All-About-Security.de: Neueste IT-Security-Meldungen https://www.all-about-security.de/ Neueste Meldungen von All-About-Security.de, dem unabhängigen IT-Security Informations- und Wissensportal, von Profis für Profis. de All-About-Security.de: Neueste IT-Security-Meldungen https://www.all-about-security.de/fileadmin/images/bg/aas_logo_a.png https://www.all-about-security.de/ Neueste Meldungen von All-About-Security.de, dem unabhängigen IT-Security Informations- und Wissensportal, von Profis für Profis. TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Thu, 17 Aug 2017 16:13:59 +0200 Tenable startet neues Channel-Programm, um Unternehmen zu helfen, die Cyber Exposure-Lücke zu schließen https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/tenable-network-security/aktuelles/artikel/17747-tenable-startet-neues-channel-programm-um-unternehmen-z/ Das Tenable Assure Partner Program investiert in Managed Security Service Provider (MSSP),... Tenable Inc. stellt sein neues Partnerprogramm Tenable Assure vor. Das Programm unterstützt Partner dabei, langfristige, beratende Beziehungen mit Kunden aufzubauen, damit diese unverarbeiteten Sicherheitsdaten in ein metrik-getriebenes Programm umwandeln können. Ziel ist es, Cyber Exposure in jede Geschäftsentscheidung einzubeziehen. Tenable Assure umfasst zudem ein Programm für Managed Security Service Provider (MSSP), damit Unternehmen dem Mangel an Security-Fachleuten begegnen können. Kunden wählen mit Tenable Assure strategische, maßgeschneiderte und kosteneffiziente Services flexibel aus. Das hilft ihnen, die Cyber Exposure über die gesamte, moderne Angriffsoberfläche zu managen, zu messen und zu reduzieren. 

„Wir unterstützen Unternehmen dabei, Cyber-Risiken in einer sich wandelnden Angriffsoberfläche abzubilden, zu verstehen und sie zu reduzieren. Dafür sind Partner entscheidend“, erklärt John Negron, Chief Revenue Officer, Tenable. „Wir investieren in unsere Partner, damit diese in einem Markt im Umbruch konkurrenzfähig bleiben. Zusammen bauen wir neue Umsatzmöglichkeiten auf, die nicht nur Tenables Wachstum in seiner nächsten Entwicklungsphase beschleunigen werden, sondern auch die Partner direkt unterstützen.“

Unternehmen aller Größen übernehmen neue Plattformen, Geräte und Computing-Ansätze. Dazu gehören die Cloud, SaaS, Mobile, IoT und DevOps, die aber entsprechend die Angriffsoberfläche erweitern. Viele dieser Unternehmen können jedoch mit ihren modernen Assets nicht mithalten oder ihre Cyber Exposure nicht jederzeit verstehen bzw. darstellen. Sie wenden sich deshalb immer häufiger an zuverlässige Sicherheitsberater, um ihre Angriffsfläche aufzudecken, zu analysieren und zu beheben. Tenable Assure, das am 01. September 2017 in Kraft tritt, fokussiert sich darauf, Partner mit kontinuierlichen Trainings und Zertifizierungen zu unterstützen. So können sie ihre Kunden strategisch beraten und ihnen passende Lösungen sowie maßgeschneiderte Services anbieten, um die moderne Angriffsoberfläche zu sichern. Tenable Assure ist das einzige Partnerprogramm auf dem Markt, das durch eine umfassende Deal Registrierung Preiskämpfe unterbindet und den Partnern hilft, planbare Jahresumsätze aufzubauen. Mehr als 23.000 Kunden in über 150 Ländern, darunter 50 Prozent der Fortune 500, die zehn größten US-Technologieunternehmen und acht der zehn größten US-Finanzinstitutionen verlassen sich auf Tenable als Pionier der Cyber Exposure. 

Mit dem Start von Tenable Assure führt der Anbieter außerdem sein erstes MSSP-Angebot ein. Dieses Programm stellt die Services und Dienstleistungen von Partnern vor und zeigt auf, wie sie die jeweilige kundeneigene Security verstärken können. Für viele Unternehmen spielen die MSSP eine zunehmend wichtige Rolle, weil es zu wenig Security-Fachleute gibt. Tenable Assure ist eines der wenigen Partnerprogramme in der Branche, das auf ein „Partner-first“-Modell setzt und sicherstellt, dass das Tenable Sales-Team Partnern unter die Arme greift. 

„Unser Ziel ist es branchenweit führende, innovative Technologien und Services bereitzustellen. Als Tenable Assure-Partner unterstützen wir Kunden bei allen Anliegen rund um die Cyber Exposure, indem wir die fortschrittlichen Funktionen von Tenable.io anbieten. Dazu gehören zum Beispiel das Web Application Scanning oder die Container Security“, sagt Jordan Mauriello, CTO, Critical Start MSSP. „Die Programmstruktur belohnt uns für unser Investment, weil Tenable auch in uns investiert, um sicherzustellen, dass unsere gemeinsamen Kunden und Geschäfte erfolgreich sind.“

Der Tenable Assure-Launch folgt den kürzlich veröffentlichten Rekordergebnissen im zweiten Quartal 2017: Tenable erzielte über 50 Mio. Dollar Umsatz, was einem jährlichen Wachstum von 50 Prozent entspricht. Die Ergebnisse machen Tenable zu einem der weltweit größten und am schnellsten wachsenden, privaten Cybersecurity-Unternehmen. Sie spiegeln zudem die Führungsrolle und Innovationskraft wider, die es Unternehmen ermöglicht, ihre Cyber Exposure über die moderne Angriffsoberfläche hinweg neu zu denken. Im ersten Halbjahr 2017 hat Tenable zudem eine Reihe von innovativen Lösungen vorgestellt. Dazu gehört Tenable.io, die weltweit erste Cyber Exposure-Plattform, sowie Tenable.io Container Security, das DevOps-Prozesse nahtlos ermöglicht und Einblicke in Container-Images ermöglicht, sowie Tenable.io Web Application Scanning, mit der Web Applikationen sicher und automatisch gescannt werden können. In Zukunft wird das Unternehmen jedes Quartal neue, innovative Lösungen einführen, um seine Vision von Cyber Exposure umzusetzen.

Mehr Informationen über das Tenable Assure Partnerprogramm hier: http://www.tenable.com/partners/become-a-partner 

]]>
Nachrichten & Aktuelles Tenable Thu, 17 Aug 2017 16:13:59 +0200
Vorausschauende IT-Unternehmensstrategie mit Verfügbarkeit und “Cyber-Versicherung” https://www.all-about-security.de/nc/security-artikel/threats-and-co/artikel/17746-vorausschauende-it-unternehmensstrategie-mit-verfuegbarke/ Dass Ransomware-Angriffe immer häufiger werden, ist längst keine neue Beobachtung mehr. Das Jahr... Während sich die Angriffe oder die gesamte IT-Bedrohungslage mit beängstigendem Tempo weiterentwickelt, zeigt sich, dass viele Organisationen nicht in der Lage sind zu erkennen, mit wem sie es hier sowohl im Hinblick auf Datenschutz als auch Cyber-Security zu tun haben. Natürlich wissen Organisationen, dass sie Strategien benötigen, um ihr Unternehmen vor möglichen Cyberattacken zu schützen. Aber sind sie auch in der Lage, die IT nach einem Angriff schnell wieder zum Laufen zu bringen?

Umso mehr Unternehmen ihre Daten und Dienstleistungen online stellen, desto mehr sind ihre gesamten Geschäftsmodelle von Konnektivität und verbesserten IT-Services abhängig. Nur so können sie den wachsenden Anforderungen der Verbraucher nach Flexibilität, einem einfachen Zugang und komfortabler Nutzung gerecht werden. Der Wunsch nach fortlaufender Konnektivität und somit „always-on“ zu sein steht im Zwiespalt zu einer erhöhten Zahl an Schwachstellen und Angriffsflächen, die aus einer zunehmenden Anzahl von Drittquellen resultiert. 

Cyber-Versicherung einfach erklärt 

Traditionelle Datenschutzstrategien konzentrierten sich bislang vor allem auf die drei Grundkomponenten der IT: Menschen, Prozesse und Technologie. 

Der Datenschutz beim Faktor Mensch beginnt mit einer entsprechenden Ausbildung und sollte einen Schwerpunkt darauf legen, dass Mitarbeiter hinsichtlich der jüngsten Bedrohungen in der Branche immer auf dem aktuellsten Stand sind. Auch wenn dies sehr wichtig ist, ist es nahezu unmöglich, auf diese Weise einen vollständigen Schutz für die Organisation zu erreichen. Es bedarf nur einer Schwachstelle oder einer unbekannten Bedrohung, damit die Daten und das Unternehmen betroffen sind. Auch eine Fokussierung auf Prozesse ist wichtig. So hätten viele der jüngsten Ransomware-Angriffe möglicherweise gemildert oder abgewendet werden können, wenn Patches rechtzeitig implementiert worden wären. Der traditionelle Datenschutz setzt eine Technologie für Netzwerk- und Endgerätesicherheit wie Firewalls und Anti-Virus-Programme ein. All diese Sicherheitsvorkehrungen sind wichtig und sollten nicht vernachlässigt werden. Allerdings reichen sie nicht mehr aus, wie an dem rasanten Wachstum der Zahl von sogenannten Cyber-Versicherungen zu beobachten ist.

Cyber-Versicherungen sind natürlich kein neues Phänomen, aber wenig überraschend ist ihre Zahl in jüngster Zeit in einem ähnlichen Tempo wie Malware und Ransomware angestiegen. Im Jahr 2015 schätzte PwC den Cyber-Versicherungsmarkt auf ein Volumen von 2,5 Milliarden US-Dollar. Dabei rechnet das Beratungsunternehmen mit einem Wachstum dieses Marktes auf 7,5 Milliarden US-Dollar bis zum Jahr 2020.  Allied Market Research verfügt über Cyber-Versicherungsprämien, die bis zu 14 Milliarden US-Dollar bis 2022 erreichen, was einem Anstieg von 28% pro Jahr entspricht. Das starke Wachstum des Cyber-Versicherungsmarkts zeigt aber auch, dass die jüngsten Cyberattacken mit ihren negativen Auswirkungen auf Regierungsorganisationen und Unternehmen zu einem wichtigen Thema für das Top-Management geworden sind und Forderungen nach besserem Schutz nach sich ziehen. 

Die Kosten einer Ransomware-Attacke sind nicht nur mit der Lösegeld-Forderung selbst verbunden, da die geforderten Beträge oft unter 1.000 US-Dollar liegen. Vielmehr sind es interne Kosten, die durch Reaktionen auf den Vorfall, Forensik, Anstieg der Support-Anfragen im Customer Call Center, Einbindung der Rechtsabteilung oder der Abteilung für Öffentlichkeitsarbeit entstehen. Externe Kosten und Versicherungsschutz sind in der Regel mit einer Haftung verbunden, dass die Daten nicht sicher verwahrt wurden.

Das Risiko von Ransomware durch Prozesse und Technologie mildern 

Allerdings gibt es noch einen anderen grundlegenden Aspekt im Hinblick auf Cyber-Versicherungen, der oft ignoriert wird: Datensicherung als „Air-Gapped-Backup“, also die Isolierung eines Backups aus dem mit dem Internet verbundenen Netzwerk. Dementsprechend lautet die erste Empfehlung des FBI in den USA in seinem Leitfaden „Ransomware Prevention and Response for CEOs“, dafür zu sorgen, dass kritische Daten offline gesichert und gespeichert werden. Zudem sollte die Fähigkeit zur Wiederherstellung dieser Daten regelmäßig überprüft werden. Tatsächlich sind ein funktionierendes Backup und eine regelmäßige Überprüfung der Datenwiederherstellung die Cyber-Versicherung, die im Falle eines Angriffs den größten und unmittelbaren Mehrwert für das Unternehmen bietet. 

Mit der richtigen Technologie und den richtigen Prozessen können Wiederherstellungszeiten (RTOs) für kritische Systeme minimiert werden. Ein weiterer Vorteil: Durch die Nutzung von virtuellen Labor ist die Anwendung von Forensik für den aktuellen Vorfall möglich. Diese Art der Versicherung bietet nicht nur Verfügbarkeit für das Unternehmen und seine Geschäftsabläufe, sondern auch die Absicherung für den Vorstand, dass das Unternehmen auf solche Vorfälle besser vorbereitet ist. 

Darüber hinaus profitieren Unternehmen mit einer tragfähigen Verfügbarkeitslösung von einer möglichen Reduktion der Beiträge ihrer Cyber-Versicherung. Üblicherweise können die Kosten für eine Cyber-Versicherung von 1.000 bis zu 100.000 US-Dollar pro Jahr reichen – abhängig von Branche und Unternehmensgröße. Einer der Faktoren, die den Versicherungsbeitrag beeinflussen, sind vorhandene Schutzmaßnahmen. Wer sicherstellt, dass sein Unternehmen über eine umfassende Verfügbarkeitslösung verfügt, kann so die Kosten (und Beiträge), die mit der unmittelbaren Deckung durch die Versicherung verbunden sind, reduzieren.  

Neue Technologien, gleiche Probleme? 

Mit den wachsenden Möglichkeiten für eine anspruchsvollere Nutzung von Daten und Technologien des Internet der Dinge, von künstlicher Intelligenz, biometrischen Systemen, Industrie 4.0 mit Werksrobotern, vernetzten Autos sowie intelligenten Gebäuden müssen Unternehmen stets verfolgen, wie sich Bedrohungen, wie beispielsweise Ransomware, in naher Zukunft entwickeln werden. Dabei wird die Gefahr nicht mehr nur vom PC ausgehen, sondern auch breitere Geschäftsaktivitäten beeinflussen. 

Wer seinen aktuellen Status der Datensicherung überprüfen will, der sollte daran denken, dass es nicht darum geht, sich vollkommen gegen Hacker abzusichern. Schon allein die Geschwindigkeit, mit der sich Angriffe verändern, macht dies quasi unmöglich. Vielmehr sollten Unternehmen ihre Sicherheitsvorkehrungen so robust wie möglich gestalten und beispielsweise sicherstellen, dass sich ihre Backups nicht nur im unternehmenseigenen Netzwerk befinden, um so die Möglichkeit eines Angriffs oder „Befalls“ zu minimieren. In Bezug auf Ransomware nutzen Angreifer häufig den Weg über kleinere oder mittelständische Unternehmen, um so auch größere Unternehmen angreifen zu können. Hier sollte man sicherstellen, dass man nicht das schwächste Glied der Zuliefererkette ist und auch auf die Struktur der Partner achten.

Mit Blick in die Zukunft liegt die Prognose auf der Hand, dass ein Rückgang an Malware und Ransomware nicht zu erwarten ist. Es empfiehlt sich daher, nach einem Partner zu suchen, der dem eigenen Unternehmen dabei helfen kann, eine effiziente Datensicherung durch Backups im Offline-Speicher und regelmäßiger Überprüfung der Datenwiederherstellung zu implementieren. Diese Ebene des Datenschutzes ist nicht nur wichtig für das Management und den Vorstand, um sicher zu sein, dass man besser auf dieses neue Geschäftsumfeld vorbereitet ist, sondern sie sorgt auch für Vertrauen in der gesamten Branche und bei den Endnutzern, dass ihr „digitales Leben“ geschützt und immer verfügbar ist. 

Deshalb besteht eine intelligente Geschäftsstrategie für die Zukunft auch darin, vorzusorgen, dass die richtigen Prozesse etabliert sind, dass das Unternehmen durch regelmäßige Updates und Backups zu einem weniger attraktiven Ziel wird sowie in der Umsetzung einer Datensicherungs-Strategie. Diese sollte sowohl einen Cyber-Versicherungsplan als auch eine Verfügbarkeitslösung umfassen. So sind Unternehmen auch in Zukunft für etwaige Cyber-Bedrohungen gut aufgestellt.

https://www.veeam.com/de/ 

]]>
Threats & Co Fachartikel Thu, 17 Aug 2017 09:00:36 +0200
Cloud Computing – welche Rolle spielt ERP-Security https://www.all-about-security.de/nc/security-artikel/plattformsicherheit/single/artikel/17745-cloud-computing-welche-rolle-spielt-erp-security/ Immer mehr Unternehmen entdecken Cloud-Services für sich. Kein Wunder, dass nach E-Mails,... Ob Telefonanlagen oder Gehaltsabrechnung – die Gründe für Anwendungen aus Cloud liegen auf der Hand: weniger Admin-Aufwand, höhere Flexibilität und geringere Kosten. Warum diese Vorteile nicht auch für die Planung von Ressourcen nutzen? Viele Unternehmen stellen sich vermehrt dieser Frage und sind gleichzeitig mit dem vielfältigen Angebot an Lösungen und Modellen überfordert. Um Entscheidern eine Orientierung zu liefern, gibt der folgende Artikel erste Antworten. Er basiert auf einer Experten-Umfrage der ERP-News.

Private Cloud

Auf den ersten Blick ist die Private Cloud sicherer. Sie setzt aber drei Aspekte voraus: Firmen müssen bereit sein, umfangreich zu investieren und ein optimales Sicherheitskonzept für Hard- und Software auszuarbeiten. Drittens ist es nötig, agil auf wandelnde Sicherheitsanforderungen zu reagieren. Erfahrungsgemäß haben nur große Unternehmen die hierfür nötigen Mittel. „Gerade im Mittelstand fehlt es an Ressourcen und Kompetenz, um einen Betrieb mit ähnlichen Standards zu gewährleisten, wie das die Spezialisten können“, sagt Tobias Hagenau von HQLabs GmbH und ergänzt: „Bei den Profis gibt es einerseits eine skalierbare Infrastruktur und andererseits auch dedizierte Ressourcen. Da sind ganze Teams darauf fokussiert, Wartung, Updates und Sicherheitsfixes sicherzustellen.“  

Public Cloud

Für kleine und mittelständische Unternehmen bieten sich daher Public-Cloud-Anbieter an, da deren Rechenzentren viel besser abgesichert sind als die von Mittelständlern. Trotzdem sollten Firmen genau prüfen, welche Sicherheitsstandards und Zertifizierungen der Anbieter vorweisen kann. Eine gute Orientierung bietet hierfür der „Anforderungskatalog Cloud Computing“ des Bundesamtes für Sicherheit in der Informationstechnik. Darin werden unter anderem Anforderungen an die Cloud-Anbieter formuliert. Hinzu kommen sogenannte Umfeldparameter, die beispielsweise über Datenlokation, Diensterbringung, und Zertifizierungen informieren.

Sicherheitsstandard

Allgemein gilt: „Bei den großen Playern muss man sich um die Sicherheit der Daten in der Regel keine Sorgen machen“ stellt Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH fest. „Denn die etablierten Anbieter investieren schon seit Jahren sehr viel Geld und Know-how in dieses Thema. Sie bieten daher in ihren Rechenzentren ein Sicherheitsniveau, das für ein Anwenderunternehmen selbst kaum zu erreichen ist.“ Gerade kleine und mittelständische Firmen könnten aus dem Grund von den Skaleneffekten profitieren, wenn sie ihre ERP-Lösung aus der Cloud beziehen. Wichtig dabei ist aber, wie die Systeme gemanaged werden und wie mit dem Thema Sicherheit umgegangen wird. Managed-Cloud-Modelle sind hier von Vorteil, da bei On-Premise-Lösungen oder bei Private Clouds meist „(…) die Skills und Ressourcen (fehlen), um sich mit Sicherheitsthemen zu beschäftigen. Bei Public Clouds fehlt darüber hinaus oftmals der Anwendungsskill“, erklärt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG.

Akzeptanz für ERP-Cloud steigt

Die Befragung der Experten zeigt, das Thema Security ist ausschlaggebend für die Wahl eines Anbieters. Das haben auch die Hersteller erkannt und gehen auf die Wünsche der potenziellen Kunden verstärkt ein. Das zeigt sich auch in der wachsenden Akzeptanz solcher Systeme: Haben 2015 noch 64 Prozent der Mittelständler Cloud-ERP ausgeschlossen, sind es Anfang 2017 nur noch 28 Prozent. Das ergibt die aktuelle Abas-Anwenderstudie, die über 600 Industrieunternehmen aus Deutschland, Österreich und der Schweiz mit 50 bis 2.000 Mitarbeitern befragte. Das Thema Security gehört dabei bei den Anwendern zu den wichtigsten Voraussetzungen für den Umzug in die Cloud. 

Über den Autor Matthias Weber

Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft). Mit seinem Beratungsunternehmen mwbsc GmbH unterstützt er mittelständische Unternehmen aus Industrie, Handel und Dienstleistung, sowie ERP-Hersteller und ERP-Anbieter bei der Optimierung deren Geschäftserfolgs.

Über die mwbsc GmbH

Die mwbsc GmbH ist ein Full-Service-Provider für das Spezial-Thema Unternehmenssoftware. Neben dem allgemeinen Enterprise-Resource-Planning (business) hat die mwbsc auch die Disziplinen Software-Entwicklung (software) und ERP-Beratung (consulting) im Fokus. Matthias Weber, Inhaber der mwbsc, entwickelte, basierend auf diesen 3 Säulen (business, software, consulting), ein übergreifendes Beratungsmodell.

]]>
Plattformen Fachartikel Thu, 17 Aug 2017 08:25:40 +0200
Gartner-Prognose: Weltweite Ausgaben für Informationssicherheit werden 2017 um sieben Prozent zunehmen und 86,4 Milliarden US-Dollar erreichen https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17744-gartner-prognose-weltweite-ausgaben-fuer-informationssic/ Der Einfluss von Sicherheitsvorfällen auf das Geschäft und veränderte Vorschriften sind Ursachen... Die weltweiten Ausgaben für Produkte und Dienstleistungen der Informationssicherheit werden 2017 auf 86,4 Milliarden US-Dollar ansteigen, so die neueste Prognose des IT-Research und Beratungsunternehmens Gartner. Dies entspricht einer Zunahme von sieben Prozent im Vergleich zu 2016. Für 2018 erwartet Gartner Ausgaben für Informationstechnologie in Höhe von 93 Milliarden US-Dollar.

„Das gestiegene Bewusstsein der Vorstände und Aufsichtsräte für den Einfluss von Sicherheitsvorfällen auf das Unternehmen und die sich verändernde Regulierungslandschaft sind die Gründe für den Anstieg der Ausgaben für Sicherheitsprodukte und Sicherheits-Dienstleistungen," erklärt Sid Deshpande, Principal Research Analyst bei Gartner.  

Originalmitteilung unter diesem Link: http://www.gartner.com/newsroom/id/3784965  

]]>
Nachrichten & Aktuelles Wed, 16 Aug 2017 13:57:46 +0200
"Get Rich or Die Trying“ https://www.all-about-security.de/nc/security-artikel/threats-and-co/artikel/17743-get-rich-or-die-trying/ – Check Point-Forscher decken internationale Cyberangriff-Kampagne auf. Ein Nigerianer aus der Nähe... Check Point gibt heute die Identität des Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf über 4.000 Unternehmen im Energie-, Bergbau- und Infrastrukturbereich bekannt

Die Kampagne startete im April 2017 und richtete sich gegen einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt stammt. Sein Facebook-Account ziert das Motto: „Reich werden oder beim Versuch sterben“. 

