsf auf dem Dominoserver gilt es einen Event Handler zu erstellen:

Der korrekte Dominoserver muss hier natĂĽrlich noch eingetragen werden.

Mit dem String "authentication failure using internet password" sollten alle notwendigen Internetprotokolle abgedeckt sein.




2. IPBan installieren

IPBan kann von hier geladen werden.
Ich habe unter C:\ ein Unterverzeichnis scripts erstellt und das Archiv nach C:\scripts\ entpackt. Nach dem Entpacken des richtigen Unterarchievs (32 oder 64 Bit) habe ich das Verzeichnis in IPBan umbenannt, sodass die Daten unter C:\scripts\IPBan zu finden sind.

In einem Admin Command Prompt sollte, falls nicht schon in den lokalen Sicherheitsrichtlinien aktivert, folgendes ausgefĂĽhrt werden:
 auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable 
auditpol /set /category:"Account Logon" /success:enable /failure:enable

In einer elevated Powershell wird danach folgendes eingegeben:

 dir C:\scripts\IPBan | Unblock-File 

Hiermit wird in der gleichen Powershell das ganze als Dienst installiert und gestartet.

 New-Service -Name "IPBAN" -BinaryPathName "c:\scripts\IPBan\DigitalRuby.IPBan.exe" -StartupType automatic -DisplayName "IPBAN" -Description "Automatically builds firewall rules for abusive login attempts: http://github.com/DigitalRuby/IPBan" 
Get-WmiObject win32_service -Filter "name='IPBAN'"
Start-Service IPBAN
sc.exe config IPBAN start= delayed-auto



Nun läuft IPBan schon als Dienst und blockt fleissig, falls installiert,
  • RDP
  • MSSQL
  • MySQL
  • MSExchange
  • phpMyAdmin
  • SSH
  • VNC

ĂĽber Fehler im EventLog.
Da Domino ja jetzt auch ans EventLog reported, gilt es die IPBan Konfiguration um den Domino Event zu erweitern.


3. IPBan fĂĽr Domino konfigurieren

In C:\scripte\IPBan gibt es die Konfigurationdatei DigitalRuby.IPBan.dll.config. Diese wird unter ExpressionsToBlock , z.B hinter RDP um den Domino Part erweitert:

Domino.config



Am Ende der Konfigurationsdatei kann man den Ban auch etwas aggresiver konfigurieren, z.b indem man FailedLoginAttemptsBeforeBan von 5 auf 2 reduziert.

Nach der Ă„nderung sollte der Dienst neu gestartet werden. Nun werden auch die von Domino ins EventLog gespeicherten Attacken nach 2 Versuchen mit der Windows Firewall geblockt.

Bitkom-Studie: Zahlen lassen aufhorchen

9. Oktober 2018 Posted by Diana Jensen

Achtung Datenklau: Angreifer haben Kommunikationsdaten im Visier

Bitkom-Studie Bei digitalen Angriffen auf deutsche Unternehmen fließen von den als kritisch zu betrachtende Daten vor allem Kommunikationsdaten wie E-Mails, Kunden- und Finanzdaten ab: Laut einer neuen Bitkom-Studie vom September 2018 wurden bei fast der Hälfte aller Industrieunternehmen, nämlich 48 Prozent, in den vergangenen zwei Jahren vor allem Kommunikationsdaten gestohlen. Bei jedem fünften Unternehmen flossen durch digitale Angriffe Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) ab. Patente und Ergebnisse aus Forschung und Entwicklung fielen hingegen nur bei jedem zehnten Unternehmen in kriminelle Hände gefallen.

Bitkom-Studie 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen befragte der Digitalverband Bitkom für seine Studie. Die nun veröffentlichten Zahlen lassen aufhorchen. Das Auffälligste: Im Schnitt 70 Prozent der kleinen und mittelständigen deutschen Unternehmen musste zugeben, in den vergangenen zwei Jahren Opfer oder vermutlich Opfer von kriminellen Attacken geworden zu sein. Dabei schneidet die Gruppe mit 100 bis 499 Beschäftigten besonders schlecht ab: 73 Prozent waren hier von Datendiebstahl, Sabotage oder Spionage betroffen. Am besten kommen noch Konzerne mit mehr als 500 Mitarbeitern weg – wenngleich auch hier von entspanntem Zurücklehnen keine Rede sein kann: Vergleichsweise „nur“ 60 Prozent der Befragten wurden Opfer digitaler Angriffe.

Schaden durch illegalen Wissenstransfer, Industriespionage und Social Engineering

Bitkom-Studie Die Bitkom-Studie zeigt: Wer nicht in die Sicherheit seiner Unternehmens-IT investiert, handelt grob fahrlässig. Die Bitkom wollte es aber noch genauer wissen und hakte im Rahmen ihrer Studie nach, durch welche kriminellen Attacken Unternehmen geschädigt wurden. Die Ergebnisse zeigen, dass illegaler Wissenstransfer, Industriespionage und Social Engineering an der Tagesordnung sind: Bei fast einem Drittel der Unternehmen (32 Prozent) wurden demnach IT- oder Telekommunikationsgeräten, bei einem knappen Viertel (23 Prozent) sensible digitale Daten bzw. Informationen gestohlen. Immer öfter beobachten die befragten Industrieunternehmen auch die gezielte soziale Manipulation von Mitarbeitern. Insgesamt 24 Prozent von ihnen gab an, dass mit Hilfe von Social Engineering die eigenen Mitarbeiter dazu gebracht wurden, vertrauliche Informationen preiszugeben. Bei 11 Prozent der Unternehmen wurde die digitale Kommunikation ausgespäht, beispielsweise E-Mails oder Messenger-Dienste. Weitere 26 Prozent vermuten zumindest, dass ihre Kommunikation ausgespäht wurde. Zudem berichtet jedes fünfte Unternehmen (19 Prozent), dass seine Informations- und Produktionssysteme oder Betriebsabläufe digital sabotiert wurden; 28 Prozent vermuten einen entsprechenden Vorfall.

Im 21. Jahrhundert sind analoge Attacken ein Thema

Obwohl die meisten Attacken inzwischen auf digitalem Wege erfolgen, sind klassische, analoge Angriffe auf Industrieunternehmen dennoch ein Thema: Immerhin 21 Prozent der Befragten haben einen Diebstahl von sensiblen physischen Dokumenten, Unterlagen, Mustern oder Maschinen festgestellt. Bei 10 Prozent kam es in den vergangenen zwei Jahren sogar zur analogen Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Das heißt also, dass Geräte vor Ort im Unternehmen manipuliert wurden.

Schadsoftware führt Ranking an

Bitkom-Studie Aber zurück zur digitalen Welt. Immerhin haben laut Bitkom-Studie digitale Angriffe bei 47 Prozent der Befragten einen Schaden verursacht. Auch hier waren mittelständische Unternehmen mit 52 Prozent überdurchschnittlich stark betroffen. Vor allem Schadsoftware wurde ganz gezielt in die IT-Systeme eingebracht, vermutlich um Sabotage-Akte vorzubereiten. Fast ein Viertel (24 Prozent) der von digitalen Angriffen betroffenen Unternehmen erlitt einen Schaden durch eine derartigen Cyber-Attacke. Erst mit deutlichem Abstand folgen Phishing-Angriffe und die Ausnutzung von Software-Schwachstellen, durch die jeweils 16 Prozent der betroffenen Unternehmen geschädigt wurden. Die durch Man-in-the-Middle-Angriffe (4 Prozent), DDOS-Attacken (5 Prozent) und Spoofing (6 Prozent) verursachten Schäden waren hingegen vergleichsweise gering.

Bitkom-Studie: Täter kommen meist von Innen

Bitkom-Studie Bei der Suche nach den Tätern wurden die Unternehmen hauptsächlich in den eigenen Reihen fündig: Fast zwei Drittel (63 Prozent) der Geschäftsführer und Sicherheitsverantwortlichen gaben an, dass sie hinter der Sabotage oder Spionage ehemalige beziehungsweise derzeitige Mitarbeiter vermuten – oder es gar wissen. Gleichzeitig identifizierten knapp die Hälfte (48 Prozent) der Unternehmen Kunden, Lieferanten, externe Dienstleister und Wettbewerber als Urheber schädlicher Handlungen gegen das eigene Unternehmen. In 30 Prozent der Fälle steckten Privatpersonen oder Hobbyhacker hinter den Cyber-Attacken, 17 Prozent der Betroffenen berichten von organisierter Kriminalität und jedes neunte betroffene Unternehmen (11 Prozent) gab ausländische Nachrichtendienste als Täter an.

Angriffe schaden vor allen dem Image

Bitkom-Studie Ganz gleich, wer auch immer die Täter waren: Die Attacken trafen die Unternehmen hart: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen zwei Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Dabei zeigt sich in der Bitkom-Studie: Cyberattacken schaden vor allen dem Unternehmens-Image. Fast neun Milliarden Euro (8,8 Milliarden Euro) gingen zulasten des entstandenen Imageschadens bei Kunden oder Lieferanten sowie durch negative Medienberichterstattung. Ähnlich hoch mit 8,5 Milliarden Euro beziffern Industrieunternehmen den entstandenen Schaden durch Patentrechtsverletzungen. Der durch Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen verursachte Schaden lag bei 6,7 Milliarden Euro, 5,7 Milliarden Euro kosteten Ermittlungen und Ersatzmaßnahmen. Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen und durch nachgemachte Produkte beliefen sich auf vier beziehungsweise 3,7 Milliarden Euro.

Mensch schlägt Maschine: Aufmerksame Mitarbeiter entdeckten die meisten Vorfälle

Bitkom-Studie Der Blick in die Schadenssummen zeigt: Cyberattacken sind teuer. Unternehmen müssen sich noch besser um ihre IT-Sicherheit kümmern. Nichts desto trotz will es das Schicksal, dass es ausgerechnet die eigenen Mitarbeiter sind, die auch dafür sorgen, dass kriminelle Handlungen überhaupt aufgedeckt wurden. So wurden 61 Prozent der kriminellen Handlungen von den eigenen Mitarbeitern entdeckt – erst mit deutlichem Abstand wurden Angriffe durch eigene Sicherheitssysteme aufgedeckt: 40 Prozent der Unternehmen erhielten Hinweise auf Angriffe durch ihre Firewall oder Virenscanner. Dennoch sollten Unternehmen auch künftig neben gut geschultem Personal auf zuverlässige Antiviren-Programme und über Firewalls setzen. So bieten beispielsweise auch wir mit iQ.Suite eine effiziente Business-Lösung zum Schutz Ihrer E-Mail-Kommunikation an. Dabei decken wir mit unserem Spam- und Virenschutz, der Gewährleistung des Datenschutzes beim Versand vertraulicher Informationen unter Einhaltung aller Formvorschriften der E-Mail-Kommunikation sowie technisch-organisatorischen Maßnahmen zur Vorbeugung des Abflusses vertraulicher Inhalte via E-Mail plattformunabhängig alle notwendigen Bereiche zum Schutz Ihrer E-Mail-Kommunikation ab.

Übrigens: Bei einem knappen Viertel (23 Prozent) war es reiner Zufall, dass Cyberattacken überhaupt entdeckt wurden. Überhaupt erst durch Hinweise auf ein Delikt von externen Strafverfolgungs- oder Aufsichtsbehörden wurden nur drei Prozent der betroffenen Unternehmen auf einen erfolgten Angriff aufmerksam.

Große Angst vor Zero-Day-Exploits

Bitkom-Studie Abschließend wollte die Bitkom für ihre Studie noch wissen, welche Szenarien Unternehmen als zukünftige Bedrohung ansehen. Nahezu einstimmig (97 Prozent) nannten dabei alle Befragten sogenannte Zero-Day-Exploits als größte Gefahr. Es handelt sich dabei um die Ausnutzung von unbekannten Sicherheitslücken in Software. Ein Großteil (93 Prozent) fürchtet auch künftig die Infizierung mit Schadsoftware.

Auch das Fehlen vor entsprechendem Know-how in Form von ausreichend qualifizierten IT-Sicherheitskräften sehen 68 Prozent als Bedrohung. Daneben gilt für 58 Prozent die zunehmende Fluktuation von Mitarbeitern als Risiko. Eher gering ist die Sorge vor dem Anzapfen von Rechenleistungen, etwa zum unbemerkten Schürfen von Krypto-Währungen. Vergleichsweise nur 29 Prozent der Unternehmen sehen hierin eine Gefahr.

Data Leakage Prevention – Wo sind all die Daten hin?

Lesetipp Data Leakage Prevention sollte mittlerweile fest im Bewusstsein von IT-Verantwortlichen und Geschäftsführung verankert und natürlich auch umgesetzt sein. Doch ist sie es auch? In diesem Blogartikel zeigen mehrere Studien den Stand der Dinge auf.

Der Beitrag Bitkom-Studie: Zahlen lassen aufhorchen erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

IT-Sicherheit im Mittelstand ist unzureichend

2. August 2018 Posted by Diana Jensen

VdS-Studie liefert Schwachstellen zu Tage

Ergebnisse sind ernüchternd

Rund 3,7 Millionen kleine und mittelständische Unternehmen (KMU) gibt es in Deutschland. Viele von ihnen sind hoch innovativ und in ihren Branchen Marktführer. Nicht umsonst propagiert die Deutsche Bundesregierung sie als „Rückgrat der Deutschen Wirtschaft“. Ihr Erfolg begründet sich einerseits aus hervorragenden Produkten und Dienstleistungen. Aber nicht nur. Denn um heute im internationalen Wettbewerb bestehen und Geschäftsprozesse bewältigen zu können, ist auch die Nutzung moderner IT-Infrastruktur sowie der Anschluss an das Internet notwendig.

Vernetzung: Chance und Risiko

IT-Sicherheit im Mittelstand Die rasant zunehmende Digitalisierung hilft KMU schneller, effizienter und damit erfolgreich und konkurrenzfähig zu agieren. Dieselbe Technologie wird aber zur Herausforderung, wenn es um deren Sicherheit geht. Denn in dieser neuen, digitalen Arbeitswelt wächst auch die Angriffsfläche für Cyber-Kriminelle. Mit gefälschten E-Mails, Ransomware Attacken, DoS-/DDoS-Angriffen, Botnets oder Schadcode gehen Cyberkriminelle deshalb auch im Mittelstand auf Beutezug. Abgesehen haben sie es auf personenbezogene Daten, Geld und Know-how aus den Unternehmen. Und sind Kundendaten, Daten zu Patenten und Innovationen oder Source Code erst einmal weg, steht der Unternehmens- oder Produktionsbetrieb häufig still. Das wissen auch Hacker – und finden so im Mittelstand ein lukratives „Betätigungsfeld“.

Schadenfreude und finanzielle Forderungen

Die Motive der Hacker sind dabei grundverschieden: Während die einen aus Schadenfreude oder zu Spionagezwecken (politisch oder wirtschaftlich motiviert) handeln, geht es anderen nur darum „zu zeigen, was sie können“ oder bei Unternehmen oder Organisationen einen Imageschaden zu verursachen. Und wieder anderen geht es einfach nur um Geld. Denn dass dieses nicht mehr nur bei Großkonzernen zu holen ist, hat sich längst auch unter Cyber-Kriminellen herumgesprochen. Immerhin erwirtschaften KMU mehr als jeden zweiten Euro und stellen deutlich über die Hälfte aller Arbeitsplätze in Deutschland. Damit tragen sie deutlich zur Wirtschaftskraft bei.