Bei seiner Angriffskampagne setzte er betrügerische E-Mails ein, die scheinbar von dem Öl- und Gasgiganten Saudi Aramco, dem Ölproduzenten mit der weltweit zweitgrößten Tagesfördermenge, stammten und an die Mitarbeiter der Finanzabteilung der Unternehmen gerichtet waren. Diese sollten dazu gebracht werden, Bankdaten des Unternehmens weiterzugeben oder die mit Malware infizierten Anhänge der E-Mails zu öffnen. 

Dazu verwendete er NetWire, einen Remote-Access-Trojaner, der die volle Kontrolle über infizierte Maschinen ermöglicht, sowie Hawkeye, ein Keylogging-Programm. Die Kampagne führte zu 14 erfolgreichen Infektionen, in deren Verlauf der Täter Tausende Dollar verdiente. 

Maya Horowitz, Threat Intelligence Group Manager bei Check Point, erläutert den Fall: „Obwohl diese Person qualitativ minderwertige Phishing-E-Mails und generische Malware verwendete, die man online ganz leicht finden kann, war er mit seiner Kampagne dennoch in der Lage, viele Organisationen zu infizieren und mehrere Tausende weltweit anzugreifen. Das zeigt genau, wie einfach es für einen relativ unqualifizierten Hacker ist, eine großangelegte Angriffswellen zu starten, die sich über alle Abwehrprogramme, selbst die von großen Unternehmen, hinwegsetzt, und ihm ermöglicht, einen solchen Betrug durchzuführen.“ 

„Dies macht deutlich, wie notwendig es für Unternehmen ist, ihre Sicherheit zu verbessern, um sich vor Betrügereien durch Phishing- oder Geschäfts-E-Mails zu schützen, und die Mitarbeiter zur Vorsicht beim Öffnen von E-Mails zu erziehen - selbst solcher Mails, die von Unternehmen oder Personen stammen, die sie kennen.“ 

Nachdem die Kampagne entdeckt und ihr Ursprung festgestellt worden war, informierte das Check Point-Forscherteam die internationalen Strafverfolgungsbehörden und die in Nigeria und teilte seine Erkenntnisse mit ihnen. 

Business E-Mail Compromise (BEC)-Angriffe haben in den vergangenen 18 Monaten dramatisch zugenommen. Das FBI vermeldete einen Anstieg der Opferzahl von 270 Prozent seit Anfang 2016, was Organisationen in aller Welt von 2013 bis 2016 über 3 Milliarden US-Dollar kostete. Schätzungen zufolge verlieren BEC-Opfer im Durchschnitt 50.000 US-Dollar. 

Die Anti-Spam- & Email-Sicherheits-Software Blade von Check Point schützt Kunden davor, Opfer solcher Betrügereien zu werden. Ihr mehrdimensionaler Ansatz sichert die E-Mail-Infrastruktur, bietet äußerst genauen Antispam-Schutz und schützt Organisationen vor einer großen Bandbreite an Virus- und Malwarebedrohungen, die über E-Mails verbreitet werden. Darüber hinaus bewahrt der SandBlast-Agent  mit Zero Phishing-Technologie Unternehmen vor neuen und unbekannten Phishing-Seiten sowie vor Bedrohungen, die in Dokumenten und Links in E-Mails enthalten sind. 

Für mehr Informationen über die von dem Kriminellen für die Angriffe auf Organisationen genutzten Techniken besuchen Sie bitte: http://blog.checkpoint.com/2017/08/15/get-rich-die-trying-case-study-real-identity-behind-wave-cyberattacks-energy-mining-infrastructure-companies/ 

]]>
Threats & Co Wed, 16 Aug 2017 13:19:12 +0200
Sicherheit ist kritischer Erfolgsfaktor für Industrie 4.0 https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17742-sicherheit-ist-kritischer-erfolgsfaktor-fuer-industrie-4/ GrammaTech veröffentlichte heute eine neue Studie von VDC Research, die die wachsenden Bedenken bei... Durch IoT ergeben sich zahlreiche neue Geschäftsmöglichkeiten und viele neue Lösungen wie die Smart Factory. Die Kehrseite der Medaille ist, dass durch die Vernetzung und Konnektivität der Systeme sowohl neue Schachstellen entstehen als auch bestehende Qualitätsprobleme der vorhandenen Software zu Tage treten können.

„Unsere Studie zeigt, dass die Maßnahmen zur Vermeidung oder Entschärfung von Schwachstellen nicht in gleichem Maße zunehmen wie das Bewusstsein für die möglichen Auswirkungen von Sicherheitsproblemen“, so André Girard, Senior Analyst bei VDC. „Die befragten Embedded-Entwickler berichteten, dass bei über 24 Prozent der Projekte keinerlei Sicherheitsvorkehrungen getroffen werden.“ Laut der VDC-Studie gaben 46 Prozent der Entwickler an, dass Cyber-Security in den aktuellen Projekten eine große bis sehr große Rolle spielen - dieser Wert lag vor zwei Jahren mit 37 Prozent noch deutlich niedriger.

 In vielen Projekten spielt die Sicherheit noch immer eine untergeordnete Rolle.

„Die Ergebnisse von VDC decken sich mit dem, was wir bei unseren Kunden beobachten“, erläutert Mark Hermeling, Senior Director of Product Marketing bei GrammaTech. “GrammaTech vertritt den Ansatz, Sicherheit als Design-Grundlage von Anfang an in den Entwicklungsprozess einzubinden und dabei so weit als möglich automatische Test-Tools zu nutzen. So spielt zum Beispiel die statische Analyse innerhalb des sicheren Design-Lebenszyklus eine wichtige Rolle.“ Gerard ergänzt: „Der vermehrte Einsatz von automatischen Test-Tools bereits in den ersten Phasen des Software-Designs kann den Entwicklungs-Teams dabei helfen, viele gängige Programmierfehler und Sicherheitsprobleme zu vermeiden. Die aktuell niedrige Nutzungsquote von Tools zur statischen Analyse und zur Analyse von Binärcode lässt darauf schließen, dass sich viele Entwicklungs-Teams im Bereich Automation & Control noch nicht an den Best Practices für den Einsatz von Code aus externen Quellen orientieren.“

Eine der Empfehlungen von VDC lautet dem entsprechend, ein Testing-Schema zu etablieren, das sowohl dynamisches Testing als auch statische Analyse umfasst. So lässt sich weitgehend sicherstellen, dass vorhandene Sicherheitslücken gefunden und beseitig werden. Die Entwickler-Teams können dadurch ihre Geräte sicherer machen und gleichzeitig die Time to Market verringern - nicht nur für die Industrie 4.0. Dies gilt ebenso in kritischen Branchen wie Medizintechnik, Luftfahrt oder Verkehrswesen, in denen die Fähigkeiten von Software die zentralen Faktoren für Innovation und Wettbewerbsvorteile sind.

Die Studie „Industry 4.0: Secure by Desing“ mit allen Handlungsempfehlungen steht kostenlos zum Download zur Verfügung: http://go.grammatech.com/whitepapers/vdc-industry-secure-by-design/ 

]]>
Management Studien Wed, 16 Aug 2017 13:00:30 +0200
Studie belegt: 36 Prozent der Informationssicherheits-Experten warnen vor unbeabsichtigten Insidern https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17741-studie-belegt-36-prozent-der-informationssicherheits-ex/ Angreifer zielen auf User als schwächstes Glied, um sich Zugang zu den Unternehmen zu verschaffen +... 76 Prozent dieser Sicherheits- und IT-Experten gaben an, dass der größte potentielle Schaden von einem Sicherheitsvorfall entstehen könnte, der von einem eigenen oder externen Mitarbeiter mit entsprechenden Zugriffsrechten herbeigeführt wird. Die Bedrohung wächst stetig, 40 Prozent der Befragten gaben an, dass sie eine Insider-Attacke als sehr gefährlich einstufen. Weitere 36 Prozent sehen auch unbeabsichtigte Insider-Angriffe kritisch für die eigenen Sicherheitsmaßnahmen. Nur 23 Prozent sagten, dass der größte Schaden durch Angriffe von außen herbeigeführt wurde. Trotzdem haben nur lediglich 18 Prozent einen Incident Response-Plan für Insider-Bedrohungen in der Schublade und 49 Prozent gaben an, dass sie derzeit daran arbeiten. Die Gefahr wurde anscheinend lange unterschätzt.

Da der Schutz von Unternehmen gegen Attacken von außen immer wirksamer wird, sehen sich Angreifer nach einfacheren Zielen um. Dazu zählen beispielsweise Benutzer, die bereits Zugang zu hochsensiblen Unternehmensinformationen besitzen und sich leichter täuschen lassen als Sicherheitssysteme. Unternehmen reagieren nur langsam darauf. Obwohl der Ursprung des Anschlags außerhalb liegt, kann das entscheidende Schlupfloch für den Angreifer ein Insider gewesen sein. Vielleicht verfolgte dieser sogar gar keine böse Absicht und wurde schlicht von einem Außenstehenden überlistet und dazu verführt, Schaden zu verursachen (Daten zu kopieren, Transaktionen vorzunehmen).

Nur ein kleiner Teil scheint zu ahnen, um wie viel Schaden es dabei geht. 45 Prozent der Befragten konnten die Kosten für einen potenziellen Verlust nicht beziffern. Gleichzeitig antworteten 33 Prozent damit, keine Angaben darüber machen zu können. Die anderen Angaben liegen zwischen 100.000 und 5 Mio. US-Dollar. Das wirkt zunächst überraschend. Allerdings berichteten nur einzelne Unternehmen, über Insider-Erkennungsprogramme zu verfügen, die gründlich genug seien, um interne Bedrohungen zuverlässig aufzuspüren. Das gleiche Sichtbarkeitsdefizit würde es erschweren, das Ausmaß eines möglichen Insider-Angriffs zu bestimmen oder die anschließenden Wiederherstellungskosten einzuschätzen. 

Die Umfrageergebnisse zeigen, dass 62 Prozent der Studienteilnehmer noch nie einen internen Angriff erlebt haben. Unter Umständen verweist dies auf eine geringe Sichtbarkeit, aber nicht automatisch auch auf ein geringes Risiko. 38 Prozent der Befragten bezeichneten die von ihnen verwendeten Systeme und Methoden als ineffektiv. Das macht es noch unwahrscheinlicher, dass sie einen sich ereignenden Insider-Angriff identifizieren könnten.

Mangelnde Sichtbarkeit ist eine Sache, fehlende Vorbereitung eine andere. Denn fast ein Drittel (31%) der Studienteilnehmer gab an, kein formelles Programm oder Vorbereitungen für den Umgang mit Bedrohungen von innen umzusetzen.

„Während vorsätzliche und mit krimineller Absicht agierende Insider immer ein gewisses Risiko darstellen, vergessen viele Unternehmen, dass ein externer Angriff oft auf einen legitimen Insider abzielt und dazu verleitet Schaden anzurichten“, erklärt SANS-Instructor und Studienautor Dr. Eric Cole. „Dieser zufällige Insider könnte als ein Weg vom Angreifer genutzt werden, um aus einem Unternehmen die sensibelsten Daten mitzunehmen, ohne, dass es jemandem auffällt. Und nur wenige Unternehmen wissen überhaupt, dass ein solcher Vorfall überhaupt passiert ist.“

„Insider mit bösartigen Absichten waren schon immer eine Gefahr, jedoch wächst das Risiko, wenn unabsichtlich eigentlich unauffällige Insider Informationen an ein falsches Help-Desk herausgeben oder auf Anhänge klicken, die Schadsoftware zum Stehlen von Passwörtern herunterladen.“ Cole zur Folge: „Ist jedes Unternehmen nur einen Klick von einem Sicherheitsvorfall entfernt.“

Die Komplette Studie kann über den folgenden Link heruntergeladen werden: https://www.sans.org/reading-room/whitepapers/analyst/defending-wrong-enemy-2017-insider-threat-survey-37890 

]]>
Management Studien Wed, 16 Aug 2017 07:11:49 +0200
Die weltweit größte gemeinnützige Vereinigung von zertifizierten Cybersicherheitsexperten knackt die 125.000 Mitglieder-Marke https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/isc2/aktuelles/artikel/17740-die-weltweit-groesste-gemeinnuetzige-vereinigung-von-zertif/ (ISC)² bemächtigt Cyber-, IT-, Infrastruktur- und Software-Sicherheitsspezialisten, die... Die (ISC)² gibt bekannt, dass seine Mitgliederanzahl auf weltweit über 125.000 zertifizierte Cybersicherheits-Profis gestiegen ist. Vor dem Hintergrund des exponentiellen Wachstums der Nachfrage nach qualifizierten Sicherheitsexperten ermöglichen die Zertifizierungs- und Weiterbildungsprogramme der (ISC)² Cyber- und IT-Sicherheitsanwendern, ihre Kompetenz zu beweisen, ihre Karriere voranzutreiben und zu einer sichereren Gesellschaft beizutragen.

„Wir sind extrem stolz darauf, den Meilenstein von 125.000 Mitgliedern erreicht zu haben. Allerdings wissen wir auch, dass uns noch viel Arbeit bevorsteht“, erklärt (ISC)²-Geschäftsführer und CISSP David Shearer. „Technologie allein wird unsere Sicherheitsherausforderungen nicht bewältigen können. Zusätzlich werden wir bis 2022 einen weltweiten Arbeitskräftemangel https://www.isc2.org/News-and-Events/Press-Room/Posts/2017/06/07/2017-06-07-Workforce-Shortage  erleben. Innerhalb der IT-Sicherheitsbranche werden 1,8 Millionen Fachkräfte fehlen. In Zusammenarbeit mit unseren Mitgliedern, Regierungsbehörden, akademischen Einrichtungen und anderen Organisationen auf der ganzen Welt liegt die Aufgabe der (ISC)² darin, die Informationssicherheitsfachkräfte- und IT-Anwender anzulocken, auszubilden und zu trainieren, die wir benötigen, um den größten Sicherheitsherausforderungen Herr zu werden.“

Führend innerhalb der Branche

„125.000 Mitglieder ist eine sehr große Zahl für eine Community aus engagierten Menschen, die die Messlatte stetig durch Lernen, Forschen, Unterrichten und Austauschen ihrer Kenntnisse und Fähigkeiten erhöhen, um unsere Cyberwelt sicherer zu machen“, sagt Emmanuel Nicaise, CISSP und Präsident des (ISC)²-Benelux-Chapters. „Ein (ISC)²-Mitglied zu werden, bedeutet mehr als eine Prüfung abzulegen – es ist ein Bekenntnis zu einer bestimmten Ethik und einer kontinuierlichen Weiterentwicklung ihrer Fähigkeiten und ihres Wissens in Ihrem Bereich.“

(ISC)²-Zertifizierungen sind weltweit als Nachweis für die Kompetenz von IT-Sicherheitsexperten anerkannt, die außerdem zu einem Karriere-Sprung und Möglichkeiten zur Weiterentwicklung verhelfen. Jeden Tag setzen Verbandsmitglieder auf der ganzen Welt Kenntnisse ein, die sie aus ihren (ISC)²-Zertifizierungen gewonnen haben, um zu allen Aspekten der Cyber-, Informations-, Software-, IT- und Infrastruktursicherheit beizutragen.

(ISC)² war die erste IT-Sicherheitszertifizierungsstelle, die die Anforderungen von ANSI/ISO/IEC-Standard 17024 erfüllt – der weltweit führende Maßstab für die Zertifizierung von Fachleuten. Die (ISC)²-Zertifikate CISSP, CCSP und SSCP sind durch diese Normen anerkannt.

CISSP – Certified Information Systems Security Professional  https://www.isc2.org/en/Certifications/CISSP  eignet sich für Sicherheitsanwender, Manager und Führungskräfte, die daran interessiert sind, ihr Wissen bezüglich eines breiten Spektrums an Sicherheitspraktiken und –Prinzipien auszubauen.

CCSP – Certified Cloud Security Professional https://www.isc2.org/en/Certifications/CCSP  ist ideal für Cybersicherheits- und IT-Experten, um ihr Bewusstsein und ihr Verständnis bezüglich strengster Standards aus dem Bereich Cloud Security zu demonstrieren.

SSCP – Systems Security Certified Practitioner https://www.isc2.org/en/Certifications/SSCP  passt zu Cybersicherheits- und IT-Profis, die die praxisbezogene, ausführende Seite innerhalb der täglichen Absicherung ihres Unternehmens repräsentieren.

Zusammenarbeit und Lösungen

„Ich schloss mich (ISC)² im Jahr 2010 während meiner CISSP-Zertifizierung an und kann nun rückblickend sagen, dass dies einen der wichtigsten Meilensteine meiner Karriere darstellt“, berichtet Dr. Martin Simka, CISSP, CEE bei Showmax und Sekretär des polnischen (ISC)²-Chapters. „Die Einrichtung hilft mir, zu verfolgen, was innerhalb der weltweiten Sicherheitsgemeinschaft vor sich geht. Andererseits besitze ich dank der lokalen monatlichen Chapter-Treffen Möglichkeiten, anderen Kollegen aus der Industrie zu begegnen und Präsentationen wie Live-Diskussionen zu sicherheitsverwandten Themen beizuwohnen. Unsere lokale und globale Gemeinschaft hat einen erheblichen Einfluss auf die kontinuierliche persönliche Entwicklung von zertifizierten IT-Security-Profis.“

„Mehr denn je muss die Cybersicherheitsgemeinschaft zusammenkommen und neue Lösungen und Strategien entwickeln, um Organisationen auf der ganzen Welt zu helfen, Daten in einer zunehmend gefährlichen Online-Welt zu schützen“, fügt Shearer hinzu. „Genau das wird nächsten Monat im Rahmen unseres jährlichen North America Security Congress http://congress.isc2.org/events/-isc-security-congress-2017/event-summary-2e8c610b3fbb4c3ba7885291336fd0ff.aspx  geschehen. Wir werden die besten und hellsten Köpfe der Cybersicherheit zusammenbringen, um die Fragen, Bedrohungen und andere Herausforderungen, denen die Cybersicherheitsbranche gegenübersteht, zu erforschen. Zusätzlich werden sie gemeinsam nach kreativen, handlungsfähigen Lösungen suchen, die unsere Mitglieder anschließend im Arbeitsalltag zur besseren Absicherung ihrer Daten einsetzen können.“

Mehr zu (ISC)²-Zertifizierungen und den Vorteilen einer Mitgliedschaft finden Sie unter http://www.isc2.org 

]]>
Nachrichten & Aktuelles (ISC)² Wed, 16 Aug 2017 07:04:03 +0200
Patchday August: 25 kritische Schwachstellen bei Microsoft, 43 bei Adobe https://www.all-about-security.de/nc/security-artikel/plattformsicherheit/single/artikel/17739-patchday-august-25-kritische-schwachstellen-bei-microso/ Im Rahmen des Patchdays für August hat Microsoft Patches für 48 Sicherheitslücken bereitgestellt,... Beim Installieren der Patches sollte CVE-2017-8620 Vorrang haben, eine Anfälligkeit in der Windows-Suche. Dies ist bereits der dritte Patchday, an dem eine Schwachstelle in diesem Dienst behoben wird. Wie in den früheren Fällen lässt sich auch diese Sicherheitslücke remote über eine SMB-Verbindung ausnutzen, um dem Angreifer die volle Kontrolle über ein System zu verschaffen, und auch sie kann sowohl Server als auch Workstations betreffen. Wenngleich Exploits SMB als Angriffsvektor verwenden können, befindet sich diese Lücke nicht im SMB-Protokoll selbst. Sie hat auch nichts mit den jüngsten SMB-Schwachstellen zu tun, die von EternalBlue, WannaCry und Petya ausgenutzt werden. 

Viele Sicherheitslücken in diesem Monat hängen mit der Scripting Engine zusammen, können somit sowohl Browser als auch Microsoft Office betreffen und sollten auf Systemen vom Typ Workstation vorrangig behandelt werden, wenn diese für E-Mail verwendet werden und über einen Browser auf das Internet zugegriffen wird. Ebenfalls erwähnenswert ist eine Anfälligkeit in der Windows-Schriftenbibliothek, CVE-2017-8691. Auch sie lässt sich über einen Browser ausnutzen. Auf Systemen mit Windows 10 und Microsoft Edge wird die Sicherheitslücke CVE-2017-0293 geschlossen, die die PDF-Viewer-Funktionalität betrifft.

Die Patches umfassen keine Problembehebung für SMBLoris, einen Denial-of-Service-Angriff gegen Systeme, auf denen Port 445 sowie der SMB-Client erreichbar sind. Dieser Angriff kann auch gegen Samba ausgeführt werden. Es wird empfohlen, den Port 445 auf Systemen mit Internetzugriff zu schließen und auf allen Systemen, die sich mit nicht vertrauenswürdigen Netzwerken verbinden könnten, eine lokale Firewall einzusetzen, die den Zugriff auf Port 445 unterbindet.

Adobe hat ebenfalls ein Patch-Update veröffentlicht, das 67 Sicherheitslücken schließt, von denen 43 kritisch sind. Alle diese Schwachstellen bis auf zwei befinden sich in Adobe Acrobat und Reader. Die beiden anderen betreffen Adobe Flash, und eine von ihnen ist kritisch.

Gepostet von Jimmy Graham in The Laws of Vulnerabilities, 8. August, 2017, 11:25 Uhr  

]]>
Plattformen Thu, 10 Aug 2017 12:54:18 +0200
"Bundestrojaner": TeleTrusT - Bundesverband IT-Sicherheit e.V. kündigt Verfassungsbeschwerde an https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17738-bundestrojaner-teletrust-bundesverband-it-sicherhei/ Nachhaltige Digitalisierung kann nur mit IT-Sicherheit gelingen - Der "Bundestrojaner" ist das... Der Deutsche Bundestag hat per Gesetz Strafermittlern neue technische Möglichkeiten eingeräumt, um verschlüsselte Kommunikation von Verdächtigen in ihren Notebooks und Smartphones mitzulesen und diese unbemerkt durchsuchen zu können ("Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens"). Der Gesetzgeber hat damit die Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchung erweitert und Grundrechte in Bezug auf das Fernmeldegeheimnis eingeschränkt. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kündigt Verfassungsbeschwerde gegen diese legalisierte Schwächung von modernen IT-Systemen an: Denn anstatt die Bürgerinnen und Bürger aktiv vor IT-Schwachstellen zu schützen, toleriert sie der Staat und hält sie für den potentiellen Einsatz seines "Trojaners" sogar aufrecht.

Mit der gesetzlichen Einsatzerlaubnis für Spionagesoftware ("Bundestrojaner") soll aus staatlicher Sicht der Tatsache Rechnung getragen werden, dass Straftäter über verschlüsselte Messenger-Dienste miteinander kommunizieren. Bei der Quellen-TKÜ werden Nachrichten schon in modernen IT-Systemen, wie Smartphones des Absenders abgefangen, bevor sie verschlüsselt werden. Die Online-Durchsuchung erlaubt es, unbemerkt aus der Ferne das Endgerät eines Verdächtigen nach Hinweisen auf Straftaten zu untersuchen. Für die Zulassung gelten nach dem neuen Gesetz vergleichbar strenge Voraussetzungen wie für die schon jetzt unter Richtervorbehalt erlaubte akustische Wohnraumüberwachung. Im Gesetz ist in allgemeiner Form davon die Rede, dass "mit technischen Mitteln in informationstechnische Systeme eingegriffen wird".

Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender: "Der Staat hat die Pflicht, Bürgerinnen und Bürger zu schützen. Durch die gezielte Offenhaltung und Nutzung von Sicherheitslücken wird diese Schutzpflicht missachtet und das Vertrauen in moderne IT-Systeme staatlich untergraben. Dadurch wird die notwendige Digitalisierung nachhaltig verhindert."

Die vom Gesetzgeber legalisierten Maßnahmen führen dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie sind damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. Die geschaffenen Möglichkeiten stehen im Widerspruch zur politischen Zielsetzung, "Deutschland zum Verschlüsselungsstandort Nr. 1" zu entwickeln. Die Eignung zur Verbrechensaufklärung ist fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen werden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre steht in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.

Die beschlossene Gesetzgebung betrifft das verbandspolitische Selbstverständnis von TeleTrusT im Kern. TeleTrusT steht konsequent für Vertrauenswürdigkeit der IT-Systeme und kann nicht tatenlos zusehen, wenn der Gesetzgeber konterkarierende Maßnahmen beschließt, die unsere digitale Zukunft schwächen.

Der Bundesverband IT-Sicherheit e.V. wird nach Konsultation seiner Mitglieder Verfassungsbeschwerde erheben.

TeleTrusT-Anbieterverzeichnis IT-Sicherheit: https://www.teletrust.de/anbieterverzeichnis/ 

TeleTrusT/VOI-Informationstag "Elektronische Signatur": Berlin, 20.09.2017: https://www.teletrust.de/veranstaltungen/signaturtag/infotag-elektronische-signatur-2017/ 

]]>
Nachrichten & Aktuelles Wed, 09 Aug 2017 11:15:50 +0200
Neuer Bericht: Veränderungen und Auswirkungen der Internet-Sicherheitsrisiken https://www.all-about-security.de/kolumnen/unternehmen-im-fokus/rapid7/artikel/17737-neuer-bericht-veraenderungen-und-auswirkungen-der-intern/ Rapid7 hat seinen zweiten National Exposure Index veröffentlicht - ein Ranking, das zeigt, in... Ein Jahr nach der ersten Rapid7-Studie bietet der diesjährige Bericht einen Überblick darüber, wie sich die Cybersecurity-Landschaft im Laufe des Jahres verändert hat und welche Auswirkungen die massiven WannaCry- und Mirai-Botnet-Angriffe hatten.

Insgesamt lässt sich eine positive Entwicklung beobachten; einige Nationen haben ihr Risikopotenzial seit letztem Jahr erfolgreich gesenkt.

Die wichtigsten Erkenntnisse im Überblick:

  • Die am stärksten risikobehafteten Regionen sind Simbabwe, Hongkong SAR1, Samoa, Republik Kongo, Tadschikistan, Rumänien, Irland, Litauen, Australien und Estland. Unter den drei großen Cyber-Supermächten – den Vereinigten Staaten, China und der Russischen Föderation – gehören Russland und China zu den Top 50 der am meisten exponierten Nationen. Die USA haben dagegen im Verhältnis zu ihrem enormen IPv4-Adressraum ein relativ niedriges Risikolevel.
  • Belgien – das Land, das das Ranking im 2016-Index anführte – zählt nicht mehr zu den Top 50 der risikoreichsten Regionen. Hauptsächlich deshalb, weil es exponierte Internetdienste seit dem letzten Report erfolgreich ausgemerzt hat.
  • Über eine Million Endpoints exponieren Microsoft File Sharing Services (SMB, TCP Port 445), darunter 800.000 bestätigte Windows-Systeme, die praktisch die gesamte Microsoft-Produktlinie und alle Release-Versionen umfassen. Dies bildete eine lohnende Angriffsumgebung für WannaCry.
  • Deutschland liegt auf Platz 129 der Risikoliste, und das obwohl Deutschland mit über 119 Millionen Adressen die fünftgrößte Allokation von IPv4-Adressen weltweit hat.

Zum Report hier.

]]>
Management White Paper Rapid7 Mon, 07 Aug 2017 10:11:05 +0200
InsightIDR von Rapid7 - Eine eierlegende Wollmilch & Honey(pot)-Sau? https://www.all-about-security.de/kolumnen/unternehmen-im-fokus/rapid7/artikel/17736-insightidr-von-rapid7-eine-eierlegende-wollmilch-hon/ Unter4Ohren im Gespräch mit Pim van der Poel, Regional Sales Manager DACH & Benelux, Rapid7 Jetzt treffen wir uns doch zu einem zweiten Gespräch. Wie kommt´s? ++ Ich habe gelesen, dass InsightIDR Eindringlinge in die Irre führen kann und musste schmunzeln. Ein Marketing-Gag? ++ "Verabschieden Sie sich von schlaflosen Nächten und dem flauen Gefühl, dass die Bösen auch weiterhin in Ihrer IT-Umgebung sind."  Die Sprüche könnten fast von mir kommen! ++ Pim, könntest Du auf die aktuellen Herausforderungen eingehen? Es fällt mir schwer, den Zusammenhang zwischen InsightIDR und den Herausforderungen, denen Unternehmen gegenüberstehen, zu sehen und zu finden…… ++  Zu erfüllende EU-Regularien und euer Produkt.....wo sind da die Parallelen? ++ Es ist doch schier unmöglich bei den riesigen Datenmengen zu wissen, wo echte Gefahr/en lauern. 

Zum Interview und den Whitepapern:

https://www.all-about-security.de/nc/unter4ohren/single/artikel/17735-69-insightidr-von-rapid7-eine-eierlegende-wollmilch/

]]>
Netzwerke Rapid7 Fachartikel Sun, 06 Aug 2017 00:16:43 +0200
Die Maschinen kommen https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17734-die-maschinen-kommen/ Und das ist gut so. Maschinelles Lernen sorgt aktuell für jede Menge Schlagzeilen. Da ist etwa zu... Lässt man Science-Fiction aber einmal beiseite, gibt es durchaus einen Bereich, in dem automatisierte Hilfe erwünscht bzw. sogar erforderlich ist: IT-Sicherheit, denn Cyber-Bedrohungen entwickeln sich schnell und ausgefeilter weiter – so sehr, dass diese unerwünschten Gäste den Fortschritt des digitalen Zeitalters ernsthaft beeinträchtigen könnten.

Die Branche benötigt Unterstützung und die Automatisierung bietet hierfür Hilfe: McAfee hat vor kurzem eine Studie zum aktuellen Stand der Maschinenintelligenz im Hinblick auf die Endpunktsicherheit mit dem Titel „Machine Learning Raises Security Teams to the Next Level“ (Maschinelles Lernen bringt Sicherheitsteams voran) beauftragt. Jeder, der sich ernsthaft für Cyber-Sicherheit interessiert, sollte sich einmal genauer damit beschäftigen. Die Studie macht deutlich, dass maschinelles Lernen nötig, aber kein Ersatz für Menschen, ist. Es ist vielmehr eine Ergänzung zu dem Job, den die Menschen bereits machen.

Die Grenzen des maschinellen Lernens

Maschinelles Lernen kann: verborgene Muster in sich schnell verändernden Daten erkennen und zwar mit höherer Genauigkeit, je mehr Daten seine Algorithmen speisen, die Ergebnisse, analysieren, wenn eine Verletzung aufgetreten ist, und ein großes Volumen von Routine-Angriffen bewältigen.

Maschinelles Lernen kann jedoch nicht: kreative Antworten initiieren, das Gesamtbild verstehen, Bedrohungen über unterschiedliche Organisationen und Systeme hinweg kommunizieren oder den Bedrohungsradius von neuen menschlichen Gegnern vorhersagen. Es ist nur so gut wie der Algorithmus, auf den es „trainiert“ wurde. Es kann nicht ohne Menschen existieren.

Maschinelles Lernen und der Endpunkt

Mit dem maschinellen Lernen wird es möglich, die Endpunktsicherheit kontinuierlich weiterzuentwickeln, um neue Angriffstaktiken zu erkennen und auch abzuwehren. Eine der Herausforderungen für IT-Teams ist jedoch, dass sich Endpunkte nicht geschützt im Rechenzentrum befinden, wo sie von mehreren Sicherheitsebenen und einem wachsamen Sicherheitsteam umgeben sind. Vielmehr verändern Endpunkte ständig ihren Standort inner- und außerhalb des Netzwerks.

Die Endpunktsicherheit wird daher ständig weiter verfeinert, um frische Präventionstechniken gegen neue Angriffsmethoden zu integrieren. Maschinelles Lernen ist hier eine natürliche Erweiterung anderer Methoden für die Abwehr von Malware und den ständig auf- und abschwellenden Konflikt mit Hackern und Angreifern.

Allerdings gehen die Möglichkeiten von maschinellem Lernen weit über die Endpunktsicherheit hinaus. Es ist ein wertvolles Werkzeug, das für viele Aspekte der Cyber-Sicherheit genutzt werden kann. McAfee nutzt maschinelles Lernen und andere unbeaufsichtigte Lernalgorithmen in seinem gesamten Portfolio, von Advanced Threat Defense (ATD) und Security Information and Event Management (SIEM) bis hin zu URL Classification Systems und im Gateway.

Zusammenfassung

Ein Sicherheitsanalytiker benötigt rund 15 Minuten, um einen Sicherheitsalarm zu untersuchen und zu löschen. Das bedeutet, dass diese Person nur etwa 30 Warnungen pro Tag verarbeiten kann. Damit sind Sicherheitsteams zu wenig nachhaltigem reaktionärem Verhalten verurteilt und haben im Grunde kaum eine Chance, sich mit der tatsächlichen Lösung von Problemen zu beschäftigen. Angreifer hingegen nutzen automatisierte Praktiken, um herauszufinden, was funktioniert und starten dann auf dieser Basis Angriffe, die maximale Wirkung erzielen. Wenn ein Sicherheitsteam in diesem Spiel die Nase vorne haben will, muss es seinen Leuten Zeit geben, um ihre Intelligenz und ihre Kreativität für die Verbesserung der Sicherheitspraktiken einzusetzen – und die Effizienz des maschinellen Lernens nutzen, um genau diese Zeit zu gewinnen. 

Maschinelles Lernen hat sich in der Cyber-Sicherheit etabliert und das ist gut so. Es ist ein wichtiger Bestandteil jeder Unternehmensstrategie für die Endpunktsicherheit. Angesichts des Umfangs und der Weiterentwicklung der Angriffe, die auf die Endpunkte einprasseln, müssen Sicherheitsfunktionen in der Lage sein, sich ohne menschliches Eingreifen anzupassen. Gleichzeitig müssen sie die erforderliche Transparenz und exakten Informationen bereitstellen, damit Menschen fundiertere Entscheidungen treffen können. Betrachten wir den „Roboter“ doch einfach als den, der die Routinearbeit macht – damit die Menschen richtig loslegen können.

Den vollständigen englischen Kommentar von Raja Patel, Vice President und General Manager Security Solutions bei McAfee lesen Sie im BlogpostThe Machines Are Coming. And That’s A Good Thing

Wie das Mensch-Maschine-Team mit einer Kombination aus Bedrohungsverfolgung und automatisierten Aufgaben entscheidend zur Abwehrstrategie gegen Cyber-Kriminelle von heute und morgen beiträgt und mehr zum Thema „Threat Hunting“, lesen Sie in der aktuellen Studie „Disrupting the Disruptors, Art or Science?" von McAfee.

]]>
Management Studien Fri, 04 Aug 2017 10:54:20 +0200
KRITIS: Erster branchenspezifischer Sicherheitsstandard anerkannt https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17733-kritis-erster-branchenspezifischer-sicherheitsstandard/ KRITIS: Erster branchenspezifischer Sicherheitsstandard anerkannt Bescheid zur Eignung an Wasser-... Der Bescheid zur Eignung des Standards wurde am Montag von BSI-Präsident Arne Schönbohm an die Vertreter Prof. Dr. Gerald Linke und Otto Schaaf der für diesen Bereich regelsetzenden Verbände DVGW (Trinkwasserversorgung) und DWA (Abwasserbeseitigung) überreicht. Betreiber Kritischer Infrastrukturen aus dem Sektor Wasser, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen. Der B3S Wasser/Abwasser enthält Rahmenanforderungen, die auf die tatsächlichen Gegebenheiten im KRITIS-Sektor Wasser zugeschnitten sind, eine Vorgehensweise zur Risikoanalyse sowie eine Sammlung von Sicherheitsmaßnahmen, um den identifizierten Risiken zu begegnen. Im B3S Wasser/Abwasser ist unter anderem ein Gesamtpaket von rund 140 Maßnahmen aus dem IT-Grundschutz des BSI enthalten.

Hierzu erklärt Arne Schönbohm, BSI-Präsident: „Als nationale Cyber-Sicherheitsbehörde treiben wir die Umsetzung des IT-Sicherheitsgesetzes erfolgreich voran. Der branchenspezifische Sicherheitsstandard Wasser/Abwasser ist die Grundlage für mehr Cyber-Sicherheit in diesem für Staat, Wirtschaft und Gesellschaft lebenswichtigen Versorgungsbereich. Wie wichtig das notwendige Maß an IT-Sicherheit in der Digitalisierung ist, haben Cyber-Angriffe wie WannaCry oder Petya/NotPetya gezeigt, bei denen auch Unternehmen in Deutschland erhebliche Schäden erlitten haben.“

Prof. Dr. Gerald Linke, Vorstandsvorsitzender des Deutschen Gas- und Wasserfaches (DVGW): „Die Finalisierung des Branchenstandards IT-Sicherheit Wasser/Abwasser ist ein großer Schritt nach vorne. Denn Unternehmen der Branche bekommen damit ein hilfreiches Instrument an die Hand, um ihre IT-Infrastruktur gesetzeskonform zu schützen. Angesichts steigender Hackeraktivitäten wird es zukünftig immer wichtiger, das Risiko eines Ausfalls durch Cyber-Angriffe zu minimieren. Der DVGW unterstützt die Branche, ihre Infrastruktur innovativ aufzustellen.“

Otto Schaaf, Präsident der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA): „Dass eine technische Regel von einer Behörde vor Veröffentlichung anerkannt werden muss, war für die regelsetzenden Verbände ein Novum. Umso wichtiger war die enge Einbindung der beiden Bundesbehörden BSI und BBK bei der Erarbeitung des Branchenstandards. Die reibungslose Zusammenarbeit hat dazu geführt, dass der Wassersektor die erste Branche ist, die die Eignungsfeststellung bescheinigt bekommt.“

Die Erstellung des B3S Wasser/Abwasser wurde vom Branchenarbeitskreis Wasser/Abwasser des UP KRITIS eingeleitet und in einem hierfür gegründeten Arbeitskreis von Repräsentanten der regelsetzenden Verbände DVGW und DWA erstellt. Nach Fertigstellung des B3S wurde dessen Eignung vom BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und den zuständigen Aufsichtsbehörden festgestellt. Die Verbände DVGW und DWA können den Standard nun ihren Mitgliedsunternehmen zur Verfügung stellen. 

Durch die Anwendung des branchenspezifischen Sicherheitsstandards können Betreiber aus dem KRITIS-Sektor Wasser (Branchen „Öffentliche Wasserversorgung“ und „Öffentliche Abwasserbeseitigung“) die Mindestanforderungen für IT-Sicherheit gemäß § 8a (1) BSI-Gesetz erfüllen. 

Auch Unternehmen aus dem KRITIS-Sektor Wasser, die nicht als Betreiber einer Kritischen Infrastruktur im Sinne des BSIG gelten, können den Standard umsetzen und somit das IT-Sicherheitsniveau des Unternehmens erhöhen. Der B3S Wasser/Abwasser wird damit auch außerhalb der gesetzlichen Verpflichtungen einen wichtigen Beitrag für die Erhöhung der IT-Sicherheit in der gesamten Wasserbranche leisten.

Links:

Erläuterung B3S: 

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S_BAKs/B3S_BAKs_node.html 

]]>
Nachrichten & Aktuelles Fri, 04 Aug 2017 09:42:46 +0200
Telefónica bietet mit neuestem Gemalto Cloud-Service sofort einsatzbereite Mobile-Konnektivität an https://www.all-about-security.de/nc/security-artikel/plattformsicherheit/single/artikel/17732-telefonica-bietet-mit-neuestem-gemalto-cloud-service-sof/ Telekommunikationsanbieter bietet Remote-Teilnehmermanagement für IoT-Geräte von Endverbrauchern... Gemalto stellt der Telefónica Group den Cloud-Service On-Demand Connectivity zur Verfügung. Mit diesem Service können Endverbraucherprodukte, z. B. vernetzte PCs und Wearables, sofort Mobilfunkverbindungen herstellen. Damit können Kunden von Telefónica für jedes Gerät mit einer installierten eSIM ihre Mobilgeräte nahtlos von unterwegs aus verwalten. Endnutzer können dann ihre bestehenden Tarife direkt bestellen, ändern und aktualisieren, ohne eine neue SIM installieren oder ändern zu müssen.

Der neue Cloud-Service von Gemalto steht allen Mobilfunkanbietern der Telefónica Group in 17 Ländern zur Verfügung. Die Lösung von Gemalto entspricht gänzlich den neuesten Spezifikationen der GSMA für die Remote-SIM-Aktivierung und zielt darauf ab, die Mobil-Konnektivität für Millionen von Verbrauchsgeräten zu erleichtern und Nutzern neue Dienste anzubieten – ob für die Gesundheitsüberwachung, das Asset Tracking, Tablet- und PC-Konnektivität unterwegs, oder für Fitnessaktivitäten mit einer Smartwatch, ohne gleichzeitig das Smartphone dabei zu haben.

In Verbindung mit dem cloudbasierten On-Demand Connectivity-Service spart die eSIM Platz bei miniaturisierten Verbrauchergeräten, optimiert Fertigung und Logistik und bietet gleichzeitig ein hohes Maß an Sicherheit. Die Lösung von Gemalto erschließt neue Märkte für Mobilfunkbetreiber und bietet OEMs Möglichkeiten für Innovation, Wettbewerbsabgrenzung und neue Verbraucherangebote.

„Die nahtlose eSIM-Konnektivität für Geräte, wie vernetzte Tablets, Smartwatches und weitere Wearables, spielt eine entscheidende Rolle für die weit verbreitete Einführung von Verbraucherprodukten und Dienstleistungen, bei denen die Konnektivität der Schlüssel zur Verbesserung des Benutzererlebnisses ist“, sagt Fred Vasnier, Executive Vice President Mobile Services and IoT bei Gemalto. „Sie fungiert zusätzlich als Impulsgeber für das Erreichen einer optimalen Lösung bei der Digitalisierung des Kundenkontakterlebnisses, da sie für eine höhere Nutzung sorgt und die Möglichkeit bietet, bei einem Tarif mehrere Geräte zu verbinden.“

Weitere Informationen erhalten Sie unter www.gemalto.de 

]]>
Plattformen Fri, 04 Aug 2017 09:35:10 +0200
So wirkt sich das IP-Reputation-Management auf E-Mails aus https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/sonicwall/aktuelles/artikel/17731-so-wirkt-sich-das-ip-reputation-management-auf-e-mails-a/ Kurzdarstellung: So können Cyberkriminelle Ihre Reputationsmanagementlösung umgehen + Je beliebter... Lesen Sie diese Kurzdarstellung und erfahren Sie: 

  • mit welchen Tricks Cyberkriminelle Ihre Organisation infiltrieren
  • warum es so wichtig ist, Ihre Reputationsmanagementlösung regelmäßig zu evaluieren
  • wie Sie sich auf künftige E-Mail-Bedrohungen vorbereiten können

Solution brief: Using advanced reputation management to combat email threats

Executive Brief: How Cyber Criminals Can Bypass Your Reputation Management

]]>
Anwendungen – Apps White Paper SonicWall Fri, 04 Aug 2017 09:29:09 +0200
Kryptowährungen im Kampf mit traditionellen Zahlungsmitteln https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17730-kryptowaehrungen-im-kampf-mit-traditionellen-zahlungsmitt/ Laut einer BearingPoint-Studie sind virtuelle Kryptowährungen zwar weitgehend bekannt, aber noch... Kryptowährungen erfreuen sich großer Bekanntheit. Über 70 Prozent der Verbraucher kennen die innovativen Zahlungsmittel oder haben davon schon mal gehört. Allerdings gibt es nach wie vor eine große Kluft zwischen Bekanntheit und tatsächlicher Nutzung. Zudem werden Kryptowährungen im Wettbewerb mit staatlichen Währungen und Gold in der Erfüllung der einzelnen Geldfunktionalitäten weiterhin eher als Außenseiter gesehen. Zu diesem Ergebnis kommt eine repräsentative Studie der Unternehmensberatung BearingPoint. Im Rahmen der Online-Erhebung wurden über 1.000 Verbraucher aus ganz Deutschland befragt. Die Studie beschäftigt sich mit den grundlegenden Eigenschaften von Kryptowährungen im Vergleich zu staatlichen Zahlungsmitteln und Gold.

Kryptowährungen – Vertrauen und Rahmenbedingungen vielfach nicht vorhanden

Im Vergleich zu staatlichen Währungen und Gold werden Kryptowährungen von einem eher kleineren Anteil der Nutzer als wettbewerbsfähig bezeichnet, wenn auch mit steigender Tendenz. Laut der aktuellen Studie halten immerhin 34 Prozent eine Ablösung durch virtuelle Zahlungsmittel für wahrscheinlich. In der Vorgängerstudie von BearingPoint aus dem Jahr 2016 waren es lediglich elf Prozent, die eine Durchsetzung und damit frühzeitige Verdrängung traditioneller Zahlungstechnologien erwarteten.

Allerdings hält nur etwa ein Drittel der Befragten (32 Prozent) virtuelle Zahlungsmittel für vertrauenswürdig hinsichtlich ihrer Preisstabilität. Verbraucher vertrauen am stärksten der Preisstabilität des Goldes (81 Prozent), gefolgt von staatlichen Währungen (69 Prozent).

„Die Digitalisierung der Finanzwirtschaft führt zur Beschleunigung im Ablauf der Finanzprozesse, um Verbraucherbedürfnisse immer und jederzeit befriedigen zu können. So ermöglichen es Kryptowährungen beispielsweise, Zahlungen nahezu in Lichtgeschwindigkeit zu beauftragen und abzuwickeln. Daher ist ihr Einsatz aus Verbrauchersicht zukünftig sicherlich eine mögliche Alternative zu staatlichen Währungen und Gold als Zahlungsmittel oder Anlageform. Hierfür muss in Bezug auf die Geldfunktionen aber noch einiges passieren, um das Entwicklungspotenzial von Kryptowährungen auch wirklich auszuschöpfen. Das erfordert vor allem entsprechende technische und gesetzliche Rahmenbedingungen, die grundlegende Veränderungen im gesamten Finanzsystem nach sich ziehen. Themen wie Sicherheit, Werterhaltung und Zweckmäßigkeit spielen dabei eine entscheidende Rolle“, kommentiert Dr. Robert Bosch, Partner bei BearingPoint im Bereich Financial Services.