Schäden von 55 Milliarden Euro

IT-Sicherheit im Mittelstand Doch nicht immer kommen Angriffe nur von außen: Im digitalen Arbeitsalltag werden tausende E-Mails von Mitarbeitern ungeprüft von A nach B geleitet oder USB-Sticks für den Transport von Daten genutzt. Wir wollen gar nicht wissen, wie hoch die Dunkelziffer verschwundener und fehlgeleiteter Daten aufgrund solcher Sicherheitslücken ist.

Hinzu kommt, dass Cyber-Attacken nicht immer sofort entdeckt werden. Das Bundesamt für Verfassungsschutz machte erst im vergangenen Jahr darauf aufmerksam, dass Angriffe auf die IT häufig erst mit einer Verzögerung von sechs Monaten bis zu einem Dreivierteljahr von Firmen entdeckt werden. Einer Schätzung des IT-Branchenverbands Bitkom zufolge liegt der jährliche Schaden durch Cyberattacken in Deutschland bei 55 Milliarden Euro.

IT-Sicherheit bei KMU umfangreich analysiert

Vor diesem Hintergrund hat die VdS, eine der weltweit renommiertesten Institute für Unternehmenssicherheit, eine Studie zur Informationssicherheit im Mittelstand aufgesetzt. Dazu hat das Institut die Angaben von 3000 Unternehmen aus ihrem „Web-Quick-Check“ zur schnellen Ermittlung des individuellen digitalen Schutzgrades ausgewertet. Das Ergebnis ist eine der deutschlandweit umfangreichsten Analysen zum Thema IT-Sicherheit, welches wir Ihnen im heutigen Blogbeitrag vorstellen möchten. Die gesamte Studie sehen Sie hier.

IT-Sicherheit im Mittelstand: Ernüchterung auf breiter Flur

IT-Sicherheit im Mittelstand Das Endergebnis ist ernüchternd: KMU sind hierzulande immer noch unzureichend gegen Cyber-Angriffe abgesichert. Den größten Verbesserungsbedarf gibt es beim „Management der IT-Sicherheit“. Nur 32 % sind hier gut aufgestellt. Vor allem Themen wie Cloud Computing und IT-Outsourcing werden nur unzureichend bearbeitet. Gerade hier aber könnten Mittelständler durch einfachste Optimierungsmaßnahmen eine hohe Schutzwirkung erzielen.

Auf Rot stehen die Zeichen auch in Sachen Sicherheitstechnik und Präventionsmaßnahmen, wenngleich der Nachholbedarf hier nicht ganz so groß ausfällt. Beide Bereiche sind zwar mit immerhin 57 % abgedeckt; dennoch bedeutet dieses Ergebnis auch, dass 43 % der KMU hier schlecht aufgestellt sind. Damit sind die Schutzmaßnahmen von KMU für Netzwerke, Software und Mobilen Geräten immer noch unzureichend. Ähnlich schlecht sieht es demzufolge auch bei Präventionsmaßnahmen wie Daten- und Umgebungssicherung oder Wiederanlaufpläne aus.

Mobile Geräte sind schlecht abgesichert

IT-Sicherheit im Mittelstand Schauen wir uns den Bereich Technik mal genauer an: Die erste alarmierende Erkenntnis kommt beim Blick auf die Absicherung mobiler Geräte: Gerade einmal 59 % der Firmen schützen die Daten auf ihren mobilen Geräten zuverlässig vor unberechtigten Zugriffen. Das ist zwar im Vergleich zu 2017 (57%) eine leichte Steigerung – aber immer noch zwei Prozentpunkte weniger als 2016, dem Jahr, in dem die Verschlüsselungstrojaner Locky, TeslaCrypt und Cryptowall ihr Unwesen trieben. Nun ist es in den letzten Monaten in Sachen großangelegter Cyber-Attacken verhältnismäßig ruhig geblieben – wiegen sich Unternehmen hier vielleicht in falscher Sicherheit? Denn gerade das mobile Arbeiten mit Smartphone, Tablet, Laptop und Co. öffnet Tür und Tor für Cyber-Attacken: Sie werden aufgrund der mobilen Zugriffsmöglichkeiten auf das Unternehmensnetzwerk und damit auf sensible Daten gern und viel von Angestellten genutzt und sind damit interessante Angriffsziele.

Technische Sicherheitsmaßnahmen nicht konsequent genug umgesetzt

Große Unterschiede gibt es bei den einzelnen Maßnahmen. Während 88 % der Mittelständler ihren Internetzugriff absichern und immerhin auch 86 % öffentlichen und drahtlosen Netzen nur verschlüsselt Zugriff auf ihre interne IT-Infrastruktur gewähren, führen nur 27 % der Firmen für ihre besonders relevanten IT-Netzwerke regelmäßige Risikoanalysen durch. Das ist angesichts der ständig weiterentwickelten neue Angriffsmethoden und -programme ein problematisches Ergebnis. Auch dass offenbar immer noch 12 % der Mittelständler keine Schutzmaßnahmen gegen Bedrohungen aus dem Internet umgesetzt haben, stimmt bedenklich – zumal heutzutage selbst für jeden Privatnutzer mindestens einen Basisschutz auf Firewall und Anti-Virensoftware selbstverständlich ist.

Prävention: Datensicherung top, im Ernstfall flop

IT-Sicherheit im Mittelstand Es gibt auch gute Neuigkeiten: Sicherungsmaßnahmen gegen Datenverlust werden von 96 % der KMU gut oder sehr gut umgesetzt. Das ist in dieser Größenordnung das beste Ergebnis der gesamten Studie. Das Motto vieler IT-Experten „Kein Backup = kein Mitleid“ scheint sich also herumgesprochen zu haben. Und immerhin noch gute 86 % der KMU schützen auch ihre Server vor physischen Attacken.

Was allerdings im Falle einer Cyber-Attacke zu tun ist, welche internen und externen Stellen informiert werden müssen, darüber scheint weitgehend Ratlosigkeit unter KMU zu herrschen: Nur 41 % der Unternehmen haben überhaupt Vorgaben zum Umgang mit Sicherheitsvorfällen oder gar Anlaufpläne für kritische Systeme im Falle eines Hacks. Besonders unzureichend sind Vorkehrungen wie eine Risikoanalyse für IT-Systeme – die führen nur 28 % der teilnehmenden Unternehmen durch. Und gerade einmal 24 % der KMU haben verbindlich definiert, was überhaupt als „IT-Sicherheitsvorfall“ zu verstehen ist. Trotz genauester gesetzlicher Vorgaben darüber, was im Ernstfall zu tun ist, sind die Zahlen im Vergleich zu 2017 damit gleich geblieben und zu 2016 sogar leicht rückläufig: In 2017/2016 verfügten 41% bzw. 38 % der KMU über Vorgaben für Sicherheitsvorfälle und 42% bzw. 46 % über Wiederanlaufpläne.

KMU brauchen strukturiertere Zugangsvergabe

Auch hier die gute Nachricht zuerst: Die Vergabe von Zugriffsrechten, beispielsweise Lesen, Schreiben und Ausführen, auf IT-Anwendungen und Daten an Personen oder Personengruppen ist offenbar geregelt und die Verwaltung von Zugängen zu IT-Systemen klappt bei deutschen KMU: 84 % behalten administrativen Zugriff ausschließlich den Administratoren vor (2017: 83 %, 2016: 81 %), 82 % gewähren Zugänge zum jeweiligen Netzwerk nur dann, wenn sie für die Aufgabenerfüllung notwendig sind (2017: 78 %, 2016: 80 %). Dass dann allerdings nur 49 % der Unternehmen diese Zugänge nach einem festgelegten Turnus auf ihre weitere Notwendigkeit prüfen, relativiert die ganze Sache schon wieder. Denken Sie einfach nur einmal daran, wie rasch sich Zuständigkeiten ändern oder Mitarbeiter aus Unternehmen ausscheiden und Sie verstehen die Problematik. Dabei ist die strukturierte Zugangsvergabe ein kleiner Schritt mit großer Wirkung für die Unternehmenssicherheit, denn sie blockt etliche Möglichkeiten, einem Betrieb und seinen Angestellten Schaden zuzufügen.

Privatnutzung von Endgeräten besser regeln

IT-Sicherheit im Mittelstand Egal ob Firmencomputer, das zur Verfügung gestellte Smartphone oder Laptop: Immer wieder gern werden diese Endgeräte auch für private Internetrecherchen, Kommunikation oder zum Ablegen privater Daten genutzt. Aber genau dieses Verhalten ist viel geliebtes Einfallstor für Angreifer. Der private USB-Stick, der angeschlossen, das fremde Programm, das installiert oder der Anhang einer privaten E-Mail, der geöffnet wird: In Sekundenbruchteilen ist der Arbeitgeber-Rechner mit einem Virus oder sonstiger Schadsoftware verseucht. Die Privatnutzung also ganz verbieten? Was ist dann aber mit Außendienstmitarbeitern oder Home Office? Arbeitgeber kommen also um eine Regelung der private Nutzung von Firmenlaptop und Co. nicht herum. Und genau hier herrscht Nachholbedarf bei KMU: Gerade einmal 66 % regeln diesen wichtigen Sicherheitspunkt für ihre Mitarbeiter. Noch schlimmer sieht es bei Zugängen für externe Dienstleister aus: Nur 45 % der KMU haben klare Regeln für ihre IT-Dienstleister aufgestellt.

Management der Informationssicherheit ist alarmierend

Nur 32 % der Mittelständler legen ein gutes oder sehr gutes Management ihrer IT-Absicherung an den Tag. Das sind zwar 3 % mehr als noch 2017, aber trotzdem viel zu wenig. Denn obwohl gerade die Risiken des Cloud Computings inzwischen bekannt sein dürften, schützen sich nur 27 % der KMU mit notwendigen Sicherheitsanforderungen wie beispielsweise Datenverschlüsselung, sicheren Zugängen oder der Sicherung von Daten vor Verlust oder technischem Ausfall. Auch für Outsourcing-Projekte, oft ein besonders schwaches Glied der IT-Schutzkette und damit natürlich bevorzugter Angriffspunkt der Cyber-Kriminellen, verfügen nur 33 % über konkrete Sicherheitsvorgaben.

Manifest IT-Sicherheit identifiziert sechs Problemfelder

Lesetipp Der Bundesverband der IT-Anwender „VOICE“ und der Bundesverband IT-Sicherheit e.V. – TeleTrusT deckten in ihrem Manifest zur IT-Sicherheit sechs Problemfelder auf und stellten konkrete Forderungen an die Politik: Ausbau der E-Government-Aktivitäten und Sicherheitsregeln für den internationalen Datenverkehr sowie eine bessere Koordination der Digitalisierung auf Bundesebene. In unserem Blogartikel erfahren Sie Details.

Fazit: Digitalisierung zu Lasten der IT-Sicherheit?

Die Lage der IT-Sicherheit in KMU hat sich trotz fortschreitender Digitalisierung in den letzten drei Jahren kaum gebessert. So innovativ viele von ihnen im Bereich Internet of Things, Industrie 4.0, Smart Cars oder Smart Home agieren, so verfügen sie im Gegensatz zu großen Unternehmen meist über nur eingeschränkte Ressourcen für IT-Sicherheit. Vielen von ihnen fehlt das nötige Know-how oder das nötige Budget, um Sicherheitslücken in ihrem Betrieb zu erkennen und sicher zu schließen. Erkennbar immerhin ist das vorhandene Bewusstsein für IT-Sicherheit, jedoch fehlt es an Konsequenz bei der Umsetzung. Dieser Lückenschluss muss gelingen.

Der Beitrag IT-Sicherheit im Mittelstand ist unzureichend erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Data Leakage Prevention – Wo sind all die Daten hin?

17. Mai 2018 Posted by Diana Jensen

dsgvo banner

Ohne Data Leakage Prevention kann es für Unternehmen teuer werden

Datenverlust ist „Supergau“

Datenpannen können Unternehmen künftig richtig teuer zu stehen kommen. In den Tagen vor der Datenschutzgrundverordnung (DSGVO) gewinnt das Thema Datenverlust damit noch einmal an Brisanz, so dass auch wir dieses noch einmal aufgreifen.

Nach Ergebnissen des Veritas 2017 GDPR Reports haben Unternehmen tatsächlich größte Schwierigkeiten damit, bei Datenverlusten den Überblick zu behalten. Fast die Hälfte (48 Prozent) der befragten Firmen gab bei einer Befragung zu, keine Einsicht in sämtliche Vorfälle zu haben, bei denen personenbezogene Daten verloren gehen. Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden – dabei ist das eine essenzielle Forderung aus der DSGVO!

Unwissenheit schützt vor Strafe nicht

Data Leakage Prevention Ganz gleich, ob es Bankdaten, Passwörter, E-Mail Adressen oder Gesundheitsdaten sind: Melden Unternehmen den Verlust personenbezogener Daten zu spät, handeln sie nicht nach den neuen Regeln der DSGVO. Und das kann teuer werden: Bei Verstößen drohen hohe Bußgelder, die sich auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen können – je nachdem, welcher Betrag größer ist. Der Verlust sensibler Daten hat also künftig auch wirtschaftlich eine enorme Brisanz für Unternehmen.

Jeder Zweite hat schon Daten verloren

Data Leakage Prevention Die Sorge um den Verlust von Daten ist durchaus begründet: Mehr als jeder zweite Anwender (53%) hat bereits elektronisch gespeicherte Daten verloren. Das ist ein Ergebnis einer repräsentativen Umfrage, die das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zwar benennt die Studie unterschiedliche Ursachen, wie Schadsoftware, technischer Defekt, Diebstahl von Endgeräten, versehentlich oder vorsätzlich gelöscht beziehungsweise gestohlene Daten. Dennoch ist für viele Unternehmen die Kontrolle des Datenabflusses von innen nach außen eine besondere Herausforderung. Nur jedes zweite Unternehmen verfügt hier über geeignete Lösungen für dieses Problem wie eine Studie der Bundesdruckerei zur Digitalisierung und IT-Sicherheit in deutschen Unternehmen aus 2017 zeigt.

Autorisierte Personen haben freie Hand

Data Leakage Prevention Das Problem Datenabflüsse zu kontrollieren, liegt für die meisten Unternehmen darin, dass der Zugriff durch autorisiertes Personal erfolgt. Wenn autorisierte Personen im Unternehmen Zugriff auf Daten haben, können sie damit mehr oder weniger machen, was sie wollen: Sie können Daten kopieren, ausdrucken oder verschicken. Ob Daten nun bewusst oder versehentlich Ihr Unternehmen verlassen: Die Auswirkungen, nämlich Verlust geistigen Eigentums, schwindendes Kundenvertrauen, rechtliche Konsequenzen, können immens sein.

Datenverlust: Finanzielle und rechtliche Risiken

Data Leakage Prevention Wenn Daten verloren gehen, ist die Liste der Horrorszenarien lang. Sie reicht von Bußgeldern, Schadensersatzansprüchen betroffener Personen über Umsatzeinbußen aufgrund von Imageverlust bis hin zu Kosten für Gutachter und Anwälte. Schwer zu beziffern ist der finanzielle Schaden für Unternehmen, wenn geistiges Eigentum gestohlen wird oder verloren geht: Die Zusammensetzung eines Medikaments, die Konstruktionszeichnungen für ein Maschinenteil oder der Quellcode für die neue Software.