Staatliche Währungen und Gold weiter führend

Die noch fehlende Entwicklung zeigt sich auch in Bezug auf die Geldfunktionalitäten. Laut Studie gibt es hier weiterhin signifikante Unterschiede zwischen staatlichen Währungen, Gold und Kryptowährungen. Gold wird mit 79 Prozent als die beste Anlageform zur Werterhaltung wahrgenommen. Die Hälfte der Nutzer (53 Prozent) nimmt staatliche Währungen als geeignete Anlageform wahr und nur ein Drittel (31 Prozent) würde für Anlagen virtuelle Währungen nutzen.

Wenn es um den Preisvergleich von Produkten und Dienstleistungen geht, neigen Verbraucher eher zu staatlichen Währungen – für 77 Prozent der Befragten sind diese am besten zum Preisvergleich geeignet. Gold (48 Prozent) genauso wie Kryptowährungen (36 Prozent) werden eher weniger als Recheneinheit empfunden. 

Auch wenn in absehbarer Zeit keine Ablösung traditioneller Zahlungsmittel zu erwarten ist, sollte die Finanzwelt Kryptowährungen jedoch mehr Beachtung schenken. Während 2016 nur fünf Prozent die neue Zahlungsform bereits benutzt haben, sind es laut der aktuellen Studie mit elf Prozent immerhin schon doppelt so viele. Und auch die Digitalisierung trägt ihren Teil zur Weiterentwicklung bei. 

]]>
Nachrichten & Aktuelles Fri, 04 Aug 2017 09:17:58 +0200
Gemalto als weltweit erstes Unternehme von der GSMA vollständig für sicheres eSIM-Teilnehmermanagement zertifiziert https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17729-gemalto-als-weltweit-erstes-unternehme-von-der-gsma-voll/ Gemalto erfüllt mit seinem sein On-Demand-Connectivity-Dienst als erste Anbieter weltweit die... Gemalto garantiert Compliance für OEMs, Mobilfunkbetreiber und Serviceanbieter auf der ganzen Welt und stellt sicher, dass angemessene Sicherheitsmaßnahmen zur Speicherung und Handhabung aller sensitiven Benutzerprofildaten implementiert sind. Diese Maßnahmen reichen über den gesamten Lebenszyklus des Dienstes hinweg: von der anfänglichen eSIM-Produktion bis zum Management der mobilen Teilnehmer. Die Akkreditierungen gelten für industrielle IoT-Anwendungen, Lösungen für die Automobilbranche und Unterhaltungselektronik

Im Unterschied zu einer konventionellen SIM-Karte wird eine eSIM während der Produktion in einem Gerät verlötet und muss während des gesamten Lebenszyklus aus der Ferne verwaltet werden. Dies vereinfacht Herstellung und Logistik, verhindert Manipulationen und macht das spätere Austauschen und Ersetzen von SIM-Karten überflüssig.

Der On-Demand-Connectivity-Dienst von Gemalto – eine Plattform für das Teilnehmermanagement – kann mehr als 50 Referenzen aufweisen und bietet Kunden ein GSMA-zertifiziertes Umfeld zur Unterstützung von Markteinführungen. 

„Diese neuen Zertifizierungen demonstrieren Gemaltos führende Rolle und das Engagement des Unternehmens, rigorose Sicherheitsmaßnahmen zu implementieren, die alle relevanten Aspekte abdecken – von den Kernbereichen bis an absolute Randbereiche heran. „Mobilfunkbetreiber und OEMs profitieren jetzt in vollem Umfang von den Möglichkeiten der eSIM- und Remote-SIM-Bereitstellungsdienste für industrielle, Unternehmens- und Verbraucheranwendungen“, sagt David Buhan, Senior Vice President Mobile and IoT Services bei Gemalto.

*https://www.gsma.com/aboutus/leadership/committees-and-groups/working-groups/fraud-security-group/security-accreditation-scheme 

]]>
Nachrichten & Aktuelles Fri, 04 Aug 2017 09:10:55 +0200
Qualys gibt Vereinbarung zum Kauf von Assets von Nevis Networks bekannt https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17728-qualys-gibt-vereinbarung-zum-kauf-von-assets-von-nevis-n/ Durch den Erwerb der Anteile steigert der Security-Spezialist sein Branchenwissen und... Qualys gibt den Abschluss eines Vertrags mit Nevis Networks zum Kauf von Assets bekannt. Demnach wird Qualys im Rahmen einer Bargeldtransaktion bestimmte Assets von Nevis Networks erwerben. Dieser Kauf soll maßgebliche Branchenkenntnisse im Bereich passiver Scan-Technologien liefern und Qualys den schnelleren Markteintritt in das Endpoint-Mitigation- und -Response-Geschäft ermöglichen.

Nevis hat in den letzten Jahren eine Reihe leistungsstarker Sicherheitsprodukte entwickelt, mit deren Hilfe ähnliche Schutzebenen, wie sie im Perimeter zu finden sind, auf alle Nutzer von Unternehmens-LANs ausgeweitet werden können. Diese Lösungen ermöglichen es Unternehmen, den Netzwerkzugriff mit verwalteten (Mitarbeitern) und nicht verwalteten Nutzern (Gästen, Auftragnehmern, Kunden) zu teilen und gleichzeitig die von den Aufsichtsbehörden geforderte Kontrolle zu liefern. Die hochgradig skalierbaren und kostengünstigen Lösungen lassen sich problemlos in die Richtlinieninfrastruktur des Netzwerks integrieren.

„Durch diese Transaktion wird die Technologie-Plattform und kommerzielle Präsenz von Qualys in Indien gestärkt, was für uns eine wichtige Marktchance darstellt“, sagt Philippe Courtot, Vorsitzender und CEO, Qualys, Inc. „Nevis Networks hat eine Reihe leistungsstarker und preiswerter Tools zur Analyse des Netzwerkverkehrs entwickelt. Diese helfen Unternehmen, auf Basis von Richtlinien, die Qualys von vornherein in die Qualys Cloud-Plattform integrieren wird, Netzwerkzugriffskontrolle auf Geschäftsanwendungen anzuwenden. Im Wesentlichen hilft uns dieser Kauf, unser passives Scan-Angebot zu verbessern und unseren Eintritt in den Mitigation- und Response-Markt zu beschleunigen.“ 

Über Nevis Networks Technologies 

Die Nevis EndPoint Security Solution ist eine Appliance-Lösung für automatisierte Endpunkt-Compliance, Nutzer-Authentifizierung, Guest User Provisioning und Management sowie umfassende Reporting-Funktionen. Die Lösung gewährleistet, dass alle Endpoints des Unternehmens den Organisationsrichtlinien entsprechen. Die Nevis Network Admission Control (NAC) kann über einen Agenten jeden Endpunkt einer Organisation scannen und einen betroffenen Endpunkt dann durch VLAN-Switching nachgeschalteter Switches isolieren und wiederherstellen. Nevis NAC ist am Authentifizierungsprozess der Nutzer beteiligt und ermöglicht den Zugriff auf das Netzwerk erst nach erfolgreicher Authentifizierung mithilfe von VLAN-Switching-Techniken. Nutzer können verschiedene Geräte, wie Desktops, Laptops und tragbare Geräte, wie Smartphones usw., nutzen, um auf das Netzwerk zuzugreifen.

Die identitätsgesteuerte LAN-Sicherheit von Nevis bietet umfassenden Schutz für Unternehmensnetzwerke und die Nutzer im Netzwerk. Der erste Schritt zur umfassenden LAN-Sicherheit ist die Verifizierung der Compliance des Nutzer-Endpunkts. Nevis überprüft den Endpunkt, um zu gewährleisten, dass Antivirus- und Windows-Patches aktuell sind. Nevis ist an der Nutzerauthentifizierung und Autorisierung für das Netzwerk beteiligt (wie Active Directory) und erstellt eine Abbildung von MAC-Adresse, IP-Adresse und Nutzer-Zugangsdaten. Die Technologie nutzt diese zur Durchsetzung der Netzwerkkontrolle bei Unternehmensanwendungen, die auf den Richtlinien beruhen, die dem Nutzer im Rahmen der Richtlinien-Infrastruktur zugewiesen wurden.

Qualys erwartet den Abschluss der Transaktion im dritten Quartal 2017. Nevis Networks hat seinen Sitz in Pune, Indien, und wird in das in Pune ansässige Unternehmen von Qualys integriert. Im Zuge des Asset-Kaufs wird das Engineering-Team von Nevis in das Team des Büros von Qualys in Pune eingegliedert. Qualys wird die Bestandskunden von Nevis Networks weiterhin unterstützen und deren Produkte und Lösungen in Indien verkaufen. 

Lesen Sie mehr über Vision und Technologien von Nevis Networks

]]>
Nachrichten & Aktuelles Fri, 04 Aug 2017 08:59:04 +0200
Verschlüsselung: Von der TLS-Überwachung zur Massenüberwachung? https://www.all-about-security.de/nc/security-artikel/zutrittskontrolle/single/artikel/17727-verschluesselung-von-der-tls-ueberwachung-zur-massenueberw/ IT-Sicherheitsexperte mahnt: Degradierung des Diffie-Hellman-Verfahrens zum Zwecke eines... Während des 99. IETF-Meetings in Prag kam ein Entwurf auf den Tisch, der als Erweiterung für TLS 1.3 eingesetzt werden soll und das Einsetzen des Verschlüsselungsprotokolls in Rechenzentren beschreibt. Konkret geht es um einen Entwurf zu Data Center use of Static Diffie-Hellman in TLS1.3 und wie das von TLS 1.3 geforderte Diffie-Hellman-Verfahren so degradiert werden kann, dass ein passives Netzwerk-Monitoring möglich ist. „Das ist eine reine Abhörmaßnahme, die da im Standard festgeschrieben werden würde. Mit ihrem sehr knappen Voting dagegen hat die IETF dem aber einen Riegel vorgeschoben. Denn das vorgeschlagene Prinzip würde das Krypto-Verfahren Perfect Forward Secrecy einfach aushebeln“, kritisiert Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de ).

Insbesondere Banken, aber auch andere Großkonzerne, sind per Gesetz dazu verpflichtet, den eigenen Netzwerkverkehr im eigenen Rechenzentrums-Netz zu überwachen. Das soll helfen, Manipulationen durch Mitarbeiter aufdecken zu können. Die mittels TLS 1.3 eingeführten Pläne würden es Betreibern riesiger Rechenzentren erschweren, auf Fehlersuche zu gehen und diese zu beheben. Die so verursachten längeren Zeiten für die Fehlersuche und -behebung würden einem DDOS-Angriff gleichen. Beispielsweise könnte der Traffic auf Firewall-Applikationen, Load-Balancern oder weiteren Fronting-Servern, die dem Serverendpunkt der TLS-Verbindung vorangehen, durch die Verschlüsselung bei einem Fehler unzureichend analysiert werden.

Dieses Problem soll nach dem Willen einiger Konferenz-Teilnehmer direkt auf der Ebene des TLS-Protokolls gelöst werden. Dafür wurde ein “statischer Diffie-Hellman-Schlüssel“ vorgeschlagen. Dieser wird auf dem TLS-oder auf einem zentralen Key-Management-Server erzeugt und dann im Rechenzentrum weiterverteilt. Anstelle des eigentlichen vom Server generierten Schlüssels wird ein „statischer Schlüssel“ gemeinsam mit zufälligen Nonce-Werten zum Aufbauen der Verbindungen verwendet. Diesen könnten Betreiber von Rechenzentren dafür verwenden, den internen Traffic zur weiterführenden Analyse beim Fehlersuchen zu entschlüsseln. Damit geht aber auch die wichtigste Eigenschaft von Diffie Hellman verloren: die Perfect Forward Secrecy.

„Die Umsetzung von Perfect Forward Secrecy ist aber eines der Hauptziele von TLS in der Version 1.3. Damit dieses Prinzip erhalten bleiben kann, müssen die Schlüssel je Sitzung neu generiert werden. Dies ist bei Verwendung statischer Schlüssel nicht konsequent möglich“, kritisiert Christian Heutger. Perfect Forward Secrecy verhindert durch Bildung eines Sitzungsschlüssels das nachträgliche Entschlüsseln. Selbst wenn der Serverschlüssel als Zertifikateteil kompromittiert wird, bleibt die Verschlüsselung geschützt.

]]>
Zutrittskontrolle Wed, 02 Aug 2017 13:16:55 +0200
ForeScout schließt Partnerschaft mit ServiceNow, um Asset Management, Compliance und die Reaktion auf Sicherheitsvorfälle zu optimieren https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/forescout/aktuelles/artikel/17726-forescout-schliesst-partnerschaft-mit-servicenow-um-asse/ Das ForeScout Extended Module für ServiceNow ermöglicht Sichtbarkeit und Konfigurationsüberwachung... ForeScout Technologies hat heute den Abschluss einer Partnerschaft mit ServiceNow, Inc. bekanntgegeben. Die neue Allianz soll den Kunden helfen, Übersicht über ihre IT-Bestände zu gewinnen, damit sie diese besser verwalten, Richtlinien leichter einhalten und schneller auf Sicherheitsvorfälle reagieren können. Als einen der ersten Schritte im Rahmen der Partnerschaft stellte ForeScout heute das ForeScout Extended Module für ServiceNow vor. Die neue Integration basiert auf ForeScouts agentenlosem Ansatz und ermöglicht es, sowohl physische als auch virtuelle Geräte in Echtzeit zu verwalten, gleich ob vor Ort, in Rechenzentren oder Cloud-Umgebungen. Zudem wird Kontext zwischen ForeScout und ServiceNow ausgetauscht. Die gemeinsame Lösung unterstützt ein Single-Source-of-Truth Repository, das die Asset-Compliance und die Fähigkeit zur Bewältigung von Sicherheitsvorfällen verbessert.  

„Angesichts der starken Zunahme von IoT- und anderen Geräten im Netzwerk wird es für die IT-Teams immer schwieriger, Überblick über alle verbundenen Geräte zu gewinnen, sie zu verwalten und die vorhandenen Daten zu sichten, um auf bösartiges Verhalten reagieren zu können“, erklärt Michael DeCesare, Präsident und CEO bei ForeScout. „Dank der Partnerschaft mit ServiceNow bieten wir Unternehmen jetzt eine gemeinsame Lösung, um ihre Assets zuverlässig zu überwachen und zu verwalten. So können sie auf Vorfälle oder Sicherheitsverletzungen ohne Zeitverluste reagieren und fundierte Sicherheitsentscheidungen mit verbesserter Compliance treffen.“

Die immense Zahl und Diversität vernetzter Geräte, hochgradig mobile Mitarbeiter und virtualisierte Hybrid-Cloud-Umgebungen stellen die Sicherheits- und IT-Teams heute vor eine ganze Reihe von Herausforderungen. Die physischen und virtuellen Geräte, die laufend im Netz auftauchen und wieder verschwinden, lassen sich nur schwer verfolgen und konfigurieren. Mit ihrer gemeinsamen Lösung ermöglichen ForeScout und ServiceNow, die Geräte sichtbar zu machen, sie auf Anzeichen für Sicherheitsereignisse zu überwachen und potenzielle Sicherheitsverletzungen schnell einzudämmen. Zudem wird die ServiceNow Configuration Management Database (CMDB) um kontextbezogene Informationen aus der ForeScout-Echtzeitsicht auf die Geräte bereichert.

„Wenn Unternehmen keinen vollständigen Überblick über alle Geräte haben, können sie mögliche Sicherheitsvorfälle viel schlechter erkennen“, erklärt Sean Convery, Vice President und Geschäftsführer der ServiceNow Security Business Unit. „Mit ForeScout bieten wir unseren gemeinsamen Kunden jetzt bessere Sichtbarkeit für IoT-Geräte. Dadurch können sie auf gravierende Bedrohungen gezielt und systematisch reagieren.“ 

Das neue ForeScout Extended Module für ServiceNow nutzt ForeScouts Funktionen für Echtzeit-Sichtbarkeit und -Transparenz und sendet aktuelle Informationen zu den Eigenschaften und Konfigurationen von Geräten, ihrer Klassifizierung und ihrem Netzwerkkontext an die ServiceNow Configuration Management Database (CMDB), einem Single-Source-of-Truth Asset-Repository. Dadurch erhalten Unternehmen einen aktuellen Überblick über ihre Netzwerkbestände und können die Bewegungen der Geräte verfolgen und Assets isolieren oder reparieren, wenn Sicherheitsprobleme auftreten. 

Highlights:

Dank der komplementären Funktionalitäten, die ForeScout und ServiceNow jetzt bieten, können die gemeinsamen Kunden:

  • Geräte vor Ort, im Rechenzentrum und in der Cloud identifizieren
  • Auf reichhaltige Informationen zu Geräteeigenschaften, Konfigurationen und Netzwerkkontext zugreifen, um fundiertere Entscheidungen treffen und die Reaktion auf Sicherheitsvorfälle verbessern zu können
  • Sicherheitsereignisse in ServiceNow Security Operations generieren, basierend auf ForeScouts Compliance-Monitoring und Sicherheitsrichtlinien
  • Geräte isolieren oder Problembehebungsmaßnahmen einleiten und dazu die Workflows nutzen, die ServiceNow Security Operations bietet
  • Stets eine zuverlässige und vertrauenswürdige CMDB nutzen

Whitepaper: ForeScout ITAM and CMDB 

Datenblatt: ForeScout Extended Module for ServiceNow

]]>
Nachrichten & Aktuelles ForeScout Fri, 28 Jul 2017 08:45:24 +0200
Autos und das Internet der Dinge sicherer machen https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17725-autos-und-das-internet-der-dinge-sicherer-machen/ IBM Security bietet neue IT-Sicherheitstests für die Automobilindustrie und IoT-Anwendungen + Tests... Zu den Hacker-Events Black Hat und DEF CON in Las Vegas stellt IBM Security neue Sicherheitstests vor. Diese werden ab sofort im Bereich Automobilsicherheit und Internet of Things (IoT) angeboten und von einem Forschungsteam der IBM X-Force Red bereitgestellt. Das Team prüft Backend-Prozesse, Apps und physische Hardware, die zur Steuerung des Zugangs und der Verwaltung von intelligenten Systemen dienen. Über das cloudbasierte Red Portal können in Zukunft Schwachstellen entdeckt und Testberichte erstellt werden. Außerdem werden Sicherheitsvorfälle auf Wunsch automatisch priorisiert und gesteuert.

„Im vergangenen Jahr haben wir gesehen, dass Sicherheitstests zu einer Schlüsselkomponente in den Sicherheitsprogrammen der Kunden geworden sind“, sagt Charles Henderson, Global Head von IBM X-Force Red. „Die Investitionen in Sicherheitslösungen, um Probleme in Produkten und Dienstleistungen frühzeitig zu erkennen, ist eine weit lohnenswertere und günstigere Alternative als von Cyberkriminellen ausgenutzte Schwachstellen nachträglich zu beheben. Dank unserer Investitionen in Experten, Tools und Fachwissen konnten wir im ersten Jahr von IBM X-Force Red die Angebote von Sicherheitstests mehr als verdreifachen. Dadurch haben wir den Angriff zur besten Verteidigung unserer Kunden gemacht.“

Red Portal: Basis für Sicherheitstests bei IBM

Im Februar 2017 startete IBM X-Force das Red Portal, eine cloudbasierte Kollaborations-Plattform für Kunden und Sicherheitsexperten, die eine umfassende Sicht auf Sicherheitstestprogramme präsentiert. Hier reihen sich auch die neuen Sicherheitstests für IoT und Connected Cars ein, die IBM in Las Vegas auf den Hacker-Events Black Hat und DEF CON vorgestellt hat. Auf dem Red Portal können Kunden in Echtzeit Testprojekt-Meilensteine einsehen, Schwachstellen über alle Vermögenswerte hinweg erkennen und sich Ergebnisberichte und den Gesamtstatus ihres verwalteten Testprogramms anzeigen lassen. Das Portal zentralisiert und strafft alle Absprachen mit X-Force Red und bietet die Möglichkeit, bei den kritischsten Fällen sofort mit der Sanierung zu beginnen. 

Neue Sicherheitstests für das Internet of Things

Die neuen IoT-Sicherheitstests werden auf Basis der Watson IoT Platform bereitgestellt. Die IBM Watson IoT Platform als cloudbasierter Service bietet maßgeschneiderte Sicherheitslösungen mit integrierten Sicherheitskontrollen. So kann beispielsweise auch Threat Intelligence für IoT genutzt werden. Die Sicherheitstests helfen Kunden, Risiken in der IoT-Landschaft zu visualisieren und Reaktionen auf IoT-Vorfälle automatisch zu priorisieren und zu steuern. 

Mehr als die Hälfte der Unternehmen testen heute ihre IoT-Anwendungen nur während der ersten Produktionsphase. Dadurch entsteht ein hohes Risiko von Schwachstellen in den bestehenden Systemen, die ausgenutzt werden könnten. Mit der Plattform von IBM können die IoT-Umgebungen der Kunden konfiguriert und verwaltet werden. IBM X-Force Red bietet eine zusätzliche Sicherheitsebene sowie Penetrationstests. Die Fähigkeiten und Erfahrungen des X-Force Red Teams sowie der in der Watson IoT Platform gesammelten Expertise bieten die entscheidenden Komponenten, um den Kunden den besten Start von der Gestaltung bis hin zum Go-Live ihrer IoT-Lösung zu ermöglichen.

Die Sicherheit des Connected Car ist eine globale Priorität

Angesichts der aktuellen und zukünftigen Herausforderungen bei der Sicherung von vernetzten Automobilen hat IBM X-Force Red auch eine neuer Sicherheitslösung für den Automotive-Bereich entwickelt. Sie soll Kunden helfen, Hardware, Netzwerke, Anwendungen und menschliche Interaktionen zu sichern. Dafür arbeiten die IBM Experten mit mehr als einem Dutzend Automobilherstellern und Automobilzulieferern zusammen, um Fachwissen zu sammeln und programmatische Durchdringungstests und Beratungsleistungen aufzubauen. Die daraus entwickelten Sicherheitstests für den Automotive-Bereich zielen darauf ab, die Best Practices der Branche zu protokollieren, zu teilen und Sicherheitsprotokolle zu standardisieren. 

Die IBM X-Force Red setzt für die Sicherheitstests einige aus der Forschung im letzten Jahr gewonnenen Erkenntnisse ein, von denen Verbraucher und die Automobilindustrie in Bezug auf Sicherheitsfehler in Connected Cars berichtet haben. Die Forscher schauten sich vor allem die Übertragung von Connected Cars auf neue Eigentümer an und prüften, ob sich dadurch Diebstahlgelegenheiten für Dritte ergaben. Denkbar sind hier zum Beispiel das Verriegeln und Entriegeln von Türen, Fernstart, Licht- und Hupensteuerung und die Fähigkeit, den aktuellen Besitzer durch eine App zu lokalisieren. Die Untersuchungen ergaben, dass selbst bei vier großen Automobilherstellern Sicherheitslücken bestanden.

Das kann daran liegen, dass in einem Connected Car oft eine drei- bis vierstellige Anzahl von miteinander verbundenen Komponenten und Systemen installiert wird. Sie alle haben eigene Schwachstellen und unterliegen eigenen Sicherheitskontrollen. Dass diese Komponenten kombiniert werden und mit mobilen Applikationen und externen Servern verbunden sind, steigert die Summe der potenziellen Schwachstellen des Fahrzeugs weiter. Deshalb führt IBM X-Force Red eine diskrete Sicherheitsprüfung der Komponenten sowie eine lösungsbasierte Sicherheitsprüfung für das Gesamtsystem des Fahrzeugs durch.

Watson IoT Platform und IBM X-Force Red

Ob in Haushaltsgeräten oder im Maschinenbau – das Internet of Things ist allgegenwärtig. Während die Erkenntnisse aus IoT-Daten dazu beitragen, dauerhafte Kundenbeziehungen und Umsatzsteigerungen zu erreichen sowie eine höhere Nachfrage und verkürzte Produktionszyklen zu schaffen, führen sie auch oft zu überhasteten oder gar nicht durchgeführten Sicherheitstests für diese neuen Produkte und Dienstleistungen.

Aufgrund der Sicherheitslücken aufkommender Technologien wie IoT und Connected Cars hat die IBM X-Force Red ihre Sicherheitstests angepasst. Programmatic und On-Demand-Sicherheitstests über den gesamten Lebenszyklus der Produkte sorgen nun dafür, dass Schwachstellen proaktiv gefunden werden können. Kunden der Watson IoT Platform können nun das Sicherheits-Know-how von IBM X-Force Red nutzen, um die gesamte Entwicklung und Implementierung ihrer Produkte zu unterstützen.

„Durch die zunehmende Vernetzung von Haushaltsgeräten und von Automobilen entstehen ungeahnte Sicherheitsrisiken“, sagt Christian Nern, Head of Security Software DACH bei IBM Deutschland. „Sowohl große Konzerne als auch kleine und mittelständische Betriebe müssen für diese Themen eine größere Sensibilität entwickeln und Sicherheitslücken rechtzeitig beheben. Durch die Watson IoT Platform können Unternehmen eine sicherere Grundlage für ihre Produkte schaffen. Zusätzlich können IBM Kunden auf die Sicherheitsexperten der X-Force Red aufsetzen, die ihnen mit ihrer Erfahrung und Expertise zur Seite stehen.“

Zugang zu den neuen IBM Sicherheitstests

https://www.ibm.com/security/services/penetration-testing/demo/ 

]]>
Nachrichten & Aktuelles Fri, 28 Jul 2017 08:38:14 +0200
Couchbase-Studie zeigt: Die Mehrzahl der Unternehmen befürchtet, binnen vier Jahren zu scheitern, wenn die digitale Transformation nicht gelingt https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17724-couchbase-studie-zeigt-die-mehrzahl-der-unternehmen-bef/ Der aktuellen Untersuchung zufolge laufen 80 Prozent der Unternehmen Gefahr, den Anschluss zu... Weitere Erkenntnisse der Studie:

• 89 Prozent der Unternehmen geben an, dass ihre Branche entweder bereits starke Turbulenzen aufgrund digitaler Technologien erlebt oder solche Umbrüche nur eine Frage der Zeit sind. Dabei wurden im vergangenen Jahr durchschnittlich 5,7 Mio. US-Dollar (4,9 Mio. Euro) für die digitale Transformation ausgegeben. 

• Nahezu alle Umfrageteilnehmer sind sich einig über das ultimative Ziel des digitalen Wandels – 95 Prozent zufolge soll dieser den Kunden und Endnutzern wirklich einzigartige Möglichkeiten eröffnen. 

• 80 Prozent der IT-Verantwortlichen stehen unter Druck, das Kundenerlebnis ihres Unternehmens durch digitale Innovationen laufend zu verbessern. Doch 90 Prozent der Digitalprojekte erfüllen die Erwartungen nicht und liefern nur schrittweise Verbesserungen. 

• Ein klares Hemmnis für Verbesserungen sind derzeit die Datenbanken – 84 Prozent der Befragten mussten bereits Digitalprojekte einstellen, verschieben oder im Umfang reduzieren, weil die begrenzten Möglichkeiten ihrer vorhandenen Datenbank sie dazu zwangen. 

Unsere Studie wirft ein Schlaglicht auf die harte Realität, dass Unternehmen zwar Millionenbeträge in Projekte zur digitalen Transformation pumpen, damit aber zumeist nur bescheidene Fortschritte erzielen, die ihre künftige Wettbewerbsfähigkeit letztlich nicht erhöhen werden“, erklärt Matt Cain, CEO von Couchbase. „87 Prozent der IT-Verantwortlichen befürchten Umsatzeinbußen für ihr Unternehmen, falls das Kundenerlebnis nicht verbessert wird. Deshalb müssen sie unbedingt auf Projekte setzen, die die Kundenbindung stärken. Eine entscheidende Erfolgsvoraussetzung ist dabei, eine geeignete Datenbanktechnologie zu wählen, die das gesamte Potenzial dynamischer Daten plattformübergreifend ausschöpfen und die persönlichen, hochflexiblen Möglichkeiten bieten kann, die Kunden heute erwarten.“

Faktoren, die die digitale Transformation beeinträchtigen 

90 Prozent der IT-Verantwortlichen gaben an, dass ihre Pläne, Daten für neue digitale Dienste zu nutzen, durch verschiedene Faktoren eingeschränkt werden. Dazu zählt neben Ressourcenmangel oder den Komplexitäten beim Einsatz mehrerer Technologien auch die Abhängigkeit von älterer Datenbanktechnologie.

Die Umfrageteilnehmer nannten eine Reihe spezifischer Probleme bei vorhandenen Datenbanken, die dazu führen können, dass digitale Projekte hinter den Erwartungen zurückbleiben:

• 86 Prozent beklagen mangelnde Flexibilität bei der Entwicklung neuer Anwendungen 

• 61 Prozent können Anwendungen nicht bedarfsgerecht skalieren 

• Unternehmensdatenbanken können Daten im Durchschnitt erst nach 28 Stunden nutzen, sodass keine Echtzeitdienste möglich sind 

• Nur 19 Prozent der Befragten glauben, dass ihre derzeitige Datenbank moderne Technologien wie Virtuelle Realität, Erweiterte Realität oder das Internet der Dinge unterstützen könnte 

„Historisch betrachtet haben Unternehmen bei der Nutzung von Daten zur Verbesserung der Nutzererfahrung keinen guten Job gemacht. Dass ist auch der Grund, warum einige große digitale Unternehmen Ausflüge in das traditionellere Brick & Mortar-Business gemacht haben“, sagt John A. De Geos, CTO bei SlamData Inc. „Wenn alle Unternehmen hier reifen wollen, brauchen sie die Zuversicht, Fähigkeit und Technologie, um die Kundenerfahrung zu beleben. Sie benötigen eine Revolution in der Art wie sie Daten nutzen, um die Kundenerfahrung zu verändern und einen Daten-getriebenen Ansatz zu fahren, der tatsächlich mit den Endkunden interagiert.“

Der Unterschied: Die Engagement Database

Ältere Datenbanken können weder mit der wachsenden Nachfrage der Kunden nach Echtzeitdiensten und -inhalten Schritt halten noch mit zukunftsweisenden Technologien wie virtueller und erweiterter Realität oder dem Internet der Dinge. Die Engagement Database, Teil der Open-Source-Datenplattform von Couchbase, ist eine neue Art von Datenbank, mit der Unternehmen laufend Kundenerlebnisse schaffen und weiterentwickeln können. Im Gegensatz zu herkömmlichen Datenbanken greift die Engagement Database auf dynamische Daten zu und erschließt deren gesamtes Potenzial. Damit passt sie ideal in eine Zeit, in der es für Unternehmen zu einem entscheidenden Wettbewerbsfaktor geworden ist, Daten strategisch zu nutzen, um ihren Kunden außergewöhnliche Erfahrungen bieten zu können. Weitere Informationen unter https://info.couchbase.com/2017_CIO_Survey_Report_LP.html  

Über die Studie

Couchbase hatte bei dem unabhängigen Marktforschungsinstitut Vanson Bourne eine Online-Umfrage unter 450 Führungskräften in Auftrag gegeben, die in ihrem Unternehmen Verantwortung für die digitale Transformation tragen, darunter CIOs, CTOs und Chief Digital Officer. Einbezogen waren dabei Unternehmen mit mindestens 1.000 Mitarbeitern in den USA, Großbritannien, Frankreich und Deutschland. Die Untersuchung fand im Mai und Juni 2017 statt. 

]]>
Nachrichten & Aktuelles Fri, 28 Jul 2017 08:21:14 +0200
Die Hälfte der deutschen Verbraucher hat kein Problem mit Backdoors in Verschlüsselungen, wenn Terrorbekämpfung der Grund ist https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17723-die-haelfte-der-deutschen-verbraucher-hat-kein-problem-mi/ Venafi stellt die Ergebnisse einer Umfrage zum Thema staatlicher Zugriffsrechte auf persönliche... Die Zahl 70,9 Prozent lässt keine Zweifel zu – Die eindeutige Mehrheit der Deutschen lehnt es ab, wenn Regierungen Bürger dazu zwingen, ihre persönlichen Informationen preiszugeben (beispielsweise die Inhalte eines Mobiltelefons, nicht-öffentliche Social-Media-Aktivitäten, E-Mails, Online-Shopping-Gewohnheiten oder andere Verhaltensweisen). Nur knapp ein Fünftel (19,1 Prozent) würde einer derartigen Erlaubnis zustimmen. Obwohl der Großteil persönliche Daten nicht in den Händen der Regierung wissen möchte, ist das Vertrauen hinsichtlich der Absicherung von Informationen, über die der Staat bereits verfügt, relativ hoch. Wenn es um Passnummer, Führungszeugnis, Steuer- und Finanzinformationen, Krankenakten, Geburtsdatum, Führerschein etc. geht, vertrauen fast zwei Drittel (60,1 Prozent) der Befragten der Bundesregierung hinsichtlich der sicheren Speicherung von personenbezogenen Daten. Allerdings halten auch 39,9 Prozent ihre persönlichen Informationen für nicht ausreichend genug geschützt.

Auf die Frage „Welche der folgenden Regierungen befindet sich Ihrer Meinung nach am ehesten in der Lage, auf persönliche Bürgerinformationen zuzugreifen?“ wählte über die Hälfte (53,3 Prozent) der Umfrageteilnehmer die USA auf Platz eins. Darauf folgt Deutschland mit 39,4 Prozent und weit abgeschlagen Großbritannien mit 1,1 Prozent. 56,8 Prozent hegen den Verdacht, die Bundesregierung nutze die Möglichkeit, auf persönliche Daten zuzugreifen, aus. 43,2 Prozent sind der gegenteiligen Auffassung.

Unternehmen sollten nicht zur Herausgabe von Informationen gezwungen werden können

Zwei der von Venafi gestellten Fragen hängen eng zusammen. Zuerst erkundigten sich die Meinungsforscher, ob Privatunternehmen gezwungen werden sollten, private Daten ohne die Zustimmung der Eigentümer herauszugeben. 65 Prozent sprachen sich dagegen aus, 23,5 Prozent befürworteten ein solches Vorgehen und 11,5 konnten die Frage nicht eindeutig beantworten. Die zweite Frage, die sich mit dem Bereich Unternehmen befasst lautet: „Glauben Sie, die Regierung sollte das Recht besitzen, IT-Unternehmen dazu zwingen, ihr einen Zugang zu verschlüsselten Daten zu gewähren?“. Hier stimmten ebenfalls knapp zwei Drittel (63,1 Prozent) der Befragten mit nein. 23,5 Prozent antworteten mit ja.

Kevin Bocek, Vice President Security Strategy & Threat Intelligence bei Venafi sieht hier klare Parallelen zur Apple vs. FBI-Debatte und eine gefährliche Entwicklung in Deutschland: „Wir haben in den USA angesichts dieser Debatte gesehen, wie weit Regierungen gehen, um an Informationen zu gelangen. Damals handelte es sich um ein digitales Zertifikat, dass das FBI von Apple wollte, um Apple-Software generell zu signieren, um dieses grundlegende System des Vertrauens im Internet aufzubrechen. Wenn Software-Unternehmen dem Druck nachgeben, dann freuen sich nicht nur die ausführenden Organe der Staaten (Polizei, Geheimdienste, etc.), sondern auch Cyberkriminelle. In Deutschland hat die Regierung mit dem „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“[1] einen anderen Weg gewählt. Maschinenidentitäten werden nun dafür genutzt, um Personen in Deutschland aufzuspüren. Die Macht der maschinellen Identitäten – nicht nur um im „Guten“ für Privatsphäre zu sorgen – ist gewaltig. Das aktuelle Interesse der deutschen Öffentlichkeit an Privatsphäre und dem Verhindern von Hintertüren, zeigt, dass das Innenministerium diese Macht missbraucht. Diese Entwicklung führt dazu, dass das Vertrauen der Verbraucher in das Internet und allen damit zusammenhängenden neuen Geschäftsmodellen gefährdet wird.“

Mehr Schutz durch Entschlüsselung?

Gut die Hälfte (51,8 Prozent) der Umfrageteilnehmer glaubt, ein Gesetz, das es der Regierung erlaubt, auf verschlüsselte persönliche Informationen zuzugreifen, schütze sie besser vor Terroranschlägen. Lediglich 30,9 Prozent widersprechen dieser Aussage.

Keinen Nutzen bezüglich der Terrorabwehr erwarten 30,9 Prozent. 50,1 Prozent rechnen damit, das dieses Zugriffsrecht Cyber-Kriminellen einen Vorteil verschaffen könnte, 27,6 Prozent gehen nicht davon aus. Deutlich mehr als die Hälfte der Befragten (57,7 %) ist der Ansicht, dass die Bundesregierung aktuell nicht in der Lage ist, sie vor Cyberkriminalität zu schützen.

Für mehr Informationen besuchen Sie www.venafi.com 

[1] http://dipbt.bundestag.de/extrakt/ba/WP18/788/78842.html  aufgerufen am 24.7.2017

]]>
Nachrichten & Aktuelles Fri, 28 Jul 2017 08:09:03 +0200
OilRig-Hacker setzen jetzt auf ISMDoor-Trojaner https://www.all-about-security.de/nc/security-artikel/threats-and-co/artikel/17722-oilrig-hacker-setzen-jetzt-auf-ismdoor-trojaner/ Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat neue Aktivitäten von Cyberkriminellen... Erste Untersuchung des jüngsten Angriffs ergaben erneut Hinweise auf die OilRig-Kampagne mit ihrem vorhandenen Tool-Set. Weitere Analysen zeigen nicht nur neue Varianten des zur Malware-Verbreitung eingesetzten Dokuments, das die Forscher „Clayslide“ benannten, sondern auch anderen darin eingebettete Schadcode. In der Vergangenheit nutzte die OilRig-Kampagne mehrfach Clayslide-Dokumente, um einen Trojaner zu transportieren, den die Forscher „Helminth“ benannten. Im aktuellen Fall ging es stattdessen um eine Variante des Information-Stealer-Trojaners ISMDoor. Dieser wies jedoch signifikante Änderungen auf und wird nun unter eigenem Namen als „ISMAgent“ verfolgt.

Vor wenigen Tagen schickten die OilRig-Hacker E-Mails an fünf verschiedene Empfänger innerhalb eines Finanzinstituts. Alle versendeten E-Mails waren identisch hinsichtlich Betreffzeile, Anhang-Dateiname und angehängter Excel-Datei. Palo Alto Networks die Excel-Datei untersucht. Ein genauerer Blick zeigte zwar Ähnlichkeiten zu früheren Clayslide-Dokumenten, aber auch verschiedene völlig neu gestaltete Details. Wie bei den vorhergehenden Samples wurden ein Arbeitsblatt mit dem Titel „Incompatible“ angezeigt, als gefälschte Kompatibilitäts-Warnmeldung. Die Nachricht ist ein Versuch, den Benutzer dazu zu bringen, auf die Schaltfläche „Enable Content“ zu klicken. Erfolgt dies, wird daraufhin ein in der Excel-Datei eingebettetes bösartiges Makro ausgeführt. Ein neues Arbeitsblatt wird angezeigt, mit einer gefälschten Rechnung für Citrix-Produkte als Inhalt. Diese gefälschte Rechnung fungiert als Köderdokument, um den Verdacht des Benutzers zu minimieren, dass irgendwelche schädlichen Aktivitäten aufgetreten sind. Während das Makro zur Ablenkung die Rechnung anzeigt, führt es – vom Empfänger unbemerkt – schädlichen Code im Hintergrund aus, um den Schadcode zu installieren.

Die Akteure der OilRig-Kampagne versuchen, ihr Tool-Set iterativ einzusetzen. Sie haben dabei im Laufe der Zeit ein gewisses Maß an Ähnlichkeiten beibehalten. Mit der Einbindung von ISMAgent in das OilRig-Tool-Set wurde eine stärkere Beziehung zwischen den verschiedenen dokumentierten deutlich. 

Weitere Informationen finden Sie unter www.paloaltonetworks.com

]]>
Threats & Co Fri, 28 Jul 2017 07:16:11 +0200
Deutsche Normungs-Roadmap IT Sicherheit https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17721-deutsche-normungs-roadmap-it-sicherheit/ Mit der dritten aktualisierten Ausgabe der Roadmap IT-Sicherheit stellt die Koordinierungsstelle IT... Neu in der dritten Ausgabe sind den Schwerpunktgebieten vorangestellte allgemeine Entwicklungen, die übergreifend von Bedeutung sind. Statt der Auflistung relevanter Sicherheitsstandards im Anhang wird nun auf die im Internet verfügbare Auflistung verwiesen, die von DIN und DKE gepflegt wird

Zum Download (67 Seiten)

https://www.dke.de/resource/blob/778258/44e2d336c2702f285ba669ee5cd47b10/deutsche-normungs-roadmap-it-sicherheit-version-3-0-data.pdf 

]]>
Management White Paper Thu, 27 Jul 2017 12:31:53 +0200
Tenable mit Rekordergebnissen in Q2 und der ersten Jahreshälfte 2017 https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/tenable-network-security/aktuelles/artikel/17719-tenable-mit-rekordergebnissen-in-q2-und-der-ersten-jahre/ Über 50 Prozent Umsatzwachstum dank starker, weltweiter Nachfrage + Tenable Network Security... Zu den Highlights des zweiten Quartals und der ersten Jahreshälfte 2017 gehören:

  • Über 50 Prozent jährliches Wachstum, sowohl im Q2 als auch in der ersten Jahreshälfte, dank einer starken Performance in Europa, Nordamerika und Asia-Pacific.
  • Fünf aufeinanderfolgende Quartale mit mindestens 45 Prozent Wachstum.
  • Mehr als 1.000 neue Kunden aus unterschiedlichsten Branchen im zweiten Quartal. Tenable hat inzwischen insgesamt über 23.000 Kunden in mehr als 150 Ländern.
  • Tenable gewann mehr als 100 Großunternehmen als Kunden, darunter FedEx, VMware und Westlake Chemical. 50 Prozent der Fortune 500-Unternehmen, die Top 10 der größten US-Technologieunternehmen sowie acht der zehn größten US-Finanzinstitutionen sind Tenable-Kunden.
  • Erfolgreicher Wechsel von einem Modell unbefristeter Lizenzen, hin zu einem flexiblen Lizenzmodell, was den Anteil wiederkehrenden Wachstums in zwei Jahren auf 90 Prozent in der ersten Jahreshälfte steigerte.
  • Neues Hauptquartier in Dublin und damit das 20. Büro weltweit.
  • Tenable.io wurde veröffentlicht, die erste Cyber Exposure-Plattform, die Unternehmen Einblicke in jedes Asset, auf jeder Computing-Plattform und auch in proprietäre Applikationen für Schwachstellenmanagement, Container Security sowie Web Application Scanning bietet.
  • Die dynamische Nessus Community wurde erweitert und erreicht 1,6 Mio. Downloads weltweit.

„Tenable spielt nicht einfach nur mit. Wir schreiben vielmehr die Regeln neu, mit denen Unternehmen die Cyber Exposure ihrer modernen Angriffsoberfläche verwalten und prüfen können“, sagt Amit Yoran, CEO, Tenable. „Schon mit Nessus haben wir den Markt für Schwachstellenmanagement definiert. Mit unserer umfassenden Erfahrung bei Assets, Netzwerken und Schwachstellen, gestalten wir ihn nun wieder neu. Tenable liefert CISOs und dem Management Einblick, Fokus und Verständnis der Cybersecurity, um Probleme zu vermeiden und die Cyber Exposure als Faktor in jede strategische Entscheidung einzubeziehen."

Unternehmen jeder Größe setzen gerade die Digitalen Transformation um: Das Ergebnis sind zahlreiche neue Plattformen, Geräte und Ansätze rund um Cloud, SaaS, Mobil, IoT und DevOps. Laut der neuesten Studie von Business Insider Intelligence werden bis 2019 neun Milliarden IoT-Geräte in den Wireless Netzwerken von Unternehmen eingegliedert – dies sind mehr als die gesamten Smartphone- und Tabletmärkte zusammen. Die moderne Angriffsoberfläche für Cyberattacken sind nicht mehr länger nur Laptops oder Server, sondern stellen inzwischen einen komplexen Mix aus vernetzten Geräten, Services und Computing-Plattformen dar, die sich kontinuierlich ausdehnen und sich gegenseitig in die Quere kommen. Bisherige Tools und Einheitskonzepte waren nur dafür ausgelegt, Schwachstellen in traditionellen IT-Netzwerken zu scannen. Darum können Unternehmen ihre Cyber Exposure nur eingeschränkt nachvollziehen und nicht exakt darstellen.

Tenable zeigt als Koryphäe der Cyber Exposure den Unternehmen neue Wege auf, dieses Problem zu adressieren. Dabei geht es darum, wie Anwender die modernen Oberflächenangriffe verwalten und prüfen, um so Cyberrisiken zu verstehen und zu reduzieren. Basierend auf dem für traditionelle IT-Umgebungen ausgelegten Schwachstellenmanagement, bewegt Cyber Exposure die Cybersicherheit weg von der bloßen Identifizierung von Bugs und Fehlkonfigurationen hin zu Echtzeit-Einblicken in jedes Asset in jeder beliebigen Umgebung. Außerdem liefert Cyber Exposure kontinuierlichen Einblick, wo Assets in welchem Umfang sicher oder gefärdet sind und behebt diese priorisiert – je nachdem, wie kritisch die Unternehmensdaten sind und wie schwerwiegend das Exposure ist. Die Anpassung von Cyber Exposure befähigt Unternehmen, rohe Sicherheitsdaten in ein Metrik-getriebenes Programm zu übertragen, in dem alle Unternehmensentscheidungen und Unternehmensrisiken gleichermaßen in die Cyber Exposure einbezogen werden. 