Kommen wir vor dem Hintergrund der DSGVO kurz noch einmal auf die rechtlichen Konsequenzen: Kommt es zu Pannen mit persönlichen Daten von Mitarbeitern und Kunden, kann es richtig teuer werden, wenn Unternehmen keine geeigneten Schutzmaßnahmen nach dem aktuellen Stand der Technik ergriffen haben. Dazu gehören wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Viren und anderer Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best-Practice-Vorgaben und Wirtschaftsprüfungsstandards.

Abgesehen von den Geldbußen sehen sich Unternehmen auch mit wirtschaftlichen Nachteilen wie beispielsweise einem schlechteren Kreditrating, zivilrechtlichen Schadensersatzansprüche von Geschädigten, Verlust des Versicherungsschutzes oder dem Ausschluss bei der Vergabe öffentlicher Aufträge konfrontiert. Damit nicht genug, denn der Missbrauch von IT-Infrastruktur und der Datendiebstahl kann nach verschiedenen Vorschriften strafbar sein: Darunter fallen beispielsweise das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Haben Sie noch Zweifel, eine DLP-Lösung in Ihrem Unternehmen installieren zu lassen?

Ein Problem, verschiedene Lösungen

Data Leakage Prevention Vor externen Bedrohungen wie etwa Hacker-Angriffen oder sonstigen Attacken schützen sich viele Unternehmen mit Firewalls, Anti-Spyware-Programmen, Intrusion-Prevention- oder Intrusion-Detection-Systemen, Virenscannern und Scannern zum Erkennen von Keyloggern. Allerdings genügen herkömmliche Schutzmechanismen nicht, um auch den Datenabfluss aus dem Unternehmen heraus zu kontrollieren.

Vor diesem Hintergrund musste schon vor Jahren eine praktikable Lösung entwickelt werden, um die Nutzung und Verbreitung von Firmendaten zu kontrollieren beziehungsweise zu überwachen: Data Leakage Prevention war geboren. Immer weiter entwickelt, gibt es heute verschiedene Lösungsansätze, vertrauliche Daten im Unternehmen aufzuspüren und unter Kontrolle zu halten. So gibt es Hersteller, die vorzugsweise auf die Verschlüsselung von Daten auf Festplatten oder Mobile Devices setzen, andere haben Anwendungen zur Kontrolle von Wechselmedien entwickelt oder Mailverschlüsselungs-Gateways.

Wir von GBS konzentrieren uns auf E-Mails, da mit ihnen vertrauliche Daten am einfachsten und schnellsten ein Unternehmen verlassen. Dabei muss es sich nicht einmal immer um vorsätzlich begangenen Datendiebstahl handeln. Auch das sorglose Weiterleiten einer E-Mail mit sensiblen Dateianhängen an eine Empfängergruppe kann Daten schnell in die falschen Hände spielen. Und genau vor einer solch unsachgemäßen Nutzung des Mediums E-Mail sollen Anwender gehindert werden.

Die Techniken: Mit Keyword-Matching und Fingerprint Datenabfluss verhindern

Data Leakage Prevention Um den sorglosen Umgang mit E-Mails und den daraus resultierenden Datenverlust zu unterbinden, müssen natürlich andere Techniken eingesetzt werden, als beispielsweise bei Verschlüsselungslösungen. Denn hier geht es schließlich darum, den Versand vertraulicher Informationen zu verhindern. Dazu zählt das Filtern sensibler Inhalte aus E-Mail Text und Anhängen. Hierbei wird gezielt nach fest definierten Schlüsselworten, Dateitypen, Anhängen, dem Kommunikationspartner oder der Zeit – sprich nach allem, was verdächtig sein könnte – gesucht. Unterschiedliche Techniken kommen dabei zum Einsatz: Beim Keyword-Matching beispielsweise werden die übermittelten Daten nach bestimmten Schüsselworten, wie etwa „Vertraulich“ oder „Geheim“ durchsucht. Beim Fingerprinting werden eindeutige Merkmale der Daten, ähnlich einem Fingerabdruck, ermittelt. Auch wenn die Daten kopiert werden, bleibt ihr Fingerabdruck erhalten und sie sind weiterhin zu erkennen.

Das tut iQ.Suite DLP für Sie

Um vertrauliche Daten in E-Mails zu entdecken haben wir eine DLP-Lösung für unsere iQ.Suite entwickelt. Ausgehende E-Mails werden in Echtzeit analysiert und vertrauliche Inhalte und Verhaltensanomalien, wie ein verdächtig starker Anstieg des E-Mail-Volumens oder der plötzliche Versand großer Datenmengen, erkannt.

Die von uns eingesetzte Fingerprint-Technologie erkennt bestimmte, durch sie definierte Textinhalte wie Kundennummern oder Kredikartendaten, aber auch bestimmte Dateiformate wie beispielsweise Excel-Dateien. Verlässt nun eine verdächtige E-Mail das Unternehmen, wird der Versand angehalten und die E-Mail in Quarantäne gestellt. Erst nach einer Vier-Augen-Prüfung durch autorisierte Personen erfolgt die finale Freigabe zum Versand. Entwickelt haben wir auch ein Dashboard, welches die Daten visualisiert. Das integrierte Rechte- und Rollenkonzept garantiert dabei, dass nur autorisierte Personen auf die relevanten Informationen zugreifen können. In Verbindung mit der konfigurierbaren Datenlöschung nach einem festgelegten Zeitraum wird außerdem sichergestellt, dass geltende Datenschutzbestimmungen eingehalten werden.

Erfahren Sie mehr über iQ.Suite DLP

Achtung: Phishing!

Data Leakage Prevention Nun sind (un)beabsichtigte Datenabflüsse aus dem Unternehmen nur eine Seite der Medaille. Datenklau erfolgt natürlich auch von außen. Ein beliebtes Mittel, Daten abzugreifen sind Phishing- Mails. Kriminelle täuschen beispielsweise vor, ein vertrauenswürdiger Absender zu sein und bringen den Empfänger dazu, persönliche Informationen, wie Kreditkartendaten oder Passwörter, preiszugeben oder sie verleiten ihr Opfer dazu einen Anhang zu öffnen. Ein Klick kann jedoch schon ausreichen um im Hintergrund die Installation eines Trojaners einzuleiten, der entweder direkt Daten sammelt und dem Datendieb zusendet oder der Hackern Zugang zum Unternehmensnetzwerk verschafft. Data Leakage Prevention muss daher zwangsläufig auch den Schutz vor Phishing-Angriffen umfassen. Die besten DLP-Schutzmechanismen können nur ihr volles Potenzial entfalten, wenn Sie von den eigenen Mitarbeitern auch gelebt werden. Regelmäßige Schulungen zum richtigen Umgang mit sensiblen Informationen und eine Sensibilisierung für aktuelle Gefahren sind daher unerlässlich.

Verschlüsselung gehört zum DLP-Konzept

Data Leakage Prevention Auch wenn sichergestellt wurde, dass keine unerwünschten Daten das Unternehmen verlassen, können findige Datendiebe die Kommunikation auf dem Weg vom Absender zum Empfänger abfangen und lesen. Der einzige Weg, um dies zu unterbinden ist ein verschlüsselter Informationsaustausch. Nur mit seiner Hilfe kann sichergestellt werden, dass weder „Man-in-the-Middle“ Angreifer noch der E-Mail-Provider selbst Zugriff auf die versendeten Daten erlangen können. Wurde die E-Mail zusätzlich signiert, kann ebenfalls überprüft werden, ob die Nachricht auf dem Weg durch das Internet manipuliert wurde und der Absender tatsächlich der ist, der er vorgibt zu sein. Auch wenn sich Verschlüsselungslösungen in Ihrer Sicherheit und ihrer Komplexität unterscheiden, so gilt: Jede Verschlüsselung ist besser als keine.

Fazit

Data Leakage Prevention Die Unterbindung von Datenabflüssen aus Unternehmen ist die Aufgabe von Data Leakage Prevention (DLP)-Tools. Bedenken Sie aber bitte: DLP-Tools sind Werkzeuge zur Risiko-Verminderung. Sie sind keine unfehlbaren Security-Kontroll-Mechanismen, denn sie kümmern sich lediglich um die Daten, die Sie in der Konfiguration bestimmen. Das heißt, Sie müssen wissen und ermitteln, welche sensiblen Daten in Ihrem Unternehmen anfallen. Ein umfassender Schutz der wichtigsten Geschäftsgeheimnisse besteht deshalb aus einer Kombination von Werkzeugen zur Netzwerküberwachung, der Kontrolle der Endgeräte und den Regelwerken für den Umgang mit den Daten.

Der Beitrag Data Leakage Prevention – Wo sind all die Daten hin? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Meltdown und Spectre: Der IT-Security-Supergau?

16. Januar 2018 Posted by Heiko Brenn

Neue Sicherheitslücken in Prozessoren treffen Hersteller ins Mark

Jeder Prozessor ist betroffen

Meltdown und Spectre – seit zwei Wochen halten sie die IT-Welt in Atem. Was nach Titeln von Hollywood Blockbustern klingt, ist alles andere als Spaß und Unterhaltung. Stattdessen haben wir es mit neuen, gravierenden Sicherheitslücken zu tun – vielleicht den größten der gesamten IT-Industrie. Denn dieses Mal ist nicht ein bestimmtes Betriebssystem oder Gerätetyp betroffen. Dieses Mal ist fast jeder Rechner, jedes Smartphone, jedes Tablet, jedes Cloud-System weltweit betroffen: Ganze Generationen von Computerchips, im Grunde genommen jeder Intel-Chip seit 1995, sind offenbar anfällig für Attacken, mit denen Passwörter und Kryptoschlüssel gestohlen werden können.

Während Sie sich Meltdown dabei wie einen Dieb vorstellen müssen, der in Ihre Tasche greift, um Ihr Hab und Gut zu stehlen, versteht sich Spectre auf Manipulation. Diese Variante bringt Sie dazu, Ihre Taschen freiwillig herauszugeben. Beide Angriffe hinterlassen keine Spuren und werden nicht von Antivirus-Software erkannt. Bislang weiß niemand, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden.

Chiphersteller wussten Bescheid

Sicherheitslücken in Prozessoren Bereits vor gut einem halben Jahr haben Mitarbeiter von Googles Project Zero gemeinsam mit Forschern verschiedener Universitäten und der Industrie die Sicherheitslücken in Prozessoren entdeckt. Anfang Juni 2017 wurden die Hersteller von Prozessoren informiert, darunter Platzhirsch Intel, aber auch AMD und ARM.

Für Dienstag, den 9. Januar 2018, war dann die Veröffentlichung geplant, bereits seit dem 3. Januar überschlagen sich allerdings die Meldungen um die neuen Sicherheitslücken: Amerikanische Technikjournalisten berichteten, dass Hersteller in der Windows- und Linux-Welt sowie in den namhaften Cloud-Plattformen hektisch an Updates arbeiten – etwas Großes musste dahinter stecken.

Technische Hintergründe

Wie sich zeigte, ist dem auch so: Die auf den Namen Meltdown und Spectre getauften Sicherheitslücken nutzen sogar die Achillesferse verschlüsselter Geräte aus. Um dem ganzen Problem auf den Grund zu gehen, müssten wir tief in die Computertechnik eintauchen. Die Hintergründe sind also sehr komplex und fast nur für Software-Programmierer zu verstehen. Wir versuchen, das Ganze vereinfacht, mit verständlichen Begriffen zu erklären:

Sicherheitslücken in Prozessoren Seit den 90er Jahren wurden Prozessoren dahingehend weiterentwickelt, Daten immer schneller zu verarbeiten. Zu diesem Zwecke werden mehrere Befehle gleichzeitig berechnet, um möglicherweise später benötigte Daten schon vorher abzurufen. Welche das sind, entscheidet der Computer – er spekuliert sozusagen, welcher Teil eines Programmes als nächstes ausgeführt werden könnte. Für die Spekulation greift der Prozessor auf Erfahrungswerte zurück. Stellt der Prozessor fest, dass er sich verspekuliert hat, verwirft er die berechneten Daten einfach. In der Regel irrt sich der Prozessor jedoch selten und die berechneten Daten werden schnell verarbeitet.

Während der Prozessor rechnet und sich spekulative Ergebnisse zwischenspeichert, stehen Daten unverschlüsselt im Speicher – zum Schutz in getrennten Speicherbereichen. Der Knackpunkt: Um Befehle auszuführen, müssen Daten ausgetauscht werden. Dazu muss ein Prozess jedoch teilweise auf Speicher zugreifen, den auch ein anderer Prozess erreichen kann. Das geschieht nach klar definierten Regeln – unter anderem aus dem Grund, damit einige Daten eben nicht ausgetauscht werden dürfen.

Sicherheitslücken in Prozessoren

Nun haben Sicherheitsforscher herausgefunden, dass der Speicherschutz umgangen werden kann. Es gibt Möglichkeiten, Daten, die einem Programm gehören, mit einem Schadprogramm auszulesen. Dieser Fehler eröffnet Hackern zwei Angriffsmöglichkeiten: „Meltdown“ und „Spectre“.

Meltdown

Meltdown verschafft sich Zugriff auf eigentlich geschützte Speicherbereiche. Konkret wird bei dieser Angriffsmethode die Vorab-Informationsbeschaffung des Prozessors ausgenutzt. Während er spekuliert, was als Nächstes zu tun ist, erzeugt der Prozessor selbst Daten und speichert diese zwischen. Aus diesem Cache heraus können Angreifer Daten abgreifen, indem sie Schadprogramme auf dem Gerät ihres Opfers installieren – beispielsweise über eine manipulierte Webseite – und ausführen.

Spectre

Spectre ist noch komplexer und zielt auf den oben genannten Lernprozess eines Chips ab, Prozesse zu verarbeiten und auf welcher Basis er Entscheidungen zu treffen hat. Angreifer können dem Chip beibringen, Entscheidungen zu treffen, die er eigentlich gar nicht treffen darf – sie manipulieren ihn und kommen auf diese Weise an die Daten. Diese Angriffsmethode ist zwar aufwändiger umzusetzen, weil Angreifer sich mehr Informationen beschaffen müssen, beispielsweise welche Software und welches Betriebssystem auf dem jeweiligen Gerät installiert ist. Dennoch ist ein Angriff dieser Art möglich.

Keine Antivirenlösung in Sicht

Sicherheitslücken in Prozessoren Niemand weiß, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden und wenn ja, von wem. Bislang ist auch keine Schadsoftware bekannt, die Meltdown oder Spectre ausnutzt. Und genau das ist auch schon das nächste Problem: Antivirenlösungen erkennen nur Schadprogramme, die bereits bekannt sind. Automatisch erkennt keine Antivirenlösung der Welt ein ihr unbekanntes Schadprogramm. Denn erst anhand seiner individuell typischen Signatur können Antivirenlösungen ein solches Programm erkennen und blockieren.

Noch gruseliger wird es, wenn Sie sich in Erinnerung rufen, wie einfach Schadprogramme auf einen Rechner gelangen können: Zum Beispiel versteckt im Anhang einer als seriös getarnten E-Mail oder als Download über eine gefakte Website (Phishingsite).