In H1 veröffentlichte Tenable innerhalb kürzester Zeit eine Vielzahl an innovativen Lösungen. Diese umfassen Tenable.io, die branchenweit erste Cyber Exposure-Plattform, die Einblick in jedes Asset auf jeder beliebigen Computing-Plattform gewährt; Tenable.io Container Security  ermöglicht durch Einblick in die Sicherheit von Container Images – sobald sie erstellt werden – und garantiert so nahtlose DevOps-Prozesse. Der Tenable.io Scanner für Web Applikationen schützt und scannt automatisiert Web Applikationen, um Schwachstellen zu erkennen. Das Unternehmen setzt die Veröffentlichung innovativer Lösungen fort, um ihre Visionen von Cyber Exposure umzusetzen.

Mehr Informationen auf: https://www.tenable.com/cyber-exposure

]]>
Nachrichten & Aktuelles Tenable Tue, 25 Jul 2017 12:31:31 +0200
Qualys CloudView: Neue Lösung gewährleistet Sichtbarkeit und kontinuierlichen Schutz für die Public-Cloud-Infrastruktur https://www.all-about-security.de/nc/security-artikel/plattformsicherheit/single/artikel/17718-qualys-cloudview-neue-loesung-gewaehrleistet-sichtbarkeit/ Über das neue App-Framework in der Qualys Cloud-Plattform können Unternehmen ihre... Qualys stellte heute CloudView vor, ein neues App-Framework innnerhalb der Qualys Cloud-Plattform, das Cloud-Infrastrukturen laufend und umfassend schützt. Die IT-Sicherheits- und DevSecOps-Teams erhalten mit CloudView eine einheitliche, verbindliche Sicht auf Sicherheit und Compliance über sämtliche Cloud-Infrastrukturen hinweg.

CloudView verschafft den Kunden einen Überblick über die Topologie und den Sicherheits- und Compliance-Status ihrer gesamten Public-Cloud-Infrastruktur. Dabei deckt die Lösung die großen Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud ab. Die beiden ersten Anwendungen im Rahmen von CloudView sind Cloud Inventory (CI) und Cloud Security Assessment (CSA).

Qualys zeigt CloudView mit den beiden neuen Anwendungen bei der Black Hat USA 2017

Laut Ciscos Global Cloud Index-Prognose[1] werden bis 2020 Cloud-Workloads 92 Prozent des gesamten Datenverkehrs in Rechenzentren ausmachen. Um sich für diesen Wandel zu rüsten, müssen die IT-Sicherheitsteams ihre Verfahren an den Umfang und die Elastizität von Cloud-Workloads anpassen. Zudem müssen sie ihren Anteil an der Sicherheitsverantwortung definieren, die sie mit ihren Public-Cloud-Anbietern teilen. Hierbei unterstützt sie die Lösung Qualys CloudView, indem sie die einzigartige Übersicht über Sicherheit und Compliance, die Qualys schon bisher für Cloud-Hosts bot, auf die gesamte Cloud-Infrastruktur ausdehnt.

Mit CloudView erweitert Qualys seinen bisherigen Blick auf hostbezogene Schwachstellen, Compliance und Bedrohungsinformationen um ein Echtzeit-Inventar für alle Cloud-Dienste. Diese Kombination erleichtert den Sicherheitsteams die Überwachung und Bewertung der DevOps-Pipeline sowie die direkte Berichterstattung. So können sie gewährleisten, dass Cloud-Workloads über die gesamte Continuous Integration/Continuous Development (CI/CD) Toolchain hinweg richtig konfiguriert werden – im Einklang mit dem Identitäts- und Zugangsmanagement und den Richtlinien und Vorschriften für Netzwerk- und Administratorzugriffe. Die Anfälligkeit für Angriffe verringert sich dadurch enorm.

„Der zunehmende Einsatz von Cloud Computing macht neue, anpassungsfähige Sicherheitslösungen erforderlich, die schnell voranschreitende Initiativen zur digitalen Transformation unterstützen“, erklärt Philippe Courtot, Chairman und CEO von Qualys Inc. „Unsere neue Lösung CloudView und die zugehörigen Anwendungen gewährleisten beispiellose Sichtbarkeit und kontinuierlichen Schutz für alle Cloud-Workloads. Sie bieten den Kunden umfassende Cloud-Sicherheit in einer einzigen, integrierten Plattform und ermöglichen ihnen, ihre Kosten drastisch zu senken.“

Der erste Release von Qualys CloudView umfasst zwei Anwendungen:

Die Anwendung Cloud Inventory (CI) bietet:

Umfassende Bestandsaufnahme: Qualys CloudView integriert sich mit den nativen APIs von Public-Cloud-Anbietern, um kontinuierlich Ressourcen zu ermitteln und die Sicherheitsüberwachung auf Branchenstandards und Best Practices für Cloud-Architekturen zu automatisieren. 

Sichtbarkeit für alle Clouds: Die Anwendung bietet Topologie-Sichten auf die Infrastruktur und die Beziehungen zwischen allen Cloud-Ressourcen. Die Benutzer können sich die Architektur über verschiedene Dimensionen hinweg detailliert anzeigen lassen – wie etwa Standort, Netzwerk-Layout oder Sicherheitsgruppe –, um Problemen schnell auf den Grund zu gehen. 

Die Anwendung Cloud Security Assessment (CSA) beinhaltet:

Kontinuierliches Sicherheitsmonitoring: Qualys CloudView automatisiert das Sicherheitsmonitoring hinsichtlich Branchenstandards, um Bedrohungen zu ermitteln, die durch falsche Konfigurationen, unnötige Zugriffsberechtigungen und nicht standardgemäße Implementierungen entstehen. Zudem zeigt es Schritte zur Bewältigung der Risiken auf. Darüber hinaus automatisiert CloudView die Evaluierung für Regelwerke wie PCI-DSS, HIPAA, NIST und ISO 27001. Die Benutzer können prüfen, ob diese Regelwerke eingehalten werden und Berichte zur Vorlage bei ihren Auditoren erzeugen. 

Wertvolle Erkenntnisse und Priorisierung von Bedrohungen: Die umfassenden Informationen, die CloudView zum Bestand an Cloud-Ressourcen liefert, ermöglichen ebenso einfache wie ergiebige Suchanfragen zu den Konfigurationen und komplexen Beziehungen von Assets. Auf diese Weise lässt sich die grundlegende Ursache eines Vorfalls rasch ermitteln. Um Entwicklungen in schnell veränderlichen, elastischen Cloud-Umgebungen verfolgbar und verständlich zu machen, bietet CloudView sowohl eine Echtzeit- als auch eine historische Übersicht über die Bestände. In den Überblick über den Sicherheitsstatus fließen Daten aus der bestehenden Qualys Cloud-Plattform zu Schwachstellen und Bedrohungen bei den Cloud-Hosts und zu ihrem Compliance-Status ein. Damit steht den Benutzern der nötige Kontext zur Verfügung, um Bedrohungen wirksam zu priorisieren und zu beheben. 

Automatisierte Absicherung der gesamten DevOps-Pipeline: Qualys CloudView unterstützt REST APIs zur nahtlosen Integration mit der CI/CD-Toolchain, um die DevSecOps-Teams mit einer aktuellen Einschätzung potenzieller Risiken und Anfälligkeiten zu versorgen. CloudView kann mit Lösungen für Governance, Risk & Compliance und Security Information & Event Management sowie mit Ticketing-Dienstleistern verbunden werden, damit die IT-Sicherheitsteams die Verarbeitung von Bedrohungen und die Problembehebung leichter automatisieren können. 

Verfügbarkeit:

Qualys CloudView wird ab dem 4. Quartal 2017 als Beta-Version für AWS verfügbar sein. Künftige Versionen werden auch andere große Cloud-Anbieter wie Azure und Google Cloud unterstützen. Die beiden ersten Anwendungen sind Cloud Inventory (CI) und Cloud Security Assessment (CSA).

Für weitere Informationen besuchen Sie bitte www.qualys.com

[1] https://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1804748 

]]>
Plattformen Tue, 25 Jul 2017 12:25:43 +0200
ZombieWPress - Analyse eines Wordpress-Botnetzes https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/zerobs/single/artikel/17717-zombiewpress-analyse-eines-wordpress-botnetzes/ Was haben miserabel gewartete Wordpress-Instanzen bei Google, Microsoft, Cloudflare und beim DFN... Angriffe via Wordpress, im speziellen via XMLRPC sind nicht neu, sondern seit 2014 bekannt. Es mag das eine oder andere Unternehmen geben, für die Angriffe auf der Applikationsebene in 2017 noch Neuland sind, aber spätestens seit Slowloris ist den Sicherheitsexperten, die sich mit dem Thema DoS und DDoS beschäftigen klar, dass nicht nur Volumenangriffe allein ein Problem darstellen. 

Jede Wordpress-Webseite, die XMLRPC aktiviert hat, kann für DDoS-Angriffe auf andere Webserver mißbraucht werden. HINT: Die XML-RPC Schnittstelle ist per default seit WordPress 3.5 aktiviert, YaY! Das Problem ist den Wordpress-Entwicklern bekannt. Da die XMLRPC aber nicht als Bug, sondern als Feature gesehen wird, bleibt diese Schnittstelle aktiviert.

Das Phänomen eines Wordpress-Botnet wurde als erstes im Jahre 2014 von Sucuri beobachtet und in einer umfangreichen Analyse dokumentiert. Da es sich bei diesem Angriff um eine Reflection-Attacke handelt, bleibt der Angreifer für das Ziel unbekannt; eine Loganalyse der mißbrauchten Wordpress-Instanzen kann aber Hinwesie auf den Command&Control-Server liefern.

Botnet- und Angriffsanalyse

Das Botnet bestand aus knapp 500 Wordpress-Bots, der Angriff dauerte von 19:04 und ging bis 19:35, wobei der Angriff ab 19.25 erfolgreich war. Die Stärke und Art des Angriffs ist gemäß DDoS Resiliency Score DRS auf Stufe 3; standardmäßig abgesicherten Webseiten wäre dieser Angriff nicht gefährlich geworden. 

In der ersten Phase, von 19:04 bis 19:20, erreichten durchschnittliche 1000 Requests pro Minute das Ziel. In dieser Phase war der Webshop noch erreichbar, an dem Angriff waren 75 Wordpress-Bots beteiligt. Ab 19:21 Uhr setze der Angreifer dann bis zu 500 Bots ein, sodass zu Peakzeit (19:26) 200 Requests/Sekunde auf den Server einprasselten, die letztendlich zu einer Überlast führten; der Webshop war down. 

gesamter Angriffsverlauf, Requests pro Minute

Angriff im Peak, Requests pro Sekunde

Attack-Pattern, single Bot, Requests pro Sekunde

Verteilung nach Ländern

Nach Ländern aufgeteilt führen die USA eindeutig mit knapp 70%, gefolgt von Deutschland, Japan, weiteren europäischen Ländern, China und Russland. 

Verteilung nach Rechenzentren/Providern

Interessanter ist da schon die Analyse nach Rechenzentren/Providern, in denen die mißbrauchten Wordpress-Instanzen zu finden sind. Neben den zu erwartenden Cloudprovidern wie z.B. Digital Ocean und Amazon, finden sich dort auch überraschenderweise Cloudflare, Google und Microsoft. 

Deutsche Hosting-Provider wie Hetzner, Strato, Hosteurope oder Contabo sind überraschenderweise eher im unteren Mittelfeld zu finden. 

Wordpress-Versionen

Da wir kompletten Zugriff auf die Logfiles bekamen, die während des Angriffs generiert wurden, konnten wir auch auswerten, welche Versionen beteiligt waren.

Die älteste Version war 2.8.4, veröffentlicht im August 2009, die jüngste Version 4.8 aus dem Juni 2017.

Worpdress hat im Oktober 2013 mit der Version 3.7 automatische Updates eingeführt, dem normalen Verstand folgend sollten also keine veralteten Versionen jenseits der 3.7 zu finden sein. 

Einschätzung

Der Angriff war mit 30 Minuten Dauer und max 200 Requests pro Sekunde weder besonders lang noch besonders stark und lag mit 500 beteiligten Bots am unteren Ende dessen, was aktuell in Zeiten von IoT-Botnetzen üblich ist. Nach DRS-Score lag ein Angriff der Stufe 3 vor. 

Das Ziel war ein normaler dedizierter Server mit einer Shopware-Installation einer Firma für industrielle Glasklebestoffe mit ausschließlich gewerblichen Kunden, die im Normalfall einige Tausend Kunden am Tag besuchen; eine Anwendung aus dem Mittelstand also, wie sie vielfach zu finden ist. Trotz ausreichender Server-Ressourcen hat die Anwendung dem Impakt von mehr als 200 Bots nicht standgehalten; da der Vorfall ausserhalb der Geschäftszeiten stattfand und nach 30 Minuten endete, war der Impakt gering; ein Erpresserschreiben lag bis Redaktionsschluß nicht vor.

Diese Arten von Angriffen sind für 20-50 Euro/h in Hackerforen per Bitcoin oder Kreditkarten zu kaufen.

Server und Infrastruktur mit Layer 7 DDoS-Schutz hätte diesem Angriff und einem vielfachen davon problemlos widerstanden.

Abwehr

Jede Standard-WAF sollte einen Angriff eines Wordpress-Botnetzes abwehren können; die einzelnen Bots verraten sich über einen User-Agent, für den man einfache Signaturen schreiben und die WAF damit füttern kann. 

Mehr hier:

https://zero.bs/zombiewpress-analyse-eines-wordpress-botnetzes.html  

]]>
Plattformen zeroBS Fachartikel Tue, 25 Jul 2017 11:31:30 +0200
Studie: Neue Angriffsmuster, mehr Angriffsfläche und eine gute Nachricht https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17716-studie-neue-angriffsmuster-mehr-angriffsflaeche-und-ein/ Destruction-of-Service-Angriffe (DeOS) zielen auf reine Zerstörung, dateilose Malware ist schwer zu... Laut aktuellem Cisco Midyear Cybersecurity Report (MCR) entwickeln sich Cyber-Bedrohungen rasant weiter und vergrößern dabei ihre Angriffsreichweite. Jüngste Vorfälle wie WannaCry und Nyetya zeigen die rasche Verbreitung und breite Wirkung von Angriffen, die wie traditionelle Ransomware aussehen, aber viel zerstörerischer sind. Die Angreifer zielen zunehmend auf die Zerstörung von Backups und Sicherheitsnetzen von Unternehmen, was eine Wiederherstellung von Daten nach einem Angriff verhindern soll. Schlüsselbranchen wickeln betriebliche Abläufe zunehmend online ab und vergrößern so die potenzielle Angriffsfläche.

Bedrohungslandschaft im Wandel

Aktuellen Sicherheitspraktiken steht eine sich wandelnde Form von Angriffen gegenüber. So verzeichnet Cisco einen markanten Rückgang von Exploit-Kits, während bewährte Angriffe via E-Mail wieder aufleben, um Malware zu verteilen und Umsatz zu generieren. Spam-Mails werden durch Malware flankiert, die neue Angriffs-, Verschleierungs- und Umgehungstechniken entwickeln. Cisco hat innerhalb des Reports folgende Schwerpunkte analysiert: 

Destruction-of-Service-Angriffe (DeOS): Diese können Backups und Sicherheitsnetze von Unternehmen zerstören, die zur Wiederherstellung von Systemen und Daten nach einem Angriff erforderlich sind. Erfolgreiche Angriffe dieser Art sind sehr schädlich, da Unternehmen keine Möglichkeit der Wiederherstellung bleibt.

„Dateilose Malware“: Cisco hat zunehmend „dateilose Malware“ entdeckt, die nicht auf der Festplatte, sondern nur im flüchtigen Speicher vorliegt. Sie lässt sich schwerer erkennen oder untersuchen, da ein Neustart die Malware zunächst löscht. Zudem werden anonymisierte und dezentrale Infrastrukturen genutzt, wie z.B. ein Tor-Proxy-Dienst, um Kommando- und Kontrolltätigkeiten zu verschleiern.

Ransomware-as-a-Service: Durch die Weiterentwicklungen der Ransomware können Kriminelle Angriffe unabhängig von ihren Kenntnissen einfacher ausführen. So hat Ransomware 2016 einen Schaden von über 1 Milliarde Dollar verursacht. 

Business Email Compromise (BEC-Angriffe): Diese Art der Social-Engineering-Angriffe verleitet Mitarbeiter dazu, über eine offiziell aussehende E-Mail Überweisungen an die Angreifer auszuführen. Zwischen Oktober 2013 und Dezember 2016 wurden laut Internet Crime Complaint Center über BEC-Angriffe insgesamt 5,3 Milliarden US-Dollar gestohlen.

Spyware und Adware: Cisco hat 300 Unternehmen über einen Zeitraum von vier Monaten untersucht und festgestellt, dass jedes fünfte von ihnen (20 Prozent) durch Malware aus drei vorherrschenden Spyware-Familien infiziert wurde. In einer Unternehmensumgebung kann Spyware Benutzer- und Firmeninformationen stehlen, die Sicherheit von Geräten schwächen und Malware-Infektionen erhöhen.

Angesichts solcher Entwicklungen ist die Wirksamkeit von Sicherheitspraktiken entscheidend. Die Zeit bis zur Erkennung (Time to Detection, TTD), also dem Zeitfenster zwischen einem Angriff und dem Erkennen einer Bedrohung, ist dabei eine entscheidende Kenngröße. Sie zu verkürzen bedeutet, den Aktionsraum der Angreifer zu begrenzen und Schäden zu minimieren. Cisco bietet Organisationen diesen Zeitvorteil, denn das Unternehmen konnte in den letzten sechs Monaten seine Zeit bis zur Erkennung von Angriffen im Mittel auf etwa 3,5 Stunden verringern. 

Branchenweite Herausforderung – Schutz der IoT-Anwendungen

Das Internet der Dinge bietet Cyberkriminellen aufgrund aktueller Sicherheitslücken breite Angriffsflächen. Werden sie nicht geschlossen, öffnen sie die Tür für folgenschwere Angriffe. Je mehr IT und Betriebstechnik im IoT zusammenwachsen, desto mehr Probleme verursachen mangelnde Transparenz und hohe Komplexität. Aktuelle Botnet-Aktivitäten bestätigen diese Entwicklungen. Unternehmen aus jeder Branche sind aufgrund der Entwicklungen gefordert, den wachsenden Cyber-Security-Anforderungen gerecht zu werden.

Im Rahmen seiner Security Capabilities Benchmark Studie befragte Cisco nahezu 3.000 Sicherheitsverantwortliche in 13 Ländern – darunter auch Deutschland – und stellte fest, dass die Sicherheitsteams in allen Branchen von der Menge der Angriffe fast überwältigt werden und viele in ihren Schutzbemühungen eigentlich nur noch reagieren können.

Übergeordnete Erkenntnisse:

• Nur etwa zwei Drittel der befragten Unternehmen gehen Sicherheitswarnungen nach. In bestimmten Branchen (wie Gesundheit und Transport) liegt diese Zahl mit 50 Prozent sogar noch darunter.

• Selbst reaktionsschnelle Branchen wie Finanzen und Gesundheitswesen beheben weniger als 50 Prozent der Angriffe, auch wenn sie wissen, dass sie echt sind.

• Sicherheitswarnungen sind dennoch ein Weckruf. Über 90 Prozent aller befragten Unternehmen aller Branchen führen zumindest leichte Sicherheitsverbesserungen durch, nachdem sie angegriffen wurden. 

Erkenntnisse nach Branche:

• Öffentlicher Sektor – Von den untersuchten Bedrohungen werden 32 Prozent als echte Bedrohungen identifiziert, aber nur 47 Prozent davon auch behoben.

• Einzelhandel – 32 Prozent geben an, im vergangenen Jahr aufgrund von Angriffen Umsatz, etwa ein Viertel ihrer Kunden oder Geschäftspotenzial verloren zu haben.

• Fertigung – 40 Prozent geben an, über keine formale Sicherheitsstrategie zu verfügen oder standardisierte Normen für die IT-Sicherheit, wie ISO 27001 oder NIST 800-53, einzuhalten.

• Versorger – Sicherheitsverantwortliche geben an, dass gezielte Angriffe (42%) und Advanced Persistent Threats (APTs) (40%) die größten Sicherheitsrisiken für ihr Unternehmen darstellen.

• Gesundheitswesen – 37 Prozent sehen gezielte Angriffe als hohes Sicherheitsrisiko für ihre Organisationen.

Handlungsempfehlungen von Cisco

Um die skizzierten, komplexeren Angriffe zu bekämpfen, ist eine proaktive Haltung der Unternehmen gefordert. Cisco empfiehlt wie folgt vorzugehen: 

• Infrastruktur und Anwendungen sollten stets auf dem neuesten Stand sein, damit Angreifer öffentlich bekannte Schwachstellen nicht ausnutzen können.

• Ein integrierter Verteidigungsansatz reduziert die Komplexität; isolierte Investitionen sollten vermieden werden.

• Die Führungsebene sollte frühzeitig einbezogen werden, um umfassendes Verständnis der Risiken, Vorteile und Budgeteinschränkungen zu gewährleisten.

• Eindeutige Kennzahlen sollten definiert werden, um Sicherheitspraktiken zu validieren und zu verbessern.

• Sicherheitsschulungen im Unternehmen sollten nicht übergreifend durchgeführt, sondern auf die jeweilige Funktion abgestimmt werden.

• Verteidigung und aktive Reaktion müssen ausbalanciert werden; Sicherheitskontrollen oder Prozesse sollten nicht „einmal eingerichtet und vergessen“ werden.

Den vollständigen Cisco 2017 Midyear Security Report gibt es hier.

Anmerkung der Redaktion:

90-seitiger Bericht und gar nicht mal so schlecht mit Infos bestückt.

]]>
Management Studien Mon, 24 Jul 2017 12:13:43 +0200
Spionage, Sabotage, Datendiebstahl https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17715-spionage-sabotage-datendiebstahl/ Deutscher Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro + Jedes zweite... Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 1.069 Geschäftsführer und Sicherheits-verantwortliche quer durch alle Branchen repräsentativ befragt wurden. Verglichen mit der ersten Studie vor zwei Jahren ist der Anteil der Betroffenen nur leicht von 51 auf 53 Prozent gestiegen, der Schaden ist zugleich um rund 8 Prozent von 51 auf 55 Milliarden Euro gewachsen. „Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie heute in Berlin.

Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen. Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung. Wichtig ist aber auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie den Behörden untereinander - wie in der „Initiative Wirtschaftsschutz“, betonte Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV).

In jedem sechsten Unternehmen (17 Prozent) wurden in den vergangenen zwei Jahren demnach sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) fielen dabei häufig in die Hände der Angreifer. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in 11 Prozent Patente oder Informationen aus Forschung und Entwicklung, in 10 Prozent Mitarbeiterdaten.

Die Angreifer haben es aber nicht immer ausschließlich oder direkt auf digitale Daten abgesehen. Häufigstes Delikt ist der Diebstahl von IT- oder Telekommunikationsgeräten wie Notebooks oder Smartphones. Davon waren 30 Prozent der Unternehmen in den vergangenen zwei Jahren betroffen, wobei in der Regel unklar ist, ob die Täter es auf die Geräte an sich oder auf die darauf gespeicherten Daten abgesehen haben. Rund jedes fünfte Unternehmen berichtet von Social Engineering (Analoges Social Engineering 20 Prozent, Digitales Social Engineering 18 Prozent). Dabei werden Mitarbeiter manipuliert, um an sensible Informationen zu kommen, mit denen dann in einem weiteren Schritt zum Beispiel Schadsoftware auf die Firmenrechner gebracht werden kann. Jedes achte Unternehmen (12 Prozent) ist Opfer von digitaler Sabotage geworden, durch die zum Beispiel die Produktion gestört wurde. 8 Prozent berichten vom Ausspähen der digitalen Kommunikation wie E-Mails, 7 Prozent vom Abhören von Telefonaten oder Besprechungen. Klassische analoge Angriffe kommen demgegenüber eher selten vor. So wurden 17 Prozent der Unternehmen Opfer eines klassischen Diebstahls von Dokumenten wie Papieren, Mustern oder Bauteilen, in lediglich 4 Prozent der Unternehmen wurden Produktionssysteme oder Betriebsaufläufe auf analogem Weg sabotiert und lahmgelegt.

Täter sind besonders häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. 41 Prozent der betroffenen Unternehmen machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich, 21 Prozent Hobby-Hacker und 7 Prozent Personen aus der organisierten Kriminalität. Ausländische Nachrichtendienste wurden in 3 Prozent der Unternehmen als Täter identifiziert. 7 Prozent der Unternehmen geben an, dass die Täter unbekannt waren. Jedes dritte von Angriffen betroffene Unternehmen (37 Prozent) berichtet, dass die Täter aus Deutschland kamen. Der Großteil der Angriffe aber kommt aus dem Ausland: 23 Prozent der Unternehmen berichten von Tätern aus Osteuropa, 20 Prozent aus China und 18 Prozent aus Russland. Erst danach folgen die USA (15 Prozent), die Summe aller westeuropäischen Länder (12 Prozent) und Japan (7 Prozent).

Nicht einmal jedes dritte betroffene Unternehmen (31 Prozent) schaltet staatliche Stellen ein. Dr. Maaßen: „Es gilt der Grundsatz „Need to share“, wenn wir gemeinsam die deutsche Volkswirtschaft widerstandsfähiger gegen Wirtschaftsspionage machen wollen. Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln.“

Eine interne Untersuchung haben 46 Prozent der Unternehmen eingeleitet, externe Spezialisten wurden von 34 Prozent hinzugezogen. Überhaupt keine Untersuchung wurde nur von 3 Prozent der Betroffenen veranlasst, vor zwei Jahren waren es noch 10 Prozent. Erster Ansprechpartner bei den Behörden für die Unternehmen ist die Polizei, an die sich 84 Prozent jener Unternehmen wenden, die überhaupt staatliche Stellen einschalten. Die Staatsanwaltschaft informieren 57 Prozent. An die Datenschutz-Aufsicht oder an das Bundesamt für Sicherheit in der Informationstechnik wenden sich jeweils 15 Prozent, an den Verfassungsschutz 3 Prozent. 

Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden. Das geben 41 Prozent der Unternehmen an, die auf das Einschalten staatlicher Stellen verzichtet haben. Jeweils gut jedes dritte Unternehmen gibt an, man habe auf eine entsprechende Information verzichtet, weil man Angst vor negativen Konsequenzen habe (35 Prozent), weil die Täter ohnehin nicht gefasst würden (34 Prozent) oder weil der Aufwand zu hoch sei (29 Prozent).

Viele Unternehmen haben bereits Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. So setzen alle Unternehmen einen technischen Basisschutz wie etwa Passwörter auf allen Geräten, Firewalls und Virenscanner ein und fertigen regelmäßig Backups ihrer Daten an. Anspruchsvollere Maßnahmen sind dagegen selten, etwa Intrusion Detection Systeme (20 Prozent) oder Penetrationstests (17 Prozent). Auch im Bereich der organisatorischen Sicherheit sind Standardmaßnahmen weit verbreitet, etwa die Festlegung von Zugriffsrechten für bestimmte Informationen (99 Prozent), die eindeutige Kennzeichnung von Betriebsgeheimnissen (85 Prozent) oder die Festlegung von Zutrittsrechten in bestimmte Unternehmensbereichen (81 Prozent). Dagegen setzt nur eine Minderheit auf Sicherheits-Zertifizierungen (43 Prozent) oder regelmäßige Sicherheits-Audits durch externe Spezialisten (24 Prozent). Großen Nachholbedarf gibt es im Bereich der personellen Sicherheit. Nur 6 von 10 Unternehmen (58 Prozent) führen Background-Checks bei Bewerbern für sensible Positionen durch, nur jedes zweite hat einen Sicherheitsverantwortlichen benannt (54 Prozent) oder schult Mitarbeiter zu Sicherheitsthemen (53 Prozent). „Wenn man bedenkt, dass Angriffe sehr oft durch aktuelle oder frühere Mitarbeiter erfolgen, so verwundert die Nachlässigkeit bei der Mitarbeiterschulung. Hier ließe sich die Sicherheit in den Unternehmen mit vergleichsweise geringem Aufwand und in kurzer Zeit deutlich verbessern“, so Berg.

Bitkom und Bundesverfassungsschutz geben Unternehmen, die Ihre Sicherheit verbessern wollen, folgende Tipps:

Sicherheit zur Chefsache machen

  • Sensibilisierung der Geschäftsführung
  • Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene
  • Einrichtung eines Wirtschaftsschutz-Beauftragten oder eines Informations-Sicherheitsbeauftragten

Technische IT-Sicherheit steigern

  • Basisschutz ergänzt um Verschlüsselung und spezielle Angriffserkennung
  • Security Information Event Management: Überwachung vernetzter Geräte und Erkennung von Anomalien
  • Security by Design bei allen Schnittstellen und vernetzten Geräten
  • Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten

Organisatorische Sicherheit erhöhen

  • Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben
  • Praxisorientierung aller Sicherheitsregularien
  • Zugriffsrechte auf Daten sowie physische Zugangsrechte für sensible Bereiche
  • Besuchermanagement: Umgang mit Gästen und Delegationen
  • Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen
  • Etablierung einer „clean-desk-policy“: Welche Daten sind am Arbeitsplatz wirklich nötig?

Personelle Sicherheit verbessern

  • Etablierung einer Sicherheitskultur
  • Arbeitsplatzspezifische Schulungen/Sensibilisierungen
  • Informationssicherheit auf Geschäftsreisen im Ausland beachten
  • IT-Experten mit Produktions-Know-how 

Sicherheitszertifizierungen anstreben.

Hier finden Sie die Präsentation zum Download: Wirtschaftsschutz in der digitalen Welt . 

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat. Dabei wurden 1.069 Unternehmen mit 10 oder mehr Mitarbeitern befragt. Die Interviews wurden mit Führungskräften durchgeführt, die in ihrem Unternehmen für das Thema Wirtschaftsschutz verantwortlich sind. Dazu zählen Geschäftsführer sowie Führungskräfte aus den Bereichen Unternehmenssicherheit, IT-Sicherheit, Risikomanagement und Finanzen. Die Umfrage ist repräsentativ für die Gesamtwirtschaft.

]]>
Nachrichten & Aktuelles White Paper Fri, 21 Jul 2017 12:21:06 +0200
IT-Security im Gesundheitswesen im Fokus https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17714-it-security-im-gesundheitswesen-im-fokus/ Palo Alto Networks erweitert Next-Generation-Sicherheitsplattform um wichtige Funktionen gegen... Der Healthcare-Sektor ist derzeit bevorzugtes Ziel einiger der modernsten Cyberangriffe und gefährlicher Malware-Familien, die derzeit aktiv sind. Die jüngsten ´Ransomware-Attacken sind dafür die bekanntesten Belege. Im Rahmen der jüngsten Einführung seiner Sicherheitsplattform PAN-OS 8.0, stellt Palo Alto Networks neue Funktionen und Erweiterungen vor, die erfolgreiche Cyberattacken im Gesundheitswesen unterbinden.

Neuer Schutz vor Identitätsdiebstahl: Anmeldeinformationen bieten einen typischen Einstiegspunkt für Angreifer, um auf ein Netzwerk im Gesundheitswesen zuzugreifen. Phishing-Angriffe lassen sich jetzt erkennen und der Administrator kann den Benutzern erlauben oder verbieten, ihre Anmeldeinformationen auf bestimmten Websites einzugeben, je nach URL-Kategorie. In PAN-OS 8.0 gibt es insgesamt vier neue Funktionen für den Schutz von Anmeldedaten.

Funktion 1: Administratoren können verhindern, dass Benutzer Anmeldeinformationen auf Malware- und Phishing-Websites eingeben.

Funktion 2: Administratoren können verhindern, dass Benutzer Anmeldeinformationen auf unbekannten Websites eingeben. Angenommen, ein Nutzer wird durch eine überzeugende Phishing-E-Mail dazu ermutigt, sich bei einer Phishing-Website einzuloggen, die soeben erstellt wurde, um die Klinik ins Visier zu nehmen: Diese Website würde als „unbekannt“ in der URL-Filterfunktion der Next-Generation-Firewall kategorisiert werden. Der neue Diebstahlschutz würde erkennen, dass ein interner Benutzer versucht, klinikeigene Anmeldeinformationen auf einer solchen, als „unbekannt“ eingestuften Website einzugeben und dies unterbinden.

Funktion 3: Administratoren können Benutzer explizit dazu ermächtigen, Anmeldeinformationen für bestimmte externe Standorte einzugeben.

Funktion 4: Die Phishing-Beurteilung klassifiziert nun Phishing-Sites, also Websites, die als legitime Websites verkleidet sind, um sensible Daten zu stehlen, getrennt von schädlichen Websites. Die neu entdeckten Phishing-Sites, werden zudem alle fünf Minuten in die PAN-DB-URL-Kategorie für Phishing eingefügt.

Malware-Analyse-Cloud macht Malware-Ausweichmanöver schwieriger: Die Angreifer haben bislang Anti-Analyse-Techniken perfektioniert, um die Erkennung zu vermeiden. Die Malware-Analysecloud läuft jetzt auf einem völlig neuen benutzerdefinierten Hypervisor, um die meisten Ausweichtaktiken zu analysieren und zu verhindern. Dies macht das bislang lukrative Geschäft mit Anti-Analyse-Techniken finanziell unattraktiv.

Malware-Analyse-Cloud generiert nun automatisch C2-Signaturen: Mit der neuen Version ist nicht nur die Erkennung und Blockierung von C2-URLs, sondern auch von C2-Signaturen automatisierbar. Dies wurde zuvor von einem Team von Palo Alto Networks manuell durchgeführt, auf der Grundlage von Malware, die WildFire im Laufe von ein paar Tagen beobachtet hat. Jetzt ermöglicht eine Malware-Analysecloud automatisch die Erstellung von Tausenden von Signaturen. So ist es jetzt wahrscheinlicher, dass eine C2-URL in einer Phishing-E-Mail automatisch gesperrt wird.

Neue VM-Modelle bieten eine größere Flexibilität bei der Implementierung:  Die virtualisierte Next-Generation-Firewall wurde optimiert und erweitert. Damit steht ein App-ID-fähiger Durchsatz, der von 200 Mbit/s bis 20 Gbit/s, verteilt über fünf Modelle reicht, zur Verfügung. Dies sind branchenführende Werte. 

„Viele Organisationen im Gesundheitswesen stehen unter einem immensen Kostendruck. Zugleich müssen sämtliche Systeme maximale Zuverlässigkeit und Performance bieten, denn schließlich steht die Gesundheit der Patienten auf dem Spiel“, erklärt Josip Benkovic von Palo Alto Networks „Mit unserem umfassend erneuerten Lösungsportfolio bieten wir nun zukunftssichere Sicherheitstechnologie, die den Anforderungen im Healthcare-Bereich noch besser gerecht wird.“

Weitere Informationen finden Sie unter www.paloaltonetworks.com 

]]>
Nachrichten & Aktuelles Fri, 21 Jul 2017 09:08:36 +0200
Gemeinsam für eine sichere digitale Zukunft: Die IFASEC GmbH wird Mitglied des Kompetenznetzwerks TeleTrusT https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17713-gemeinsam-fuer-eine-sichere-digitale-zukunft-die-ifasec/ Die IFASEC GmbH, der deutsche IT-Security Soft- und Hardware Hersteller und Anbieter der... Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Für den Dortmunder IT-Sicherheitshersteller ist die Aufnahme in den Verband eine große Ehre. Schließlich stellt TeleTrusT durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa dar.

Im Zuge der Mitgliedschaft erhält die IFASEC GmbH auch das TeleTrusT-Vertrauenszeichen "IT Security made in Germany.“ Derzeit wird 165 deutschen IT-Sicherheitsunternehmen die Verwendung des Siegels gestattet. Dazu sagt der Vorsitzende, Prof. Norbert Pohlmann: „Unser Siegel vereint und organisiert die deutsche Kompetenz im Bereich der IT-Sicherheitswirtschaft. Ziel ist die Förderung der Zusammenarbeit, sowie die Abstimmung der gemeinsamen Außendarstellung. Weiterhin wird durch das Siegel die deutsche Industriekompetenz in den wichtigen Exportmärkten betont. Bei aller Konkurrenz arbeiten unsere Mitglieder gemeinsam daran, den Wirtschaftsstandort Deutschland zu schützen. Mit seiner Kompetenz im Segment der Netzwerk-Infrastruktursicherheit stellt IFASEC eine große Bereicherung für unseren Verband dar.“

Udo Kalinna, Geschäftsführer der IFASEC GmbH sieht sich durch die Aufnahme in das Kompentenznetzwerk und das Siegel bestätigt. Schließlich hat IFASEC es sich zum Ziel gesetzt, mit der Plattform SCUDOS als führender deutscher Anbieter Unternehmen jeder Größe mit Technologien und Beratungsleistungen zur Seite zu stehen und diese fit für die digitale Zukunft zu machen.

Für ihn liegen die Vorteile eines deutschen IT-Sicherheitsanbieters für Unternehmen klar auf der Hand: „Wir als deutsches Unternehmen bieten unseren Kunden einen klaren Standortvorteil. Bei Fragen zu unserer Plattform SCUDOS sind wir der direkte Ansprechpartner vor Ort und kennen den deutschen Markt genau. So sind die expliziten Sicherheitsanforderungen deutscher Unternehmen präzise in die Entwicklung von SCUDOS eingeflossen. Ohne großen Aufwand garantiert unsere Lösung interne Compliance und führt Nachweise bezüglich regulatorischer Vorgaben.“

Über IFASEC GmbH

Die IFASEC GmbH ist der deutsche Security Software Hersteller mit Sitz in Dortmund und bietet Unternehmen aller Größen höchsten Schutz vor Bedrohungen von innen und außen. In Zusammenarbeit mit weltweit führenden Institutionen wie der Fraunhofer Gesellschaft oder den wichtigsten institutionellen Partnern ist IFASEC in der Cyber Security Innovationsführer im Bereich Infrastructure Security Network Monitoring. Weitere Informationen finden Sie im Internet unter www.ifasec.de 

]]>
Nachrichten & Aktuelles Thu, 20 Jul 2017 16:24:33 +0200
Verbotene Früchte https://www.all-about-security.de/nc/security-artikel/zutrittskontrolle/single/artikel/17712-verbotene-fruechte/ Im Artikel "Die Reise durchs Firmennetz" wurde die Übernahme einer Windows Netzwerkumgebung mit... Erlangt ein Angreifer physischen Zugriff auf einen Rechner oder hat sich eingeschränkte Nutzerrechte auf diesem verschafft, ist typischerweise die Erweiterung seiner Nutzerrechte eines seiner nächsten Ziele, um erweiterten Zugriff auf sensible Daten oder weitere Systeme zu erhalten. Als Rechteausweitung bezeichnet man die Ausnutzung von Schwachstellen, um einem Benutzer Zugriff auf Daten oder Programme zu verschaffen, die für ihn eigentlich als nicht zugänglich definiert sind. Typischerweise können solche Schwachstellen in Form von Designfehlern, als nicht vorgesehene Anwendungsfälle von Software, enthalten sein. Weitere Möglichkeiten bieten gezielte Angriffe auf Softwarekomponenten, um schadhaften Programmcode in eine unsichere Komponente einzuschleusen. 

In der Regel wird dabei zwischen vertikaler und horizontaler Rechteausweitung unterschieden. Bei vertikaler Rechteausweitung handelt es sich um die Erhöhung der Zugriffsrechte von einem Benutzer auf die eines höher privilegierten Nutzers, wie z.B. vom einfachen Benutzer zum Administrator. Bei sog. horizontaler Rechteausweitung werden Benutzer der gleichen Stufe angegriffen. Darüber hinaus sind auch die möglichen Angriffsvektoren zu differenzieren. Ein Angreifer mit physischem Zugriff auf den betreffenden Rechner kann auch Schwachstellen über die vorhandene Peripherie ausnutzen, die einem netzwerkseitigen Angreifer nicht zugänglich sind. 

In diesem Artikel wollen wir im Folgenden drei typische Szenarien für Rechteerweiterungen betrachten. 

  • Physischer Zugriff auf einen Rechner ohne Kenntnis von Zugangsdaten
  • Horizontale Rechteerweiterung zur Übernahme der Identität eines anderen Nutzers
  • Vertikale Rechteweiterung als eingeschränkter Nutzer zu Erlangung von administrativen Berechtigungen

Szenario 1 - Physischer Zugriff auf einen Rechner ohne Kenntnis von Zugangsdaten

Wir haben physischen Zugriff auf einen Rechner unter Windows 7 und gehen davon aus, dass uns als Angreifer keine Zugangsdaten für das System bekannt sind. 

Wie im vorherigen Artikel spielt auch hier das Werkzeug Mimikatz[1] eine zentrale Rolle. Mit Mimikatz können wir Passwort-Hashes aus der Secure Accounts Manager(SAM) Datenbank auslesen, die ein Teil der Windows-Registrierungsdatenbank (Registry) ist. Dieses liegt für unseren Angriff vorbereitet auf einem USB-Stick. Weiter legen wir in das vorliegende Gerät eine Windows (7) Installations CD ein (ein USB-Stick funktioniert auch) und booten über diese.

Nach der Sprachauswahl bekommen wir oben dargestelltes Menu, hier wechseln wir zu den Reparaturoptionen. Nun werden die vorhandenen Festplatten nach Betriebssystemen gescannt. Wurde ein Betriebssystem - wie im nächsten Bild - gefunden und gab es keine Meldung über den Einsatz von Verschlüsselung, dann sind diverse Angriffe denkbar, von denen wir zwei nachstehend demonstrieren wollen.

 

Wir wählen das erkannte Betriebssystem und bestätigen mit Weiter. In der nächsten Maske wählen wir die Eingabeaufforderung:

 

Die Eingabeaufforderung wird mit Administratorrechten gestartet. Somit sind wir in der Lage, an beliebigen Punkten im System Anwendungsdateien, Services und Anwendungserweiterungsdateien (.dlls) frei zu modifizieren und so Schadcode einzufügen. Was wir letztendlich für eine Rechteausweitung nutzen können. Wir gehen hier zuerst den Weg, Passwortdaten aus dem SAM auszulesen.

In der Eingabeaufforderung geben wir regedit ein, um den Registrierungseditor zu öffnen. Mit dem Registrierungseditor kann die Registry bearbeitet werden. Die Registry stellt eine Datenbank in einer Windowsumgebung bereit, in der die meisten Programme und Windows selbst Konfigurationen hinterlegen. Hier ist auch SAM enthalten.

 

Die dargestellte Registry enthält nur die Daten der Windows Recovery CD. Um Werte aus der Registry des Systems zu laden, wählen wir HKEY_Local_Maschine an und wählen über das Menu Datei -> Struktur laden.

  

 

 

Mit dem geöffneten Explorer-Fenster navigieren wir in das Verzeichnis der Systempartition. In unserem Fall Laufwerk D. Wir laden aus dem Unterverzeichnis D:/windows/system32/config/ die Dateien SAM und SYSTEM und geben ihnen die Bezeichnungen SAMBkup und SYSTEMBkup.

 

Sind die Einträge erstellt, wechseln wir wieder auf die Eingabeaufforderung. Wir navigieren in das Verzeichnis von mimikatz. Da mimikatz nicht von alleine unsere Backup-Einträge auswerten kann, holen wir uns die Einträge in dem gewünschten Format. Mit den Befehlen:

reg save HKLM\SYSTEMBkup SYSTEMBkup.hiv 

reg save HKLM\SAMBkup SAMBkup.hiv 

laden zwei .hiv Dateien im mimikatz Verzeichnis. Anschließend starten wir mimikatz.

 

Wir übergeben die zwei Dateien an den Befehl lsadump::sam als Parameter und führen diesen mit Enter aus.

 

Im Ergebnis erhalten wir die NTLM-Hashes. Die hier abgebildeten Hashes zeigen, dass die Nutzer user und AdminLokal das gleiche Passwort verwenden. Geben wir diesen Hash im Internet auf einer Seite mit vorberechneten NTLM-Hashes (Rainbow-Tables) ein, erhalten wir sogar das Klartextpasswort, da es sich um ein besonders schwaches Passwort handelt.

Wäre der Hash nicht zu entschlüsseln könnte er immer noch für Pass-the-Hash Angriffe (siehe „Reise durchs Netz“) oder Brute-Force-Angriffe genutzt werden.

Für eine lokale Rechteausweitung steht uns eine noch einfachere Option zur Verfügung. Bevor sich ein Nutzer am System anmeldet, sind zwei Programme aktiv, die wir für eine Rechteausweitung verwenden können, Utilman.exe und sethc.exe. Bei Utilman.exe handelt es sich um Einstellungen für die erleichterte Bedienung des Geräts. Bei sethc.exe handelt es sich um eine Funktion, die Teil der erleichterten Bedienung ist. Die sogenannte Einrastfunktion. Für uns ist nur von Bedeutung, dass beide Programme über eine Tastenkombination im Anmeldebildschirm gestartet werden können. Utilman wird über Windowstaste + U aufgerufen. Die Einrastfunktion über fünfmaliges Drücken der Shifttaste. 

Hierfür laden wir die Struktur Software aus dem oben genannten Unterverzeichnis in unsere aktive Registry nach und vergeben wieder einen Namen.