Was Sie tun können

In wilde Panik zu verfallen und den Prozessor tauschen zu wollen, nützt wenig: Es gibt aktuell keine Prozessoren, die nicht von Spectre betroffen sind. Die betroffenen Prozessorenhersteller Intel, AMD und ARM arbeiten eigenen Aussagen zufolge daran, das Problem zu lösen. Der Knackpunkt dabei: Der Programmcode, der Befehle des Betriebssystems für den Prozessor übersetzt, muss aktualisiert werden. Für jedes PC- und Smartphone-Modell müssen eigene Firmware-Updates bereitgestellt werden. Sie können sich vorstellen, dass das ein teures und aufwändiges Unterfangen ist.

Mehr als Updates für Ihre Betriebssysteme zu installieren, können Sie momentan also kaum tun. Immerhin bekommen Sie auf diese Weise wenigstens Meltdown in den Griff. Die ersten Updates für Betriebssysteme und Software liegen bereits vor. Gleich ob Smartphone, Windows- oder Linux-PC oder MacBook: Installieren Sie diese Updates unbedingt auf Ihren Geräten. Sollte für Ihr Betriebssystem (noch) kein Update vorliegen, halten Sie unbedingt Ausschau danach und installieren Sie es umgehend.

Updates mit allen iQ.Suite Versionen erfolgreich getestet

Lesetipp Mittlerweile stehen Updates u.a. von Microsoft zur Schließung der Sicherheitslücken zur Verfügung. Das Zusammenspiel dieser Updates wurde mit allen aktuellen iQ.Suite Versionen erfolgreich getestet. Alle relevanten Informationen können Sie in unserem neuesten Knowledgebase Artikel lesen.

Google

Laut Google sind auch Android-Systeme von Smartphones gefährdet. Die hauseigenen Smartphones seien mit dem Android-Sicherheitsupdate vom 2. Januar geschützt. Die Androiden anderer Hersteller haben ein solches Sicherheitsupdate nach heutigem Stand (9.1.2017) noch nicht erhalten. Die Google-Produkte Chromecast, Home und Google Wifi sind angeblich nicht von Meltdown und Spectre betroffen. Googles Browser Chrome soll mit seiner angekündigten Version 64 die Angriffsmöglichkeiten immerhin abschwächen.

Microsoft

Microsoft hat (neben Amazon) damit begonnen, seine Cloud-Dienste mit Updates abzusichern. Am 4. Januar hat Microsoft zudem für Windows ein außerplanmäßiges Sicherheits-Update herausgegeben. Mit diesem soll verhindert werden, dass Meltdown über Funktionen in den Browsern Edge und Internet Explorer ausgenutzt werden kann. In einem aktuellen Blog-Beitrag (https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/) erklärt Microsoft-Vizepräsident Terry Myerson die Updates genauer und gibt auch Einschätzungen über Performance-Einbußen ab: Unter Windows Server können die erheblich sein.

Apple

Apple soll nach unbestätigten Berichten mit einem früheren Update für sein Betriebssystem Mac OS das Leck bereits teilweise geschlossen haben. Ansonsten tappen iOS-Nutzer noch im Dunklen: Apple äußerte sich bislang nicht (Stand: 9.1.2017), was mit iPhones und iPads ist. Auch diese laufen mit Prozessoren von ARM.

Der Beitrag Meltdown und Spectre: Der IT-Security-Supergau? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

ISG veröffentlicht Anbietervergleich im IT-Security-Markt

30. November 2017 Posted by Andreas Richter

ISG Banner

GBS ist ein führender Anbieter im IT-Security-Markt für Data Leakage Prevention

GBS: Vom Rising Star zum Leader für DLP

Weltweite IT-Angriffe mit Trojanern wie Petya und WannaCry oder großangelegte Phishing-Attacken haben im zurückliegenden Jahr eindrucksvoll bewiesen, wie vielfältig die Bedrohungen der IT-Sicherheit geworden sind. Die Einfallstore sind dabei keineswegs nur noch technische Schwachstellen von IT-Systemen. Zunehmend wird auch der Anwender zur kritischen Sicherheitslücke.

ISG Security Provider Lens Germany 2018: Hintergrund

Mit ihrem kürzlich veröffentlichten Anbietervergleich im IT-Security-Markt „ISG Security Provider Lens Germany 2018“ ist es der ISG (Information Services Group), einem führenden, globalen Marktforschungs- und Beratungsunternehmen im Informationstechnologie-Segment, nun gelungen, Anwender- und Anbieterunternehmen aktuelle Einblicke in den deutschen IT-Security-Markt zu geben. Im Rahmen eines mehrmonatigen Research-Prozesses untersuchte die ISG dafür die Leistungsfähigkeit der Anbieter von Security-Lösungen und -Services in Deutschland. Die Studie umfasst acht Marktkategorien und bewertet über 80 relevante Technologie- und Dienstleistungsanbieter. Deren Positionierung erfolgte nach Bewertung der Portfolioattraktivität und Wettbewerbsstärke anhand verschiedener Kriterien.

Mit dem Anbietervergleich im IT-Security-Markt möchten die Initiatoren IT-Entscheidern einen detaillierten und differenzierten Überblick zu den wichtigsten IT-Security-Anbietern in Deutschland geben. Er soll sie dabei unterstützen, Security-Budgets optimal einzusetzen. Denn nicht immer haben es IT-Verantwortliche leicht, das Risiko einer Bedrohung zu quantifizieren und folglich auch Investitionen in die IT-Sicherheit gegenüber der Geschäftsleitung zu begründen.

Marktkategorie Security Services & Solutions

IT-Security-Markt Security Solutions umfassen in dieser Studie entsprechende Hardware, Software und Software as a Service. Unterteilt wurden die Anbieter in diesem Markt in sechs Kategorien: Network Security, Cloud & Datacenter Security, Identity & Access Management, Pervasive & Predictive Security, Data Leakage/Loss Prevention sowie Security Information & Event Management. GBS konnte in der Kategorie Data Leakage Prevention überzeugen und wurde als Leader positioniert. Die ISG-Analysten sahen die Stärken der in Deutschland entwickelten E-Mail-Managementlösung insbesondere bei der 4-Augen-Prüfung, der Erkennung von sensiblen Inhalten in E-Mail-Texten und -Anhängen sowie in der Analyse von Verhaltensanomalien beim E-Mail-Versand.

Problem: Datenabfluss im Unternehmen

Aber zurück zum Thema Data Leakage/Loss Prevention (DLP). Es umfasst Lösungen und Strategien zur Identifizierung und Überwachung von sensiblen Daten. Ziel ist es, sicher zu stellen, dass diese nur autorisierten Benutzern zugänglich sind und es nicht zu Datenlecks kommt.

Insbesondere in der Geschäftswelt rückt deshalb die Kontrolle von Datenbewegungen immer stärker in den Brennpunkt. Denken Sie zum Beispiel an die IT-Trends Big Data, Social Business und Cloud Computing – hier werden schließlich enorme Datenmengen bewegt. Daneben steigt die Anzahl mobiler Endgeräte in Unternehmen. Jedes von ihnen verfügt nicht nur über eine eigene Verbindung ins Internet, so dass Daten ohne Nutzung des zentralen Internet Gateways versendet und empfangen werden können. Zusätzlich haben sie verschiedene Schnittstellen wie USB, Bluetooth, WLAN, NFC, über die ebenfalls Daten ausgetauscht werden können.

Und schließlich das beliebteste Kommunikationsmedium in Unternehmen überhaupt: die E-Mail. Wer an E-Mail Sicherheit denkt, verbindet damit häufig nur Viren- und Spamschutz. Generell liegt in vielen Unternehmen der Fokus auf der eingehenden Kommunikation. Risiken, die bei unkontrollierter Kommunikation von innen nach außen lauern, werden nur selten wahrgenommen. Die Praxis zeigt aber, dass gerade der Verlust von sensiblen Informationen, das arglose Versenden von personenbezogenen Daten und die Missachtung von Vorschriften, beispielsweise zum Schutz von Kundendaten, immer größere Probleme bereitet. Wo früher der Diebstahl von Kundendaten noch via USB-Stick oder selbst gebrannten DVDs stattfand, haben es Datendiebe heute dank E-Mail leider sehr viel leichter. Kundendaten mit einem sehr viel größeren Umfang lassen sich mit einem Klick als Anhang an eine E-Mail anfügen und versenden.

Zusätzlich zu den Risiken durch Datentransfers via E-Mail haben soziale Netzwerke und andere Social-Media-Plattformen Kommunikationskanäle eröffnet, über die Daten abfließen können.

Herausforderung: Datenabfluss erkennen

IT-Security-Markt Tatsächlich stehen viele Unternehmen vor der Herausforderung, Datendiebstahl und Compliance-Verstöße überhaupt zu erkennen – insbesondere dann, wenn die Datendiebe bereits im Haus sind, weil sie die Firewall überwunden haben oder es sich bei ihnen um aktuelle (oder ehemalige) Mitarbeiter des Unternehmens handelt. Denken Sie zum Beispiel an die unzähligen E-Mails, die täglich versendet werden: Wissen Sie, welche Daten Ihr Unternehmen per E-Mail verlassen? Können sie ausschließen, dass schützenswertes Know-how dabei ist? Sind Mechanismen etabliert, die den illegalen Versand – ob beabsichtigt oder versehentlich – von Kundendaten blockieren? Und: Gibt es ein Notfallplan, der im Falle einer Datenpanne genau regelt, was wann von wem zu tun ist?

Lösung: Datenabfluss aufspüren und blockieren

In Zeiten, in denen die Kontrolle von Datenbewegungen und Datentransfers für Unternehmen ein komplexes und schwieriges Unterfangen ist, kommt Lösungen im Umfeld von Data Loss Prevention eine wachsende Bedeutung zu. Eine leistungsfähige DLP-Lösung muss demnach in der Lage sein, Daten schnell aufzuspüren, zu klassifizieren und entsprechend ihres Schutzbedarfs vor unerlaubten Aktionen wie Kopieren oder Verschieben schützen. Obendrein müssen Daten daran gehindert werden, das Unternehmensnetzwerk unerlaubt zu verlassen.

Vom Rising Star zum Leader

Zuletzt hatte ISG (damals noch als Experton Group) den deutschen Markt für DLP vor zwei Jahren analysiert. In dieser Zeit hat das Thema weiter an Brisanz zugelegt: Mit Blick auf Social Media und Collaboration Tools erkennen Unternehmen beim Thema E-Mail-Sicherheit, dass es nicht ausreicht, nur an eingehende E-Mails und den Schutz vor Viren und Spam zu denken. Insbesondere beim Stichwort Data Leakage Prevention muss zwingend der Versand von E-Mails in das Sicherheitskonzept einbezogen werden.

Die ISG identifizierte im deutschen Markt 21 Unternehmen als relevante Anbieter für Data Leakage/Loss Prevention. Nachdem die ISG nun die Bewertungskriterien verschärft und der Kreis der betrachteten Provider auf die hierzulande relevantesten Anbieter beschränkt hat, ergaben sich einige Veränderungen in der Positionierung der Anbieter. Obwohl es nunmehr insgesamt weniger Anbieter in den Leader-Quadranten geschafft haben, konnten wir unsere Marktposition verbessern und vom „Rising Star“ zum Leader aufsteigen.

Zwei wesentliche Gründe waren für unsere Positionierung ausschlaggebend: Als deutsches Unternehmen haben wir sowohl IT-Sicherheitsforschung als auch -entwicklung in Deutschland angesiedelt – ein wichtiger vertrauensbildender Faktor gerade bei Kunden aus dem Mittelstand. Zudem haben die technologische Weiterentwicklung unserer Lösung in den letzten Monaten und die Fokussierung auf die Verbesserung der Datensicherheit zur verbesserten Positionierung beigetragen. Gerade vor dem Hintergrund der kommenden EU-DSGVO gewinnt das Thema Datenschutz weiter an Bedeutung. Die Erkennung und Vermeidung von Datenschutzvorfällen ist daher ein wichtiger Aspekt, den wir mit der iQ.Suite realisieren.

Erfahren Sie mehr über iQ.Suite DLP

Bewertung im Detail

Die Positionierung als Leader begründet die ISG mit den Stärken von iQ.Suite DLP. Als Lösung zur Kontrolle von Informationsabflüssen durch E-Mails überzeugte unsere iQ.Suite deshalb besonders mit der Erkennung von sensiblen Inhalten wie beispielsweise Kreditkartendaten oder Kundennummern in E-Mail-Texten und -Anhängen sowie in der Analyse von Verhaltensanomalien im E-Mail-Fluss. Hierzu sammelt iQ.Suite DLP über einen definierten Zeitraum Informationen über die Anzahl und Größe der normalerweise versendeten E-Mails und gleicht diese mit dem aktuellen Verhalten der Anwender ab. Auf diese Weise kann ein überproportionaler Anstieg des E-Mail-Volumens oder den Versand großer Datenmengen entdeckt werden – beides übrigens Anzeichen für den Abfluss vertraulicher Inhalte.

IT-Security-Markt Ein weiterer wesentlicher Punkt in der Bewertung war zudem der Umgang mit den E-Mails, die tatsächlich vertrauliche Inhalte enthalten: Diese von der Software identifizierten E-Mails werden in ihrem Versand gestoppt und in Quarantäne verschoben. Erst nach einer 4-Augen-Prüfung durch eine zuvor definierte Person, beispielsweise den Datenschutzbeauftragten des Unternehmens, erfolgt die finale Entscheidung über den Versand oder die Blockierung der E-Mail.

Als deutscher Anbieter haben wir bei iQ.Suite DLP zusätzlich höchsten Wert auf Datenschutz gelegt: In Verbindung mit der konfigurierbaren Datenlöschung nach einem festgelegten Zeitraum wird sichergestellt, dass auch geltende Datenschutzbestimmungen eingehalten werden.

iQ.Suite DLP – Intelligenter Schutz vor Datenklau

LesetippSie möchten mehr über unsere für Microsoft Exchange, Office 365 und IBM Domino Verse verfügbare iQ.Suite DLP erfahren? Informieren Sie sich auf unserer Produktseite oder kontaktieren Sie unsere Mitarbeiter aus dem Fachbereich E-Mail-Management unter: +49 (0)721 4901-0 oder an info@de.gbs.com.

Der Beitrag ISG veröffentlicht Anbietervergleich im IT-Security-Markt erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Yougov-Studie: Die Angst der Deutschen vor Cyber-Attacken

27. Oktober 2017 Posted by Andreas Richter

Yougov Banner

Deutsche sehen hohes Risiko für Unternehmen

Klartext bitte!

Großangelegte und weltweite Cyberangriffe auf Unternehmen mit Schädlingen wie Petya und WannaCry – und das innerhalb weniger Wochen – haben uns nachhaltig geschockt. Auch Attacken auf Nutzerkonten von Yahoo oder das Datennetz der Telekom haben uns allen gezeigt, wie verwundbar unsere vernetzte Welt ist.

Bei Unternehmen, aber auch bei Verbrauchern, haben die Angriffe Verunsicherung und teils große wirtschaftliche Schäden hinterlassen. Allein die Großreederei Maersk beispielsweise schätzt den durch die WannaCry-Attacke hervorgerufenen Schaden auf über 300 Millionen Euro. Die Ransomware hatte die Computersysteme des Unternehmens lahmgelegt und so für wochenlange Unterbrechung der Container-Schifffahrt gesorgt. Und vielleicht sind Sie selbst Telekom-Kunde und auch Ihr Internet- und Telefonanschluss war aufgrund des Angriffs auf „Speedport“-Router im vergangenen Jahr gestört.

Aber wenn nicht einmal mehr Großkonzerne, die viele Millionen für ihre Sicherheit ausgeben, sich nicht sicher fühlen können, wie steht es dann um die Verbraucher? Welche Ängste und Bedürfnisse haben sie eigentlich?

Angst der Deutschen vor Datendiebstahl

Angst der Deutschen Wie die aktuelle Studie „Vorsicht, Hacker“ des internationalen Marktforschungs- und Beratungsinstituts YouGov jetzt belegt, bezieht sich die Angst der Deutschen im Falle einer Cyberattacke auf ein Unternehmen, bei dem sie Kunde sind, mehr auf Datendiebstahl (80 Prozent) und Identitätsdiebstahl (71 Prozent) als auf finanzielle Schäden (55 Prozent) oder Service-Ausfälle (55 Prozent). Gerade besser Gebildete (83 Prozent) und Menschen ab 55 Jahren (85 Prozent) sehen diese Punkte kritisch. Laut Studie haben zwar nur 25 Prozent der Befragten überhaupt mitbekommen, ob ein Unternehmen überhaupt Opfer von Cyber-Kriminalität geworden ist. Diese Kunden sind dann aber besonders verunsichert: Bei 55 Prozent verringert sich das Vertrauen in Unternehmen, die häufig Opfer von Attacken werden. 38 Prozent könnten sich sogar vorstellen, in diesem Falle die Marke oder das Produkt zu wechseln.

Verunsichert und wenig informiert

Angst der Deutschen Tatsächlich fühlen sich die Deutschen mit ihren Fragen und Ängsten in Bezug auf Datendiebstahl allein gelassen: Fast Dreiviertel der Befragten (70 Prozent) hat den Eindruck, dass es in jüngster Zeit zwar immer neue Attacken, aber keine sinnvollen Gegenmaßnahmen gibt. Nur jeder Fünfte fühlt sich über die Folgen von Cyber-Attacken auf Unternehmen und deren Auswirkungen auf Kunden grundsätzlich gut informiert. Wie ein Angriff genau funktionierte, welche Nutzer konkret gefährdet sind und welche Schäden ihnen entstehen können oder wie sie als Nutzer nun reagieren sollen: All diese Fragen finden zu wenig Beachtung und spielen nur eine Nebenrolle.

Wunsch nach mehr Tipps von Unternehmen

Dabei sucht mehr als jeder zweite Deutsche (57 Prozent) bei Unternehmen, die Opfer einer Cyberattacke geworden sind, Informationen über die Auswirkungen auf sie als Kunden. Wie das Unternehmen den Schaden beseitigt ist hingegen zweitrangig – nur 43 Prozent der Befragten gab an, sich dafür zu interessieren.

Konkret bedeutet das: 49 Prozent der Deutschen wünscht sich von Unternehmen mehr Tipps zum zusätzlichen Selbstschutz. Erst mit einigem Abstand folgen technische Details wie Updates über Sicherheitsmaßnahmen des Unternehmens (43 Prozent) oder Informationen über den entstandenen Schaden (42 Prozent). Die rechtlichen Konsequenzen, wie Informationen zu Entschädigungen für Kunden oder strafrechtliche Maßnahmen gegen die Verursacher des Angriffs sind den Deutschen dagegen weniger wichtig.

Schlechte Noten für Regierung und Unternehmen

Angst der Deutschen Laut Studie haben die Deutschen einen hohen Informationsbedarf zum Thema Cyber-Risiken. Nur jeder Zehnte sagt, dass er bereits genügend Informationen zu diesem Thema erhält. Dabei nehmen sie weniger Tageszeitungen und (Fach-) Zeitschriften in die Pflicht, sondern vor allem Regierungseinrichtungen sowie die Branchen und Unternehmen, die sie für besonders gefährdet halten. So erwarten 45 Prozent klare Aussagen von der Regierung und Regierungsorganisationen, 44 Prozent wünschen sich mehr Informationen von Internet- und Telekommunikationsanbietern zum Thema Cyber-Risiken und 41 Prozent wollen mehr Information von Banken erhalten. Mehr Auskunft geben sollen auch E-Mail- und andere Service-Anbieter (33 Prozent).

Cyber-Angriff ist nicht gleich Cyber-Angriff

Unternehmen, die angesichts dieser Ergebnisse untätig bleiben, laufen Gefahr, ihre Kunden weiter zu verunsichern oder gar zu verlieren. Denn zwar verstehen viele Verbraucher die Relevanz einer Cyber-Attacke auf Unternehmen, aber nicht deren Tragweite für sie als Kunden. Allein die Verwendung des Sammelbegriffs „Hackerangriff“ zeigt, wie vielschichtig das Thema ist – denn nicht alle Cyber-Angriffe auf Unternehmen sind in gleichem Maße auch bedrohlich für deren Kunden. WannaCry beispielsweise versuchte Computernutzer zu erpressen, indem der Schädling eine Sicherheitslücke in Windows ausnutzte. Der Angriff auf das Telekom-Netzwerk im November 2016 hingegen war eine gezielte Attacke auf Schwachstellen in Routern. Die Server des Unternehmens Yahoo – und nicht die Computer von Privatpersonen – waren Ziel der massiven Datendiebstahl-Attacke im Herbst 2016.

Die Kommunikation im Krisenfall entscheidet über Kompetenz

Angst der Deutschen Das Beispiel zeigt: Verhältnismäßig harmlose Angriffe zu dramatisieren und mit großangelegten Kampagnen zur Kundenberuhigung zu beantworten, ist genauso wenig souverän, wie die Angst der Deutschen zu vertuschen, bzw. die Verunsicherung von Kunden zu ignorieren. Um sie nicht weiter zu verunsichern oder gar an die Konkurrenz zu verlieren, brauchen Unternehmen deshalb eine geeignete Kommunikationsstrategie.

Allerdings: DIE eine richtige Strategie gibt es dabei nicht. Vielmehr sollten die Besonderheiten der jeweiligen Branche und ihrer Kundengruppen Berücksichtigung in der Informationsgabe finden. Dass Kunden verschiedener Branchen unterschiedliche Bedenken gegenüber Cyber-Angriffen haben, zeigt ebenfalls die YouGov-Studie: So halten 85 Prozent der Windows-Nutzer Diebstahl für ein besonders kritisches Risiko bei Cyber-Attacken auf Unternehmen. Zwei Drittel der Telekom-Kunden hingegen halten den Ausfall der Infrastruktur als besonderes Risiko. Besonders Facebook-Nutzer (31 Prozent) wünschen sich künftig mehr Informationen zu Angriffen auf soziale Netzwerke. Und ganze 36 Prozent der Direktbankkunden würden infolge von Cyber-Attacken eher das Unternehmen wechseln als Filialbankkunden.

Fazit

Die Angst der Deutschen bezieht sich hautsächlich auf Unternehmen, die Gefahr laufen, Ziel eines Cyber-Angriffs zu werden. Fast ein Drittel von ihnen zeigt sich durch Angriffe auf Unternehmen stark verunsichert. Ein Viertel gibt dafür der Berichterstattung in den Medien die Schuld.

Unternehmen müssen deshalb selbst aktiv werden und den Informationsbedarf ihrer (potentiellen) Kunden stillen. Wer allerdings für seine Branche nicht die nötigen Feinheiten, Ängste und Bedürfnisse ermittelt, riskiert beim Thema Cyber-Sicherheit wenig kompetent und nicht vertrauenswürdig zu agieren. Nur zu beruhigen, wenn Kunden einen klaren Handlungsdruck erwarten – gemäß dem Motto: „Das müssen Sie jetzt tun“ – wäre dann genauso falsch, als wenn in der Kommunikation die falschen Schwerpunkte gesetzt und nicht benötigte Informationen verteilt werden.

Kostenloser Guide: So schützen Sie sich vor Krypto-Trojanern

LesetippUnser kostenloser Ratgeber informiert Sie, wie Sie sich effizient vor WannaCry, Petya & Co. schützen und welche Maßnahmen Sie konkret bei einem Befall erfreifen können.

Der Beitrag Yougov-Studie: Die Angst der Deutschen vor Cyber-Attacken erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Weltweit angelegte Ponemon-Studie: Die Kosten der Datenpannen 2017

13. Oktober 2017 Posted by Robert Becker

Banner Ponemon Studie

Auf dem richtigen Weg: In Deutschland sinken die Kosten der Datenpannen 2017

Jeder verlorene Datensatz kostet ca. 150 Euro

Erfreuliche Nachrichten kamen unlängst von IBM: Die Kosten der Datenpannen sind im Jahr 2017 global gesehen um zehn Prozent auf 3,62 Millionen Dollar zurückgegangen. In Deutschland sanken die Kosten dabei auf 3,42 Millionen Euro. Das entspricht einem Rückgang von 5,4 Prozent im Vergleich zum Vorjahr. Pro verlorenem Datensatz mussten durchschnittlich 149 Euro investiert werden, was einem Kostenrückgang um 3,3 Prozent entspricht.

Das geht aus der von IBM gesponserten „Cost of Data Breach“-Studie 2017 des Ponemon Instituts hervor. Die jährliche Studie untersucht die direkten und indirekten Kosten, die Unternehmen bei der Reaktion auf Datenpannen entstehen und gibt ein umfassendes Bild zu Kosten von Datenpannen ab. Im heutigen Artikel fassen wir die wichtigsten Ergebnisse zusammen. An der Studie haben 419 Unternehmen aus elf Ländern und zwei Regionen, darunter auch 35 deutsche, teilgenommen.

Ein europäisches Phänomen

Kosten der Datenpannen Nicht nur in Deutschland, in ganz Europa sanken in diesem Jahr die Gesamtkosten bei erfolgreichen Cyberattacken um 26 Prozent. Deutlich sinkende Kosten im Fall einer Datenpanne konnten vor allem auch Frankreich, Italien und Großbritannien verzeichnen.

EU-DSGVO zeigt bereits Wirkung

Begründet liegt der Rückgang in verbesserten technischen und organisatorischen Maßnahmen der Unternehmen: Die durchgängige Datenverschlüsselung, Mitarbeiterschulungen und der Einsatz von sogenannten Incident Response-Teams, also Notfallteams, deren Aufgabe in der schnellen und effizienten Analyse und Reaktion bei Sicherheitsvorfällen liegt, haben die Kosten bei Datenlecks reduziert.

Kosten der Datenpannen IBM Security sieht in dem europaweiten Kostenrückgang vor allem einen Zusammenhang zwischen der Reaktion auf Regulierungsvorschriften in Europa und den Gesamtkosten von Datenpannen. Europäische Unternehmen unterliegen strengen Meldevorschriften, was Datenpannen betrifft. Die bisher in Europa geltenden Datenschutzgesetze gehen zurück auf die EU-Datenschutzrichtlinie aus dem Jahr 1995 (Richtlinie 95/46/EG). Diese wird mit Anwendung der Europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 abgelöst. Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die gleichen strengen Vorschriften halten. Um den neuen Anforderungen gerecht zu werden, haben viele Unternehmen bereits mit der Umsetzung technischer und organisatorischen Maßnahmen entlang dem gesetzlich vorgeschrieben „Stand der Technik“ begonnen. „Es ist erkennbar, dass die neue Datenschutzgrundverordnung europäische Unternehmen zum Handeln anhält“, sagt Christian Nern, Head of Security Software DACH bei IBM Deutschland.

Kosten der Datenpannen in den USA doppelt so hoch wie in Deutschland

Kosten der Datenpannen Schaut man sich allerdings Länder außerhalb Europas an, zeigt sich ein gänzlich anderes Bild. Zu den Verlierern gehören laut Studie ganz klar die USA, der Mittlere Osten, Japan, Südafrika und Indien. Hier mussten Unternehmen und Organisationen bei Datenlecks steigende Kosten verzeichnen. Am teuersten sind Datenpannen in den USA: Jeder verlorene Datensatz kostete amerikanische Unternehmen 225 Dollar, die Gesamtkosten lagen mit durchschnittlich 7,35 Millionen Dollar mehr als doppelt so hoch wie in Deutschland. Das entspricht einem Anstieg der Kosten im Vergleich zum Vorjahr um fünf Prozent.

Während in Europa bald ein einheitlicher Schutz von EU-Bürgern bei der Verarbeitung personenbezogener Daten, unabhängig von Staatsangehörigkeit oder Aufenthaltsort, verpflichtend gilt, haben in den USA beispielsweise 48 von 50 Staaten eigene Datenpannengesetze verabschiedet. Folglich müssen US-amerikanische Unternehmen im Gegensatz zu europäischen eine Vielzahl von Vorschriften beachten und sich darauf vorbereiten. Dies kann laut Studie große Kosten verursachen und wertvolle Ressourcen verschlingen.

Gesundheitssektor hat die höchsten Kosten der Datenpannen

Kosten der Datenpannen Schon zum siebten Mal in Folge führt der Gesundheitssektor die Rangliste der Branchen mit den teuersten Datenpannen an. Der Diebstahl von Gesundheitsdaten kostet laut Studie 380 Dollar pro Datensatz. Das sind 2,5-mal so viel wie im globalen Branchendurchschnitt von 141 Dollar pro Datensatz! Auf den Rängen zwei und drei folgen der Finanzsektor mit 245 Dollar und der Dienstleistungssektor mit 223 Dollar. Die niedrigsten Kosten je verlorenen oder gestohlenen Datensatz weisen übrigens die Sektoren Forschung mit 101 Dollar und der öffentliche Sektor mit 71 Dollar aus.

Die meisten Datenverletzungen gehen auf das Konto von Hackern und kriminellen Insidern

Kosten der Datenpannen Fast die Hälfte aller Studienteilnehmer (47 Prozent) gaben als Hauptursache für Datenpannen bösartige oder kriminelle Angriffe an. Die durchschnittlichen Kosten je entwendetem Datensatz beliefen sich hierbei auf etwa 156 Dollar. Im Gegensatz dazu haben Systemfehler und menschliches Fehlverhalten beziehungsweise Fahrlässigkeit nur zu Kosten von 128 Dollar und 126 Dollar je entwendetem oder verlorenem Datensatz geführt.

Auf das Konto von Hackern und kriminellen Insidern gehen Datenpannen insbesondere in den USA und in den Ländern des Mittleren Ostens. Während dort 52 und 59 Prozent der Datenverluste auf böswillige Angriffe zurückzuführen sind, sind in Italien und Südafrika nur jeweils 40 Prozent derartiger Attacken Grund für Datenpannen. Allerdings gehen in italienischen Unternehmen – neben asiatischen – vergleichsweise die meisten Datenverluste auf menschliches Fehlverhalten zurück (36 Prozent). Deutsche und indische Organisationen waren dagegen mit 34 Prozent am ehesten von Datenpannen durch Systemfehler oder Fehlern in digitalen Geschäftsprozessen betroffen.

Zeit ist Geld

Kosten der Datenpannen Je schneller Cyberattacken eingedämmt werden können, desto besser. Denn die Geschwindigkeit hat direkten Einfluss auf die Kosten der Datenpannen. Laut Studie waren die Kosten bei Unternehmen, die Datenpannen innerhalb eines Monats beheben konnten, um eine Million US-Dollar niedriger als bei Unternehmen, deren Datenpanne länger als einen Monat andauerte.

Sobald im Mai 2018 die EU-DSGVO in Kraft tritt, wird die Reaktionsgeschwindigkeit noch einmal zulegen: Dann müssen Unternehmen, die in Europa ihre Geschäfte machen, Datenpannen binnen 72 Stunden melden, wollen sie keine Strafen zahlen. Und die Bußgelder sind hoch: Bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro – je nachdem, was höher ist – werden bei Zuwiderhandlung fällig. Der Status Quo sieht bei den meisten Unternehmen allerdings noch nicht gut aus: Im Schnitt benötigen Unternehmen noch mehr als sechs Monate, um Datenpannen zu entdecken. Um diese zu beheben, brauchen sie dann noch einmal weitere 66 Tage – hier heißt es also unbedingt Fahrt aufnehmen.

Reduzierung der Kosten durch technische und organisatorische Maßnahmen

Kosten der Datenpannen Die Schnelligkeit, mit der eine Cyberattacke identifiziert und eingedämmt werden kann, hängt dabei zu großen Teilen von der Nutzung eines Incident-Response-Teams (IR-Teams) und einem Incident-Response-Notfallplan ab. Diese IT-Fachleute können Unternehmen bei komplizierten Cyberattacken unterstützen und so weiteren Verlusten vorbeugen. Und dass sie ihr Geld wert sind, zeigen die Zahlen: Wie aus der Studie hervorgeht, kann der Einsatz von IR-Teams die Kosten von Datenpannen deutlich reduzieren: Bis zu 19 Dollar pro entwendetem Datensatz lassen sich so sparen. Aber auch eine durchgängige Verschlüsselung aller Daten führte laut Studie zu einer Reduktion um 16 Dollar pro Datensatz und die Schulung von Mitarbeitern brachte eine Ersparnis von 12,50 Euro pro Datensatz ein.

Die DSGVO kommt. Sind Sie vorbereitet?

LesetippDer Countdown läuft – die neue DSGVO kommt. Ab Mai 2018 gibt es keine Ausreden mehr, wenn die neuen EU-Datenschutzanforderungen in den Unternehmen nicht umgesetzt wurden. Aufsichtbehörden prüfen dies rigoros und bei Nichteinhaltung drohen empfindliche Geldstrafen. Wie Sie sich konsequent auf die neue Gesetzgebung vorbereiten, erfahren Sie in diesem Artikel.

Der Beitrag Weltweit angelegte Ponemon-Studie: Die Kosten der Datenpannen 2017 erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Kein Ende in Sicht: Internetkriminalität wächst

30. August 2017 Posted by Robert Becker

BKA veröffentlicht Bundeslagebild Cybercrime 2016

Bundeslagebild Cybercrime Internetkriminalität ist ein florierendes Geschäft und es wächst rasant. Wie das Bundeskriminalamt (BKA) in seinem kürzlich veröffentlichten Bundeslagebild Cybercrime bekannt gibt, ist die Zahl der Straftaten im Jahr 2016 gegenüber dem Vorjahr um 80,5 Prozent auf fast 83.000 Straftaten gestiegen. Der dabei entstandene Schaden beläuft sich auf über 51 Millionen Euro.

Der größte Teil der Straftaten im Bereich der Computerkriminalität, nämlich 71 Prozent, liegt im Bereich des Computerbetrugs, erst mit weitem Abstand folgt das Ausspähen oder Abfangen von Daten (13 Prozent). Der Diebstahl digitaler Identitäten, Kreditkarten-, E-Commerce- oder Kontodaten (z.B. Phishing) sind typische Delikte in diesem Bereich. 10 Prozent aller Delikte im Cybercrime sind Täuschungen durch Fälschung von Daten, um diese im Rechtsverkehr zu nutzen. Hierunter fällt zum Beispiel die Zusendung von E-Mails unter Vorspiegelung realer Identitäten oder Firmen – oftmals mit als Rechnung getarnter Schadsoftware im Anhang. Das Delikt der Computersabotage, zu dem Denial of Service-Angriffe (DoS-/ DdoS-Angriffe) sowie die Verbreitung und Verwendung von Schadsoftware unterschiedlicher Art gehören, schlägt mit 5 Prozent zu Buche. Mit 1 Prozent gehen die Delikte von missbräuchlicher Nutzung von Telekommunikationsdiensten in die Statistiken ein.

Professionelle Täter agieren über Landesgrenzen hinweg

Im heutigen Beitrag werfen wir einen Blick in das Bundeslagebild Cybercrime und fassen die wichtigsten Ergebnisse und Erkenntnisse zusammen. Sie werden sehen: Die Täter kennen keine nationalen Grenzen, sind sehr gut organisiert und arbeiten hoch professionell. Dabei entwickeln sie ständig neue Tatgelegenheiten und Modi Operandi. Leichter als jemals zuvor können sie Cyberangriffe durchführen – denn wo eigenes Know-how fehlt, kaufen sie Dienstleistungen oder illegale Software einfach am gut organisierten digitalen Schwarzmarkt hinzu.

1. Der digitale Schwarzmarkt

Die Underground Economy boomt

Bundeslagebild Cybercrime Der digitale Schwarzmarkt boomt. Im Clearnet, im Deepweb sowie auch im Darknet finden sich inzwischen unzählige illegale Foren oder Marktplätze, die zum Teil mehr als 100.000 registrierte Mitglieder zählen. Hier kommunizieren Groß- und Kleinkriminelle, tauschen ihr Know-how aus und handeln diverse Dienstleistungen und Software, um ihre kriminellen Straftaten zu begehen. Tatsächlich gibt es hier fast alles: Von illegalen Drogen und Waffen über Falschgeld, gefälschte Ausweise und gestohlene Kreditkartendaten bis hin zu gefälschten Markenartikeln.

Geschäftsmodell Cybercrime-as-a-Service – sogar mit „Kundendienst“

Die digitale Underground Economy hält daneben ein breites Spektrum von Dienstleistungen zur Durchführung jeder Art von Cybercrime bereit. Das Angebot umfasst unter anderem Ransomware, die Bereitstellung von Botnetzen die Durchführung von DDoS-Attacken, die Herstellung und Verbreitung von Malware, der Verkauf sensibler Daten wie zum Beispiel Zugangs- oder Zahlungsdaten, die Verteilung von Schadsoftware, Anonymisierungs- und Hostingdienste zum Verschleiern der eigenen Identität sowie Test-Portale, in denen Cyberkriminelle erworbene oder erstellte Schadsoftware auf Detektierbarkeit durch aktuelle Cyber-Sicherheitsprodukte testen können. Bezahlt wird in Kryptowährung – abgewickelt werden die Transaktionen über Treuhand-Systeme.

Wenn Sie ein Problem mit Ihrer Software haben, rufen Sie den Kundendienst Ihres Herstellers an oder schreiben ihm eine Mail. So ähnlich läuft es auch bei illegalen Angeboten: Mittlerweile, so das BKA, haben die Anbieter illegaler Software und Dienstleistungen sogar schon einen Support eingerichtet, der beispielsweise Updates für Schadsoftware bereitstellt, Beratungsdienste und Anti-Erkennungsmechanismen anbietet sowie Hilfeleistung bei technischen Problemen gibt. Allein dieser Abriss zeigt, dass Kriminelle nicht einmal mehr technische Kenntnisse benötigen, um sich Zugang zu hochentwickelten, illegalen Cyber-Werkzeugen zu verschaffen, um ihre Cyberangriffe durchzuführen.

2. Die lukrativen Geschäfte

Begehrt: Digitale Identitäten

Bundeslagebild Cybercrime Ganz gleich, ob sie selbst für kriminelle Zwecke zu missbrauchen oder aber um sie im Darknet und Co. zu verkaufen: Digitale Identitäten sind nach wie vor ein beliebtes Diebesgut. Um an die personenbezogenen Daten zu gelangen, setzen die Täter auf unterschiedliche Methoden. So bedienen sie sich beispielsweise der Installation von Schadprogrammen über Drive-By-Exploits, des Phishings, sie brechen auf Server ein und kopieren Anmeldeinformationen oder setzen Keylogger oder Spyware ein. Ziel ist es, an alle Arten von Nutzer-Accounts inklusive Zugangsdaten – zum Beispiel von E-Mail- und Messenger-Diensten, von Banking-Accounts oder auch für den Online-Zugriff auf firmeninterne IT-Systeme – zu gelangen.

Rückläufig: Phishing im Onlinebanking

Bundeslagebild Cybercrime Die häufigste Variante des digitalen Identitätsdiebstahls ist auch 2016 das Phishing im Zusammenhang mit Onlinebanking: 2.175 Vorfälle wurden im letzten Jahr gemeldet. Damit erreicht die Zahl der Fälle den tiefsten Stand seit fünf Jahren! Allein im Vergleich zum Jahr 2015 konnte laut Bundeslagebild Cybercrime des BKA ein Rückgang um ganze 51 Prozent verzeichnet werden. Dennoch ist das Geschäft nach wie vor äußerst lukrativ und damit ein attraktives Betätigungsfeld für die Täter. So betrug die Gesamtschadenssumme stolze 8,7 Millionen Euro für das Jahr 2016 – das sind 4000 Euro je Vorfall. Im Vergleich zu den vergangenen fünf Jahren liegt die Gesamtsumme aber erfreulicherweise deutlich unter dem Durchschnitt von 16.9 Millionen Euro.

Besonders beliebt, um an die notwendigen Kundeninformationen zu gelangen, ist übrigens das Social Engineering, allem voran der Versand von E-Mails in vertrauenserweckender Aufmachung: In E-Mails mit bekanntem Firmen- oder Behördenlogo, fordern die Täter ihre Opfer aus bestimmten Gründen auf, vertrauliche Informationen preiszugeben.

Ransomware liegt im „Trend“: Computersabotage trifft Erpressung

Noch lukrativer als Phishing im Onlinebanking ist offensichtlich ein ganz anderes Geschäftsmodell: Ransomware. 2016 registrierten die deutschen Polizeidienststellen 972 Fälle von Ransomware. Das ist ein Anstieg im Vergleich zum Jahr 2015 von über 94 Prozent! Tatsächlich beobachtet das BSI bereits seit 2015 eine große Spam-Welle, über die massenhaft dieser neuartigen Schadsoftware verbreitet wird: Cyberkriminelle verschicken Ransomware gut getarnt in vermeintlich seriösen E-Mails, um Daten oder ganze Netzwerkkomponenten ihrer Opfer zu verschlüsseln, um für deren Freischaltung ein Lösegeld zu erpressen.

Binnen fünf Monaten – von Oktober 2015 bis Februar 2016 – verzehnfachte sich die Entdeckung von Ransomware durch Virenschutzprogramme. Eine im April 2016 durchgeführte Umfrage des BSI bei deutschen Unternehmen offenbarte, dass 32 Prozent der Befragten in den vorhergegangenen sechs Monaten von Ransomware betroffen waren. Europol spricht in seinem Cybercrime-Lagebericht 2016 sogar davon, dass Ransomware alle anderen Arten von Malware eingeholt habe.

Bundeslagebild Cybercrime

Das Geschäft mit Ransomware boomt, inzwischen hat sich sogar ein richtiger Wettbewerb etabliert: Erfolgreiche Varianten der Schadsoftware werden kopiert und in Foren der Underground Economy verkauft. Mit Hilfe von im Darknet verfügbaren „Malware-Toolkits“ können sich die Täter Ransomware ohne großen Aufwand aber auch selbst zusammenstellen. Damit ist nicht einmal mehr besonderes IT-Fachwissen mehr nötig, um in den digitalen Erpressungshandel einzusteigen. Bei erfolgreicher Lösegeldzahlung erhalten die Anbieter der Toolkit-Dienste eine Umsatzbeteiligung.

Botnetze weiterhin beliebter Angriffsvektor

Eine weitere ganz bedeutende Rolle bei den Angriffsvektoren spielen Botnetze und ihre Kapazitäten. Auch sie waren 2016 lukrative Handelsware in der Underground Economy: Betreiber der Botnetze vermieten Bots, mit denen Dritte, beispielsweise mittels DDoS-Attacken, gezielte Angriffe auf Unternehmensserver durchführen, massenhaft Spam-Mails versenden oder gezielte Datendiebstähle durchführen. Wie viele Rechner in Deutschland oder weltweit zu Botnetzen zusammengeschlossen sind, vermag das BKA zwar nicht zu sagen – die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und EUROPOL gehen jedoch davon aus, dass Deutschland an der Spitze der Staaten, die Command & Control-Server hosten, steht.

Botnetze: Dunkler Angriff durch Zombie-Rechner

LesetippDie Zahl der von Botnetzen infizierten Rechner steigt unaufhörlich. Vom Nutzer unbemerkt, werden sie von Kriminellen für Verbrechen genutzt, wie dem Verschicken von Spam oder Denial-of-Service-Angriffen (DDoS). Lesen Sie in diesem Blog-Beitrag, wie Computer zu ferngesteuerten Robotern werden.

Im Bundeslagebild Cybercrime 2016 konnten wir lesen: Die erfolgreiche Beschlagnahme von 39 Servern und hunderttausenden Domains im Dezember 2016, lässt jedoch ein ungefähres Ausmaß erahnen. Vier Jahre Ermittlungsarbeit von Polizei und anderen Behörden aus 41 Staaten waren dem vorangegangenen, bis das bislang weltweit größte Botnetz aufgedeckt und analysiert werden konnte. Allein in Deutschland wurde dadurch Cyberkriminellen die Kontrolle über mehr als 50.000 infizierte Computer entzogen. Schon dieser Fall zeigt, dass die quantitative wie qualitative Ausgestaltung von kriminellen Infrastrukturen ein immer größeres Ausmaß erreicht!

Häufung von DDoS-Angriffen auf IoT zu erwarten

Im engen Zusammenhang mit Botnetzen stehen DDoS-Angriffe. Sie gehören laut BKA zu den am häufigsten beobachteten Sicherheitsvorfällen im Cyber-Raum und werden oft mithilfe von Botnetzen ausgeführt. Ziel dieser Angriffe ist es, die Verfügbarkeit von Webseiten oder einzelner Dienste zu sabotieren. Denn ist beispielsweise ein Online-Shop über Stunden oder gar Tage nicht erreichbar, zieht dies erhebliche wirtschaftliche Schäden nach sich. Dementsprechend erstrecken sich die Motive der Angreifer von rein monetären Interessen (also Erpressung) über das Erlangen von Wettbewerbsvorteilen bis hin zu ideologischen oder Rache-Motiven.

Erinnern Sie sich an den November 2016, als mitten im US-amerikanischen Wahlkampf hochfrequentierte Webdienste wie Twitter, Spotify und Amazon nicht erreichbar waren? Oder an den 27. November desselben Jahres, als hunderttausende Telekom-Kunden vom Netz abgeschnitten waren, weil deren Router gehackt worden waren? Verantwortlich dafür waren DDoS-Angriffe, die mittels Mirai-Botnetzen begangen wurden. „Mirai“ umfasste etwa 500.000 kompromittierte „Internet of Things“ (IoT)-Geräte weltweit, bis zu drei Millionen Geräte waren in das Botnetz eingebunden.

„Mirai“ nutzte aus, dass Alltagsgegenstände wie Router, Überwachungssysteme, Fernseher oder Kühlschränke mit dem Internet verbunden sind. Die Schadsoftware scannte über das Internet derartige Geräte auf Sicherheitslücken und infizierte sie dann mittels eines Schadcodes. Angesichts der Verbreitung des „Internet of Things“ und der damit einhergehenden immer umfassenderen Vernetzung von Geräten, geht das BKA davon aus, dass sich derartige DDoS-Attacken häufen werden.

3. Die Täter im Visier: Junge Männer, die schnell lernen

Bundeslagebild Cybercrime Abschließend werfen wir noch einen Blick auf das Täterprofil: Das BKA gibt an, dass 2016 knapp 21.000 Tatverdächtige registriert worden seien – davon zu gut zwei Drittel (70 Prozent) Männer. Mehr als die Hälfte (54,2 Prozent) der registrierten Delikte wurde dabei von über 30-Jährigen begangen, wobei die Gruppe der 30 bis 39-jährigen mit 25 Prozent am stärksten vertreten ist. Die Täter kommen dabei überwiegend aus Deutschland oder haben zumindest die deutsche Staatsbürgerschaft. Nur knapp ein Viertel der Tatverdächtigen waren Nichtdeutsche, wobei „keine Nationalität“ überdurchschnittlich stark in Erscheinung trat.

Ganz gleich, ob sie als Einzeltäter oder in international organisierten Gruppen arbeiten: Die Cyberkriminellen begehen die typischen Cybercrime-Delikte – angefangen von Computerbetrug über Angriffe auf das Onlinebanking bis hin zur Verbreitung von Ransomware mit dem Ziel der digitalen Erpressung. Der überwiegende Teil der Angreifer handelte aus finanzieller Motivation.

An Bedeutung gewonnen haben in den vergangenen Jahren organisierte Täterstrukturen. 2016 waren zwar „nur“ 4 Prozent aller Verfahren im Bereich des Cybercrimes angesiedelt, jedoch geht das BKA davon aus, dass die Entwicklung sich fortsetzt und das organisierte Verbrechen im Cybercrime zunimmt. Und noch etwas fällt auf: Die Täter lernen schnell und sind unglaublich flexibel, denn sie passen ihr Verhalten den technischen Entwicklungen an. Einzeltäter oder Tätergruppen, die kriminelle Dienste nicht selbst erbringen können, kaufen sich diese inzwischen einfach hinzu.

Der Beitrag Kein Ende in Sicht: Internetkriminalität wächst erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Betrugsmasche CEO Fraud weiter auf dem Vormarsch

23. August 2017 Posted by Andreas Richter

Wenn der Chef gefälscht ist

Mit fingierten E-Mails und Zahlungsanweisungen werden illegale Geldtransfers eingeleitet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Unternehmen aus aktuellem Anlass vor einem akuten Risiko durch CEO Fraud. Der Behörde ist es gelungen, in den Besitz einer Liste mit rund 5.000 potenziellen Zielpersonen zu gelangen. Das BSI informiert die Betroffenen über die akute Gefährdung. Damit steht eine Betrugsmasche wieder im Rampenlicht, die so erschreckend einfach und doch schwer zu durchschauen ist. Bereits vor einem Jahr berichteten wir über das Phänomen des digitalen Cheftricks. Mit gefälschten Dienstanweisungen und unter falscher Identität versuchen Kriminelle, Entscheidungsträger von Unternehmen so zu manipulieren, dass diese hohen Geldbeträge an fremde Konten überweisen lassen.

Ein lukratives Geschäft

Betrugsmasche CEO Fraud Tatsächlich ist CEO-Fraud ein einträgliches Geschäft für das organisierte Verbrechen: Laut Bundeskriminalamt (BKA) sind durch CEO Fraud allein in den letzten Monaten Schäden in Millionenhöhe entstanden. Von einem weltweiten Milliardengeschäft im Zusammenhang mit gefälschten CEO-Mails sprach im vergangenen Jahr auch schon das amerikanische FBI: Demnach versuchten Kriminelle mit dieser Masche über 3,1 Milliarden Dollar zu ergaunern – auf die Betrügerkonten überwiesen wurden davon etwa eine Milliarde Dollar.

So funktioniert der Betrug

Die Betrüger geben sich als vermeintlicher Vorstand, Geschäftsführer (CEO) oder sonstige Führungskraft des eigenen Unternehmens aus. In perfekt gefälschten E-Mails oder fingierten Anrufen weisen sie Mitarbeiter, die berechtigt sind Finanztransaktionen für das Unternehmen durchzuführen, an, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Zeitdruck und psychischer Druck auf den Mitarbeiter – ganz nach dem Motto „Sie wollen doch nicht verantworten, dass das vertrauliche Projekt scheitert“ – tragen ihr Übriges dazu bei, dass die Masche zum Erfolg führt. Etwaige Zweifel an der Legitimität oder Misstrauen gegenüber ausländischen Bankverbindungen werden im Keim erstickt. Denn gern wird eine Unternehmensübernahme oder eine geänderte Kontoverbindung vorgetäuscht, um eine Überweisung nach China, Hongkong oder in ein osteuropäisches Land zu veranlassen.

Auch Sie können schnell zum Opfer werden

Stellen Sie sich bitte kurz die folgende Arbeitssituation vor: Sie sind Buchhalter bei einem Zulieferer der internationalen Automobilindustrie mit Sitz in Süddeutschland und etwas mehr als 600 Angestellten an drei Standorten. Dienstagmorgen erreicht Sie diese E-Mail von Ihrem Chef, von dem Sie ja wissen, dass er sich gerade geschäftlich in der Schweiz aufhält: „Die gestrigen Gespräche mit unserem neuen Partner verliefen sehr vielversprechend. Um die Verhandlungen zu einem raschen Abschluss zu bringen, bitte ich Sie, die weitere Bearbeitung gemeinsam mit der von uns beauftragten Kanzlei xy zu übernehmen. Über die Details informiere ich Sie in Kürze. Diese Angelegenheit muss streng vertraulich behandelt und über den bevorstehenden Geschäftsabschluss darf noch niemand informiert werden. Da ich in vielen Meetings und nur sehr schwer erreichbar bin, kontaktieren Sie mich bitte ausschließlich per E-Mail. Ich vertraue auf Ihre Diskretion. Hat Rechtsanwalt Müller Sie bereits kontaktiert? MfG, Eberhard Finke, Geschäftsführer.“ Einige Minuten nach Eingang dieser E-Mail klingelt das Telefon, besagter Rechtsanwalt Müller stellt sich vor und erläutert Ihnen die Zusammenhänge…

Betrugsmasche CEO Fraud Ganz ehrlich: Würden Sie Verdacht schöpfen, dass die E-Mail nicht von Ihrem Chef ist? Zumal Ihnen obendrein die Anwaltskanzlei geläufig ist? Zugegeben, die Geschichte ist ausgedacht, bei vielen gestandenen Mittelständlern fängt aber genauso die Betrugsmasche CEO Fraud an.

Diese Informationen sammeln die Betrüger

Kriminelle Vorarbeit ist schon notwendig, um beim CEO-Fraud erfolgreich zu sein. Denn damit die Betrugsmasche funktioniert, müssen die Täter Informationen über ihre Opfer sammeln. Wie schaffen sie es aber, an so viele Details über ihre Opfer zu gelangen? In der Regel veröffentlichen diese die Unternehmen sogar selbst: in Wirtschaftsberichten, im Handelsregister, auf ihrer Homepage oder in Werbebroschüren.

Die Täter informieren sich auch genauestens darüber, mit welchen Unternehmen in welchen Ländern Geschäftsbeziehungen bestehen und welche Investitionen geplant sind. Besonderes Augenmerk legen sie aber auch auf die E-Mail-Erreichbarkeiten, da sie Rückschlüsse auf die Tagesabläufe der Zielpersonen geben, beziehungsweise ob die auf der Website angegebenen (leitenden) Mitarbeiter tatsächlich noch im Unternehmen beschäftigt sind. Von Interesse sind in diesem Zusammenhang vor allem die E-Mail-Adresse und Telefonnummer des CEO sowie der Person(en), die im Unternehmen für Überweisungen zuständig ist.

Eine große Rolle spielen auch soziale Netzwerke, in denen Angestellte wie Geschäftsführer munter Auskunft geben über ihre Tätigkeit beziehungsweise Funktion im Unternehmen oder aber persönliche Details wie ihre Reisepläne preisgeben. In jedem Falle stellen Facebook, Xing und Co. eine perfekte Informationsquelle für Kriminelle dar. Hier erhalten sie genügend Insiderwissen, um ihre perfiden Betrugspläne in die Tat umzusetzen.

Den Faktor Mensch nicht unterschätzen!

Aber auch der menschliche Faktor spielt dabei eine nicht zu unterschätzende Rolle. Häufig haben Mitarbeiter Angst vor der höheren Hierarchieebene – und diese Angst nutzen die Betrüger für ihre Attacken aus. Scheut sich ein Mitarbeiter den vermeintlichen Chef-Absender anzusprechen, ob die Dienstanweisung auch tatsächlich legitim sei, haben die Betrüger schon fast gewonnen. Gerade im Mittelstand – häufig sind die Unternehmen hier über Jahre gewachsen, werden nicht selten von Eltern an ihre Kinder weitergegeben – verpassen es die Unternehmer, ihre Strukturen an neue Gegebenheiten anzupassen: Die Überweisung erfolgt auf Zuruf, die Kontaktdaten der Mitarbeiter stehen auf der Homepage und ein Vier-Augen-Prinzip gibt es nicht.

Vertrauen ist gut – Kontrolle ist besser

Betrugsmasche CEO Fraud Um sich gegen CEO Fraud zu wappnen, drehen Sie den Spieß um: Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich auffindbar sind. Dazu gehört auch zu wissen, was Sie oder Ihre Mitarbeiter wann und wo im Zusammenhang mit Ihrem Unternehmen publizieren – insbesondere auch geplante Investitionen und Reisepläne der Chefetage. Kontrollieren Sie Ihre Websites sowie Social-Media Accounts und entfernen Sie Durchwahlen sowie personalisierte E-Mail-Adressen. Schaffen Sie klare Abwesenheitsregeln, wenn die Unternehmensleitung oder leitende Angestellte auf Reisen sind. Führen Sie interne Kontrollmechanismen wie ein Vier-Augen-Prinzip oder Höchstgrenzen für Geldtransfers ein. Mit Schulungen sensibilisieren Sie Ihre Mitarbeiter für diese Betrugsmasche und zeigen Sie ganz klare Handlungsoptionen auf.

Es muss Ihnen und Ihren Mitarbeitern in Fleisch und Blut übergehen, grundsätzlich E-Mail-Adressen auf ihre Schreibweise zu überprüfen und Absender nur über Ihnen bekannten Adressdaten zu kontaktieren. Das kann auch ein Anruf beim Vorgesetzten beziehungsweise Absender sein, um sich eine ungewöhnliche Zahlungsanweisung noch einmal bestätigen zu lassen. Größte Skepsis sollte geboten sein, wenn absolute Verschwiegenheit gefordert wird und/ oder dabei die weitere Kommunikation über andere Kommunikationskanäle wie private E-Mail-Adressen oder Chats verlagert wird. Meist jedoch sind Rückfragen gar nicht erwünscht. Wenn doch, dann häufig unter nicht bekannten Telefonnummern mit dem Hinweis nur diese zu nutzen. Ein deutliches Signal ist auch der Aufbau ganz erheblichen Drucks, die geforderte Geldsumme schnell auf ein bis dato unbekanntes Konto anzuweisen – meist mit der Begründung, die Übernahme oder der Deal könnte sonst platzen.

E-Mail-Verschlüsselung kompakt und verständlich

LesetippLast but not least – wir können es nicht häufig genug betonen: Bitte wickeln Sie Ihre E-Mail-Kommunikation verschlüsselt ab. Ganz besonders wenn es um vertrauliche Unterlagen und Vorgänge geht.

Der Beitrag Betrugsmasche CEO Fraud weiter auf dem Vormarsch erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Finanzbranche als Angriffsziel von Cyberattacken

31. Juli 2017 Posted by Heiko Brenn

Machen Banken es Hackern einfach?

Finanzsektor wird häufiger als jede andere Branche von Cyberattacken bedroht

Die Finanzbranche als Angriffsziel zieht Cyberkriminelle seit Jahren magnetisch an. Denn mit der Digitalisierung des Bankengeschäfts landen riesige Mengen an Daten auf Bankenservern. Mit Phishing und Social-Engineering-Attacken gegen Bank-Accounts auf der einen sowie zielgerichteten Attacken und Malware-Vorfällen gegen die IT-Infrastruktur der Institute auf der anderen Seite, versuchen Angreifer dieser habhaft zu werden. Neben personenbezogenen Daten wie Kreditkarteninformationen sind auch unstrukturierte Daten beliebt, mit denen sich im Insiderhandel ordentlich Geld machen lässt. Eine neue IBM-Studie deckt nun auf, dass die Finanzbranche 2016 tatsächlich der Hacker liebstes Ziel war.

Rückblick: August 2016 – Goznym greift an

Finanzbranche als Angriffsziel Im August ist es genau ein Jahr her, als bekannt wurde, dass 13 deutsche Banken und ihre Kunden, darunter auch Sparkassen und Genossenschaftsbanken, von Online-Banking-Trojaner Goznym angegriffen wurden. Hacker nutzen 2016 den Trojaner unter anderem, um Kunden von Onlinebanking auf Phishing Websites umzuleiten. Die gefälschten Websites sahen den Internetauftritten der jeweiligen Institute dabei täuschend ähnlich. Aufgespürt wurde der Trojaner damals von den Sicherheitsexperten der IBM X-Force. Vor Kurzem haben die Sicherheitsforscher der IBM ihren aktuellen Financial Services Report 2016 veröffentlicht, in dem sie die IT-Sicherheit im Finanzbereich untersucht haben.

200 Millionen Angriffe pro Jahr

Finanzbranche als Angriffsziel Die Zahlen sind erschreckend: 200 Millionen Angriffe auf Finanzdienstleister in 2016 zählten die Sicherheitsforscher – ein Anstieg um 937 Prozent zum Jahr 2015. Damit wurde der Finanzsektor im vergangenen Jahr häufiger als jede andere Branche von Cyberkriminellen angegriffen – um 65 Prozent lag hier die Angriffsrate höher! Angesichts solcher Ergebnisse beruhigt es etwas, wenn die Daten des IBM X-Force Threat Intelligence Index auch zeigen, dass die Finanzbranche erst an dritter Stelle steht, wenn es auch um den Erfolg solcher Angriffe geht. Die IBM geht davon aus, dass dies mit den höheren Investitionen der Branche in einen besseren IT-Sicherheitsschutz zu erklären ist. Am schlimmsten sind die Informations- und Kommunikationsbranche sowie der öffentliche Sektor von Sicherheitsvorfällen und Datenpannen betroffen.

Aktuelle Zahlen der Kaspersky-Studie zu Cybergefahren und -sicherheit in der Finanzbranche belegen dies: Die IT-Sicherheitsaufwendungen sind im Finanzbereich höher als in anderen Branchen. Demnach geben Finanzinstitute dreimal so viel für Cybersicherheit aus wie ähnlich große Organisationen aus dem Nicht-Finanzbereich.

Begehrte Kundendaten

Attacken gegen die bankeneigene Infrastruktur sowie gegen die Kundenbasis sind für Cyberkriminelle lukrativ, denn die Unternehmens- und Kundendaten versprechen satte Gewinne. So musste die Finanzbranche mit einem Anstieg der Cyberattacken um 29 Prozent im Vergleich zum Jahr 2015 fertig werden. Dabei haben die Angreifer 2016 mehr Daten gestohlen als die im Vergleichszeitraum von IBM X-Force ermittelte gleichbleibend hohe Anzahl öffentlich gemeldeter Vorfälle.

Dimension Data und Kaspersky: Spitzenreiter Finanzbranche als Angriffsziel

Zu ähnlichen Ergebnissen kommt auch der „Global Threat Intelligence Report 2017“ Nach Erkenntnis des IT-Dienstleistungsunternehmens Dimension Data, einem Unternehmen des japanischen Telekommunikationsriesen NTT, nehmen Behörden und Finanzinstitute den neuen Spitzenplatz der häufigsten Ziele von Cyberattacken im Jahre 2016 ein und verweisen den Spitzenreiter unter den Angriffszielen aus 2015, den Einzelhandel, auf Rang vier. Betrafen im Jahr 2015 lediglich drei Prozent der Virusattacken den Finanzsektor, so stieg der Anteil derartiger Angriffe 2016 auf 14 Prozent. Auf Platz drei liegt nach Angaben von Dimension Data übrigens das produzierende Gewerbe, das 2016 13 Prozent aller Angriffe über sich ergehen lassen musste.

Auch laut Kaspersky sind Finanzinstitutionen im Vergleich zu Organisationen aus anderen Branchen häufiger von zielgerichteten Attacken und Malware-Vorfällen betroffen, auch wenn sie im Vergleich generell weniger Sicherheitsvorfälle berichteten. Mehr als jede vierte Finanzorganisation (26 Prozent) hatte bereits eine zielgerichtete Attacke zu beklagen.

Insider sind die größte Bedrohung

Finanzbranche als Angriffsziel Es ist nicht neu, dass Mitarbeiter als einer der größten Risikofaktoren für die IT-Sicherheit im Unternehmen gelten. Auch wir haben in unserem Blog bereits darüber berichtet. Die IBM bestätigt dies nun auch für den Finanzsektor, denn laut Studie gehen die meisten Bedrohungen auch hier von Insidern aus: 58 Prozent aller Angriffe seien 2016 von Mitarbeitern begangen worden, vergleichsweise „nur“ 42 Prozent kamen komplett von außen. Das heißt jetzt allerdings nicht, dass alle Mitarbeiter absichtlich Schaden anrichten. In 53 Prozent der Fälle waren schädliche Aktivitäten das Ergebnis unbeabsichtigten Handelns, etwa wenn ein Mitarbeiter versehentlich Malware-verseuchte Dokumente aus Phishing-Mails öffnete und so Angreifern Tür und Tor zu Geschäftsdaten öffnet. Laut IBM treten viele dieser Angriffe auf, ohne dass Mitarbeiter sich dessen überhaupt bewusst sind.

Mitarbeiter: Zwischen Risikofaktor und dringend benötigter Fachkraft

LesetippDie größte Schwachstelle für die IT-Sicherheit ist der Mensch – darüber sind sich IT-Verantwortliche weltweit einig. Denn auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt über Clouds versenden, immer dieselben Passwörter nutzen, über ihre Social Media Accounts munter sensible Informationen preisgeben oder mit Malware infizierte Dateien auf ihre Computer herunterladen. Wie „gefährlich“ ein Mitarbeiter tatsächlich ist, hängt aber vor allem von seinem Alter ab. Das haben die Analysten des Ponemon Instituts nun in einer Studie herausgefunden. Lesen Sie mehr darüber im Blogartikel.

Finanz-Malware entwickelt sich weiter

Die Sicherheitsexperten von IBM stellten fest, dass einige Länder einen deutlichen Anstieg der Finanz-Cyberkriminalität im Jahr 2016 erlebt haben. Dabei fokussieren Cyberkriminelle ihre Angriffe zunehmend auf Konten von Geschäftsbanken, indem sie Malware wie Dridex, Neverquest, GozNym und TrickBot einschleusten. Da sich erfreulicherweise die großen Finanzinstitute immer besser gegen Angriffe aus dem Netz wappnen, haben IBM X-Force-Forscher herausgefunden, dass die erst kürzlich identifizieren TrickBot Malware Campaigns vor allem gegen weniger bekannte und kleinere Institute und Unternehmen gestartet werden. Dazu gehören Privatbanken, Vermögensverwalter und sehr hochwertige Kontotypen. Aus diesem Vorgehen schließen die X-Force-Forscher, dass ambitionierte Malware-Gangs neue Territorien erschließen wollen.

Minimieren Sie das Risiko

Finanzbranche als Angriffsziel Technische Sicherheitsmaßnahmen allein reichen nicht aus, der Angriffswelle Herr zu werden. Denn welchen Nutzen haben beispielsweise noch so gute Passwörter, wenn es an Anweisungen fehlt, wie damit sicher umgegangen werden soll? Es sind ja gerade solche Umstände, die dazu führen, dass Schwachstellen ausgenutzt werden, die aus (Fehl-)Verhalten von Mitarbeitern resultieren. Nur eine Mischung aus technischen und organisatorischen Sicherheitsmaßnahmen kann Finanzinstitute davor bewahren, ihre wertvollen Daten an Hacker zu verlieren.

Empfehlenswerte organisatorische Maßnahmen

… die über die Aufstellung von Sicherheitsrichtlinien hinausgehen, sind Folgende:

Schulungen und Sicherheitssensibilisierungen von Mitarbeitern, denn nur kontinuierliches Training und Tests sensibilisieren Mitarbeiter dafür, verdächtige E-Mails zu erkennen und nicht Opfer von Phishing-Mails zu werden.

Zugriffskontrollen und Berechtigungsmanagement, die den ungewollten Datenabfluss reduzieren können. Denn wenn der Zugang von Mitarbeitern zu Daten reglementiert ist und sie nur im Rahmen ihrer Tätigkeit oder Funktion auf Daten zugreifen können, kann versehentliches oder absichtliches kopieren, verändern und löschen dieser drastisch eingedämmt werden.

→ Die Entwicklung eines IT-Sicherheitshandbuches und dessen Implementierung im Unternehmen. Denn machen wir uns nichts vor: Jeder kann Opfer einer Cyberattacke werden – 100%-ige Sicherheit gibt es nicht. Um schnell reagieren zu können, ist die vorherige Identifikation und Definition der notwendigen Daten und Maßnahmen sinnvoll. Nicht zuletzt resultieren daraus aus Erkenntnisse, wie der Zugriff von Angreifern am besten verhindert werden kann.

Der Beitrag Finanzbranche als Angriffsziel von Cyberattacken erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Thales Data Threat Report 2017: IT-Security auf dem Prüfstand

26. Juli 2017 Posted by Robert Becker

Thales Data Threat Report 2017: Daten deutscher Unternehmen gefährdeter als je zuvor

djjrhhhoi joijruh houh ioih riuhorroik

Am Vorabend des Inkrafttretens der Datenschutzgrundverordnung hat Thales, ein führendes Unternehmen im Bereich kritischer Informationssysteme, Cybersicherheit und Datenschutz, seinen aktuellen Report zu IT-Sicherheitsbedrohungen vorgestellt. Die wichtigsten Ergebnisse: 95 Prozent der deutschen Unternehmen fühlen sich angreifbar und 25 Prozent berichten von einem Datensicherheitsvorfall. Gleichzeitig sind die IT-Sicherheitsausgaben sind um 80 Prozent gestiegen.

Für den Thales Data Threat Report 2017 wurden über 1100 verantwortliche IT-Security Manager befragt. Die Teilnehmer der Umfrage sind in Branchen wie Öffentliche Verwaltung, Einzelhandel, Finanzen und Gesundheitswesen tätig.

Schlechte Stimmung unter deutschen Security Managern

Thales Data Threat Report 95 Prozent der Deutschen Manager denken, dass ihre IT-Systeme und Daten nicht ausreichend gegen Cyberangriffe geschützt sind. Knapp die Hälfte von ihnen, nämlich 45 Prozent, meint sogar, dass die Sicherheit ihrer IT sehr oder extrem anfällig ist. Damit liegen die Deutschen im internationalen Vergleich auf Platz 1: In keiner anderen Nation empfinden Security-Manager ihre IT-Systeme derart schlecht geschützt wie hierzulande. Und die schlechte Stimmung hat sogar noch einmal zugenommen, denn im vergangen Jahr empfanden „nur“ 90 Prozent ihre IT-Systeme als nicht ausreichend geschützt, 40 Prozent waren 2016 der Meinung, dass die Sicherheit ihrer IT extrem anfällig sei.

Dennoch sind die Deutschen in ihren Befindlichkeiten nicht ganz allein, wie der internationale Vergleich zeigt. Auch 91 Prozent der Australier, 90 Prozent der Mexikaner und genauso viele US-Amerikaner schätzen die Sicherheit ihrer IT-Systeme als nicht nicht ausreichend gegen Angriffe von Cyberkriminellen ein.

Steigende Ausgaben für IT-Sicherheit

Die schlechte Stimmungslage spiegelt sich auch in den Ausgaben für die IT-Sicherheit wider. Deutsche Firmen haben dieses Jahr ihr IT-Sicherheitsbudget zur Abwehr von Bedrohungen im Vergleich vom Vorjahr von 63 Prozent auf 80 Prozent noch einmal deutlich erhöht und liegen über dem weltweiten Durchschnitt von 73 Prozent.

Die gute Nachricht: Weniger Sicherheitsvorfälle

Thales Data Threat Report Es gibt aber auch etwas Positives zu vermelden: „Nur“ 25 Prozent der befragten deutschen Unternehmen waren 2016 tatsächlich von Datensicherheitsvorfällen betroffen. Bei der Befragung aus dem Vorjahr lag die Zahl noch bei 37 Prozent. Damit ging die Zahl der Datensicherheitsvorfälle erfreulicherweise deutlich zurück. Das übrigens gelang keinem anderen Land: Von Großbritannien bis Brasilien, den USA bis Japan nahmen die Sicherheitsvorfälle 2017 zu. In Australien und Mexiko stiegen die Zahlen sogar explosionsartig von 31 beziehungsweise 15 Prozent auf 44 und 34 Prozent an.

Attacken auf jedes zweite Unternehmen

Bei all den guten Nachrichten aus Deutschland darf dennoch nicht verschwiegen werden, dass hierzulande die Hälfte aller Unternehmen schon einmal Opfer von Cyberattacken geworden ist – 9 Prozent von ihnen sogar mehr als einmal! Oder anders ausgedrückt: Beinahe jedes 10. deutsche Unternehmen kann seine Daten nicht gegen wiederholte Angriffe schützen. Da beruhigt es doch wieder, dass ein knappes Drittel der deutschen Unternehmen ihre IT-Sicherheit im Griff haben. 30 Prozent sind noch nie Opfer einer Datensicherheitsverletzung geworden. Damit liegt Deutschland knapp unter dem weltweiten Durchschnitt von 33 Prozent, ist jedoch weit abgeschlagen von Spitzenreitern wie Japan und Großbritannien, in denen 52 und 50 Prozent der Unternehmen alle Daten-Compliance-Audits bestanden haben.

Compliance genießt höchste Priorität

Thales Data Threat Report Vor dem Hintergrund der am 25. Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (DSGVO) erwarten 81 Prozent der Umfrageteilnehmer, dass sie von Gesetzen zu Datenschutz und Datenhoheit betroffen sein werden. Immerhin ist das Risiko eines Sicherheitsvorfalls für größere deutsche Unternehmen auch sehr hoch: 70 Prozent der Befragten haben schon einmal gegen Compliance-Anforderungen verstoßen oder waren Opfer eines Sicherheitsvorfalls. Jedes vierte deutsche Unternehmen wird jedes Jahr erneut Opfer eines Sicherheitsvorfalls. Vor diesem Hintergrund müssen Unternehmen also noch einiges tun – und sind sich dessen auch bewusst: Compliance und Best Practices, beide im Hinblick auf die DSGVO sehr wichtig, genießen bei den IT-Sicherheitsausgaben 2017 oberste Priorität. Zumal Datenschutzverletzungen ab dem nächsten Jahr mit einer Geldstrafe von bis zu 4 Prozent des weltweiten Brutto-Umsatzes geahndet werden.

Neue DSGVO: Kein Datenschutz nach Pi mal Daumen

LesetippMit dem Beschluss der neuen EU-Datenschutzgrundverordnung wurde wahrscheinlich die größte Umwälzung im Datenschutzrecht eingeleutet. Sie ist ab Mai 2018 bindend. Was bedeutet das für deutsche und europäische Unternehmen? Rechtsanwältin Dr. Bettina Kähler gibt einen Überblick über die wichtigsten Änderungen und die wesentlichen Maßnahmen, die Ihr Unternehmen schon jetzt einleiten sollte.

Investiert wird bei der IT-Sicherheit übrigens hauptsächlich in die Netzwerksicherheit (79 Prozent) sowie in die Endpoint- und Mobile-Security (72 Prozent). Dies ist interessant, denn Unternehmen setzen verstärkt fortschrittliche Technologien ein – bei den Investitionen belegen Sicherheitslösungen wie Verschlüsselung und Zugriffskontrollen aber nur den vorletzten Platz.

Nicht ohne Verschlüsselung: Einsatz Neuer Technologien

Thales Data Threat Report Der Einsatz Neuer Technologien wie Cloud, Internet der Dinge und Big Data verschärfen die Anforderungen an die IT-Sicherheit zusätzlich. So geben 96 Prozent der gefragten IT-Manager an, Unternehmensdaten in mindestens einer der eben genannten Umgebungen zu speichern oder zu verarbeiten. Erschreckend ist dabei, dass Zwei Drittel in diesen Umgebungen keine Sicherheitslösungen zum Schutz vertraulicher Daten einsetzen! Um den Anforderungen der DSGVO gerecht zu werden, kommen immer mehr deutsche Unternehmen zu der Einsicht, dass Verschlüsselung den digitalen Wandel und den Einsatz neuer Technologien ermöglicht. Als Resultat sind 57 Prozent der Befragten der Meinung, Verschlüsselung ermögliche eine verstärkte Nutzung der Cloud und löse die größten Big Data Sicherheitsprobleme: Wahrung der Vertraulichkeit von Daten an jedem Ort und zu jeder Zeit, die Sicherheit von Berichten sowie fehlende Zugangskontrollen. 58 Prozent der Befragten denken zudem, dass Datenverschlüsselung für den verstärkten Einsatz des IoT am wichtigsten ist.

Fazit: Das gibt es noch zu tun

Der Thales Report kommt auf Grundlage der Ergebnisse zu dem Schluss, dass es noch einiges für die IT-Security Manager zu tun gibt und formuliert vier Kernaufgaben.

  • So müssen neue Schwerpunkte bei IT-Sicherheitslösungen gesetzt werden, denn die traditionellen IT-Sicherheitsmodelle sind auf Cloud und SaaS nicht anwendbar.
  • Vielmehr erfordert Datensicherheit künftig Verschlüsselung und Zugriffskontrollen.
  • Dies setzt jedoch voraus, dass zunächst einmal Kenntnis über die Speicherorte vertraulicher Daten, vor allem in Cloud-, Big-Data-, Container- und IoT-Umgebungen, gewonnen werden muss.
  • Eine weitere Kernaufgabe muss sein, unabhängig von Compliance-Anforderungen auf Verschlüsselung und BYOK (Bring Your Own Key) zu setzen. Dabei darf Verschlüsselung aber nicht nur auf Laptops und Desktop-PCs beschränkt sein, sondern muss unter anderem auch im Rechenzentrum auf Datei und Anwendungsebene, in der Cloud sowie im Big Data-Umfeld stattfinden.

Studie

Der Beitrag Thales Data Threat Report 2017: IT-Security auf dem Prüfstand erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.