Wir öffnen die angelegte Struktur und gehen in den Pfad \Microsoft\Windows NT\CurrentVersion\Image File Execution Option

Die Image File Execution Option ist für Softwareentwickler gedacht, um einen Debugger an den Programmstart anzuhängen. Ein Debugger ist ein Werkzeug zum Diagnostizieren und Auffinden von Fehlern in Computersystemen. Wir erstellen mit der rechten Maustaste einen neuen Eintrag für das Programm utilman.exe.

 

Im rechten Feld erstellen wir mit der rechten Maustasten einen neuen Eintrag für eine Zeichenfolge.

 

Wir benennen diesen als Debugger, machen einen Doppelklick auf den Eintrag und geben den Wert cmd.exe an.

 

Schließen wir an dieser Stelle die Fenster und führen einen Neustart durch, können wir am Anmeldebildschirm mit der Tastenkombination Windows+U eine Command Prompt als Administrator öffnen.

Wir wollen an dieser Stelle aber noch einen weiteren Weg vorstellen. Wir gehen in das Command Prompt Fenster und navigieren in das System32 Verzeichnis des Betriebssystems. Hier überschreiben wir den Inhalt der Datei sethc.exe mit dem Inhalt der cmd.exe

 

Starten wir nun das System neu und drücken in der Anmeldemaske fünfmal Shift oder Windows +U erhalten wir folgendes Ergebnis.

 

Die Eingabeaufforderung ist mit Administrationsrechten gestartet. Somit können wir das Passwort des AdminLokal mit einem beliebigen Passwort überschreiben. In unserem Beispiel mit dem Passwort „1“.

 

Nach einem Neustart können wir das Passwort benutzen und sind als Administrator AdminLokal eingeloggt.

 

Damit haben wir erfolgreich eine Rechteausweitung durchgeführt. 

Warum war dies möglich? Ein Angreifer war in der Lage vor dem Start des Betriebssystems ein alternatives System zu laden. Das alternative System konnte zudem auf die Daten des Betriebssystems zugreifen und diese manipulieren, da keine Verschlüsselung im Einsatz war. Eine Festplattenverschlüsselung beispielsweise mit der anfangs erwähnten Microsoft Lösung Bitlocker – idealerweise mit einer Pre-Boot-Authentisierung - bietet hier Schutz. Diese verschlüsselt nicht nur die Daten der Festplatte, sondern bietet kontrollierten Zugriff auf diese Daten. Mit einem Startup-Key kann ein verschlüsseltes Betriebssystem hochgefahren und verwendet werden, jedoch ist ein Zugriff über ein alternatives Betriebssystem auf diese Daten nicht möglich [4]. 

Szenario 2 - Horizontale Rechteerweiterung zur Übernahme der Identität eines anderen Nutzers

Auch durch eine horizontale Rechteausweitung können interessante Rechte oder Zugriffe auf sensible Daten erlangt werden. Teilen sich mehrere Nutzer ein System, können Daten schnell an Speicherorten abgelegt werden, zu denen mehrere Nutzer Zugriff haben. Häufig finden unsere Auditoren in technischen Audits Skriptdateien, die Prozesse in einem System automatisieren und hierfür auf Authentisierungsverfahren zurückgreifen müssen. Die Authentisierungsdaten befinden sich dann im Klartext in diesen Dateien, die häufig unsichere Dateiberechtigungen aufweisen. Es lohnt sich in solchen Fällen also nach gängigen Konfigurationsdateien oder Textdateien zu suchen, die Passwörter enthalten können. In dem folgenden Beispiel haben wir die Konfigurationsdatei des Nutzers Mustermann im Temp-Ordner gefunden. 

 

Szenario 3- Vertikale Rechteweiterung als eingeschränkter Nutzer zu Erlangung von administrativen Berechtigungen

In diesem Szenario wollen wir die Rechte von einem Benutzerkonto zu einem Administrationskonto, mit der Technik DLL Hijacking, erweitern. 

Windows Systeme nutzen eine Suchreihenfolge, um benötigte DLLs (Dynamic-Link Libraries) zu finden und anschließend in ein Programm zu laden. Die Reihenfolge sieht, je nach aktiven Schutzmaßnahmen, unterschiedlich aus, hat aber als ersten Eintrag das Verzeichnis aus dem die Anwendung geladen wird. Andere Verzeichnisse aus denen die DLLs gesucht werden können sind das Windows-Verzeichnis oder die Verzeichnisse aus den Umgebungsvariablen. Für diesen Angriff suchen wir Anwendungen, die mit erhöhten Rechten ausgeführt werden und gleichzeitig versuchen DLLs im System zu finden. Dabei sind uns die Möglichkeiten des Microsoft Werkzeuges Process Monitor Process Monitor[3] (Procmon) hilfreich. In unserem Szenario analysieren wir mit Procmon die Installation von Notepad++ in der Version 6.9.2 und setzen die im nächsten Bild dargestellten Filter, um DLLs aufzulisten, die von dem Installationsprogramm nicht gefunden wurden.

 

Wir sehen, dass es für viele der genutzten DLLs keine Treffer im aktuellen Verzeichnis der Installationsdatei gibt. Würden wir nun eine vom Namen passende DLL mit Schadcode, in das Verzeichnis legen und die Installation wiederholen, würde der Schadcode ausgeführt werden.

Sofern der niedrigprivilegierte Angreifer Schreibrechte in einem der durchsuchten Verzeichnisse hat, wäre ihm eine Rechteerweiterung möglich.

Wird in der Softwareentwicklung der ganze Dateipfad zur benutzten DLL angegeben, werden keine Suchfunktionen aktiv, was die Möglichkeiten für das Einschleusen von schadhaften Dateien auf einen Pfad reduziert. In Verbindung mit restriktiven Dateirechten für niedrig privilegierte Nutzer, wird die Manipulation der genutzten DLLs verhindert. Weiter können Firewalls, Antiviren Software und Intrusion Detection Systeme eingesetzt werden, um das Einschleusen von schadhaften DLLs zu erkennen, bzw. zu verhindern. Es sollten zudem gängige Härtungsrichtlinien [3] berücksichtigt werden, um die Suchreihenfolge als möglichst sicher zu konfigurieren.

Fazit

Die in diesem Artikel aufgezeigten Szenarien  zeigen, dass die Absicherung von IT-Systemen gegen Angriffe mit dem Ziel einer horizontalen oder vertikalen Rechteerweiterung nicht nur mit einer universellen Maßnahme erfolgen kann, sondern ein ganzheitliches Konzept wirksamer Maßnahmen erforderlich ist. Neben dem Einsatz einer Festplattenverschlüsselung mit Pre-Boot-Authentisierung und einem umfassenden Patch-Managementprozess ist eine Härtung des Betriebssystems und der genutzten Software nach Stand der Technik entscheidend. 

Autor: Tobias Mayer, GAI NetConsult GmbH

Referenzen:

[1] Mimikatz - https://github.com/gentilkiwi/mimikatz  

[2] Prozess Monitor - https://technet.microsoft.com/de-de/sysinternals/processmonitor.aspx

[3] BitLocker Countermeasures -

https://docs.microsoft.com/en-us/windows/device-security/bitlocker/bitlocker-countermeasures

[4] - https://www.cisecurity.org/cis-benchmarks/

]]>
Zutrittskontrolle Fachartikel Thu, 20 Jul 2017 09:50:00 +0200
Studie: Security Budgets und die Bedrohung durch Ransomware verdoppeln sich https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17711-studie-security-budgets-und-die-bedrohung-durch-ransomw/ Das SANS Institute gibt die Verfügbarkeit seiner Studie „Securing Industrial Control Systems 2017“... Zunächst zu den positiven Nachrichten, 46 Prozent der Befragten gaben an, dass ihre Budgets zur Absicherung von ICS-Systemen im Vergleich zum Vorjahr in 2016 gestiegen sind. Im gleichen Atemzug glauben jedoch 69 Prozent, dass sich die Cyber-Gefahren für ihre Systeme vergrößert haben und entweder als schwer oder sogar kritisch eingestuft werden sollten.

„Die Bedrohung durch Ransomware wächst weiter und wir haben dieses Jahr bereits zwei weitverbreitete Attacken erlebt, die den Betrieb von verschiedenen kritischen Industrien betroffen haben. Cyber-Kriminelle fügen nun Malware-Kapazitäten hinzu, die ICS-Anlagen erreichen und diese auch sabotieren können. Aktuelle Beispiele dafür sind Mondelez Cadbury, Beiersdorf und Deutsche Bahn. Es nützt nichts einfach nur in Systeme zu investieren. Die Cybersicherheits-Fachleute stellen nach wie vor die wichtigste Verteidigungslinie für den sicheren Betrieb dar. Investitionen die Mitarbeiter schulen und für mehr Security Awareness für Best Practices sorgen, können ein effektives Mittel sein, um die Gefahr der wachsenden Bedrohungen einzudämmen,“ sagt Doug Wylie, Direktor Industrials & Infrastructure Practice (I&I) beim SANS Institute.

35 Prozent der ICS-Experten stufen Ransomware als wichtige Bedrohung ein, die sich 2016 außerdem im Vergleich zum Vorjahr sogar fast verdoppelt hat. Die größte Gefahr geht aber von den Geräten aus, die im Zuge des IIoT in die Netzwerke eingebunden werden und deren Design schwerpunktmäßig nicht auf Sicherheit, sondern Funktionalität ausgerichtet wurde (44 %). 24 Prozent sehen von allen ICS-Systemen vor allem eingebettete Controller als die am meisten gefährdeten Systeme an, wenn es zu einem Sicherheitsvorfall kommt.

Die Befragten haben jedoch auch schon Sicherheitsmaßnahmen ergriffen, um die Gefährdung einzudämmen, 36 Prozent verfügen über Budgets um Sicherheits-Assessments und Auditierungen von ICS-Systemen vorzunehmen. Fast die Hälfte (48 %) überprüfen Ihre Sicherheitssysteme anhand internationaler Sicherheitsstandards wie dem NIST Cyber Security Framework.

Die vollständige Studie „Securing Industrial Control Systems 2017“ sowie alle darin enthaltenen Ergebnisse können Sie unter folgendem Link nachlesen: https://www.sans.org/reading-room/whitepapers/analyst/securing-industrial-control-systems-2017-37860 

]]>
Management Studien Wed, 19 Jul 2017 11:57:43 +0200
SonicWall: Besser denn je & Neue Techniken für die Sandbox https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/sonicwall/aktuelles/artikel/17710-sonicwall-besser-denn-je-neue-techniken-fuer-die-sandb/ Unter4Ohren im Gespräch mit SonicWall SonicWall übertrifft die Marke von drei Millionen verkauften Firewalls...! Wie ist das möglich? Haben Sie sich verzählt oder "ein paar verschenkt"!? ++ ++ Herkömmliche Sandbox-Technologien sind den mittlerweile technisch hoch entwickelten Angriffen der Cyber-Kriminellen oft nicht mehr gewachsen. Sandboxes sind nur unzureichend gegen Advanced Persistent Threats geschützt. Wie kommen Sie zu solchen Aussagen? ++ Welche "Contras" bietet SonicWall? ++ Was macht SonicWall zu einem besseren Lösungsanbieter?

Mehr hier:

https://www.all-about-security.de/nc/unter4ohren/single/artikel/17709-68-sonicwall-besser-denn-je-neue-techniken-fuer-die-s/ 

]]>
Netzwerke SonicWall Fachartikel Wed, 19 Jul 2017 09:54:05 +0200
CIO-Umfrage zeigt: Ausfälle der IT-Infrastruktur behindern die digitale Transformation https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17708-cio-umfrage-zeigt-ausfaelle-der-it-infrastruktur-behinde/ Britisch Airways und WhatsApp – zwei prominente Beispiele, die zeigen, dass ungeplante IT-Ausfälle... Befragt wurden IT-Verantwortliche in 24 Ländern, darunter Deutschland. Hierzulande sehen 77 Prozent der Unternehmen eine Verfügbarkeitslücke: eine Kluft zwischen den Erwartungen der Anwender auf ungehinderten Zugang zu Daten und Anwendungen, und den Services, die IT-Abteilungen aktuell bereitstellen können. Diese Lücke kostet Unternehmen durchschnittlich rund 20,4 Mio. Euro pro Jahr. In Deutschland können 65 Prozent der befragten IT-Verantwortlichen die finanziellen Schäden durch Systemausfälle nicht einmal beziffern. 

IT-Ausfälle gefährden Digitalisierungsinitiativen 

Rund 70 Prozent der Befragten sehen die Verfügbarkeit, also den unterbrechungsfreien Zugang zu IT-Services, als zentrale oder wichtige Voraussetzung für die digitale Transformation. Gleichzeitig haben 72 Prozent der Unternehmen in Deutschland den Eindruck, dass ungeplante IT-Ausfälle aufgrund von Hacker-Angriffen, Infrastruktur- und Netzwerkausfällen sowie Naturkatastrophen ihre Digitalisierungsinitiativen und Innovationen behindern. 

Diskrepanz zwischen Anforderungen und Realität bei der Datensicherung

Neben der Verfügbarkeitslücke konstatieren 77 Prozent der Befragten in ihrer IT-Organisation zudem die Gefahr einer Datensicherungslücke. Diese entsteht, wenn die Zeitfenster für die Datensicherung größer sind, als der maximal tolerierbare Datenverlust. Im Durchschnitt können deutsche Unternehmen laut eigenen Angaben bei geschäftskritischen Anwendungen ein “Verlustzeitfenster” von 48 Minuten verkraften. Gleichzeitig räumen die IT-Verantwortlichen ein, dass zwischen den entsprechenden Sicherungsprozessen derzeit aber 102 Minuten liegen, also mehr als doppelt so viel Zeit – ein hohes Risiko für den wirtschaftlichen Erfolg und das Unternehmens-wachstum. 

Mangelnde Datenverfügbarkeit beeinträchtigt die digitale Transformation

Weltweite Umfrage offenbart Verfügbarkeits- und Datensicherungslücke in Unternehmen

IT-Ausfälle kosten Geld und Vertrauen

Durchschnittlich 45 Minuten steht ein Server bei einem ungeplanten Ausfall in Deutschland still. Die geschätzten Kosten für solche IT-Ausfälle stiegen 2016 um 36 Prozent gegenüber 16 Millionen US-Dollar im Jahr 2015. Allerdings ist den Befragten klar, dass Ausfälle und Datenverluste auch Auswirkungen haben, die sich nicht genau beziffern lassen: 44 Prozent der IT-Verantwortlichen in Deutschland fürchten sinkendes Kundenvertrauen, 25 Prozent einen Schaden für die Marke. Auch auf die interne Organisation wirken sich IT-Ausfälle aus: 35 Prozent der Befragten beobachten einen Verlust des Mitarbeitervertrauens. Bei 29 Prozent der Unternehmen wurden Ressourcen von strategischen Projekten abgezogen, um die Auswirkungen der IT-Pannen zu beheben.

Null Toleranz für Ausfälle

Die Ergebnisse der Umfrage zeigen, dass die IT in den meisten Unternehmen – darunter auch große, internationale Konzerne – mit den Anforderungen der Fachbereiche nicht mithalten kann. 70 Prozent der CIOs wissen, dass digitale Initiativen von hoher Bedeutung für Management und Fachabteilungen sind. Gleichzeitig kämpfen sie mit fundamentalen Aufgaben für Datenverfügbarkeit und Datenschutz: Die Prozesse für Backup und Recovery werden immer komplexer, die Zeitfenster kleiner und die Angriffe von außen häufiger. 

Aber Anwender tolerieren keine Ausfälle. Ob Geschäftsanwendung oder Freizeit-App – der permanente Zugriff auf Daten und Anwendungen ist für uns selbstverständlich. Daher müssen IT-Abteilungen das ungeliebte Thema Backup und Recovery wieder stärker in den Fokus stellen. Das sieht auch IDC so: Laut einer Prognose der Analysten werden die Ausgaben für Datensicherungs- und Wiederherstellungssoftware bis 2020 stärker wachsen als die IT -Ausgaben insgesamt. IT-Organisationen müssen also Budget aus anderen Bereichen abziehen, um durch verstärkte Investitionen in Datensicherungslösungen auch die strengen Verfügbarkeitsvorgaben aus den Fachbereichen einhalten zu können und die Erwartungen der Kunden nicht zu enttäuschen. 

* Die durchschnittliche Größe der befragten Unternehmen liegt bei 7.500 Beschäftigten.  

[1]  https://go.veeam.com/2017-availability-report-de 

Über die Studie

Entwickelt und durchgeführt wurde die Befragung von der Enterprise Strategy Group (ESG), einem führenden IT-Analystenhaus sowie Marktforschungs- und Beratungsunternehmen, im Auftrag von Veeam. Hierfür hat ESG Ende 2016 IT-Entscheider in Unternehmen und Behörden mit mindestens 1.000 Beschäftigten online befragt. Insgesamt nahmen 1.060 IT-Entscheider in 24 Ländern an der Befragung teil. Dazu zählen neben Deutschland auch Australien, Belgien, Brasilien, China, Dänemark, Finnland, Frankreich, Großbritannien, Hongkong, Indien, Israel, Italien, Japan, Kanada, Mexiko, Niederlande, Russland, Saudi Arabien, Singapur, Schweden, Thailand, die USA sowie die Vereinigten Arabischen Emirate.  

]]>
Management Studien Wed, 19 Jul 2017 07:58:57 +0200
Abwehr von Ransomware - Vier Schritte für mehr Sicherheit https://www.all-about-security.de/nc/security-artikel/threats-and-co/artikel/17707-abwehr-von-ransomware-vier-schritte-fuer-mehr-sicherhei/ WannaCry und Petya haben zuletzt die Öffentlichkeit aufgeschreckt. Doch mit einem pragmatischen... Die Folgen sind enorm. Viele der Global-2000-Unternehmen waren betroffen, bei einer unbekannten Dunkelziffer. Zu den wenigen bekannten Vorfällen gehören Beeinträchtigungen von Medizin- und Transportservices. Diese führten zu verschobenen Operationen in Großbritannien, verzögerten Postzustellungen in den USA, ausgefallenen Anzeigesystemen auf Bahnhöfen sowie Störungen bei einigen Behörden in Indien.

Der Hauptgrund für die weltweit erfolgreiche Verbreitung von WannaCry ist seine Fähigkeit, sich ohne Nutzer-Interaktionen über das gesamte Unternehmensnetzwerk zu verbreiten. Dies gelingt ihm durch die Ausnutzung einer bekannten Schwachstelle in Microsoft Windows.

Unternehmen müssen daher überdenken, welchen Fokus sie bei ihren Sicherheitslösungen setzen. Ansonsten riskieren sie den Verlust ihrer Daten sowie von Zeit, Geld und vor allem ihrer Glaubwürdigkeit. Solche Ransomware-Angriffe beweisen, dass die Prozesse für den Schutz vor Cyberbedrohungen niemals abgeschlossen sind. Sie müssen ständig weiterentwickelt werden, damit sich Unternehmen auf die künftig immer komplexeren Attacken vorbereiten.

Doch zuerst müssen Unternehmen verstehen, wie Ransomware funktioniert, bevor sie einen effektiven Schutz vor Bedrohungen implementieren.

So funktioniert Ransomware 

Der Eintrittspunkt für die Malware in ein Unternehmen ist in der Regel eine harmlos wirkende E-Mail, die per Social Engeneering mit Hilfe eines verlockenden Anhangs oder eines attraktiven Links den Mitarbeiter zum Anklicken animiert. Bei WannaCry führt dies zur Aktivierung des Schadprogramms, das den Server Message Block (SMB)-Exploit ausnutzt. Der Wurm kann die angreifbaren Systeme mit Hilfe von Scanning-Methoden über das Internet weltweit erkennen.

Ist WannaCry einmal eingedrungen, erzeugt er zwei Threads. Der eine untersucht Hosts auf dem LAN über den Port 445, der andere wird 128-mal erzeugt und durchsucht Hosts auf dem Internet durch die Erstellung zufälliger IP-Adressen. Falls der Port 445 irgendwo bei Hosts auf dem LAN oder auf IPs im Internet offen ist, wird versucht, dies auszunutzen. Kommt auf dem System eine ungepatchte Windows-Version zum Einsatz, ist der Exploit-Versuch erfolgreich und ähnliche Doppel-Threads werden auf jedem infizierten System erzeugt. Anschließend übernimmt WannaCry die vollständige Kontrolle des betroffenen Systems. Die Malware kann Programme installieren, Daten verändern oder löschen sowie neue Accounts mit umfassenden Nutzungsrechten erstellen.

Die Systeme jetzt schützen

WannaCry ist ein Weckruf für jedes Unternehmen. Die Ransomware zeigt, wie Cyberattacken die Geschäftstätigkeiten beeinträchtigen können. Jeden Tag steigt die Bedrohung weiter an und die Angriffe werden immer ausgereifter – und die möglichen Folgen immer größer.

Das Gebot der Stunde für Unternehmen weltweit ist die Entwicklung und Einführung eines anpassungs- und entwicklungsfähigen Sicherheitsansatzes. Statische Lösungen und eine stückweise Reaktion auf Vorfälle sind längst passé. In der heutigen dynamischen Umgebung in Bezug auf Bedrohungen und Vorschriften müssen Unternehmen flexible Sicherheitslösungen einsetzen.

Dazu sollten Unternehmen ihre aktuelle Cybersecurity-Strategie überprüfen und analysieren, ob ihre Sicherheitsarchitektur skalierbar genug für die Abwehr künftiger Gefahren ist. Nach der Entwicklung einer Strategie für eine zukunftsfähige Architektur müssen Unternehmen ihren Sicherheitsstatus mit Hilfe der nötigen fortgeschrittenen Kontrollen verbessern und diese nachhaltig in ihre Umgebung integrieren, um ein sicheres Geschäftswachstum zu gewährleisten.

Dafür empfiehlt sich ein einfacher, umfassender Ansatz mit vier Schritten, der zu einer höheren Sicherheit führt.

Mit den Grundlagen beginnen und saubere Cybersicherheit gewährleisten: Wenn sich Unternehmen auf Nischenlösungen konzentrieren oder in Sicherheitslösungen der nächsten Generation investieren, vernachlässigen sie die grundlegenden Security-Prozesse. Dazu gehören der Schutz und die Überwachung aller vernetzten Geräte sowie die Sensibilisierung sämtlicher Nutzer. Folgende Best Practices haben sich bewährt:

• Regelmäßig Patches und Updates von Betriebssystemen und Sicherheitslösungen einspielen

• Anti-Malware-Lösungen der nächsten Generation zur schnellen Erkennung und Abwehr von Advanced Threats nutzen

• Weiterbildung und Absicherung der Anwender durch Aufklärungs- und Trainings-Kampagnen

• Die Nutzung von Administrations-Accounts auf den Endpunkten kontrollieren und begrenzen

• Application Whitelisting auf End-Systemen ermöglichen

• Regelmäßige Daten-Backups und System-Wiederherstellungspunkte auf verschiedenen Plattformen erzeugen

• Kontinuierliche Schwachstellenanalysen und dazugehörige Risikominimierung durchführen 

Proaktives und vorausschauendes Threat Monitoring implementieren: Kontinuierliches Monitoring und entsprechendes Sicherheitsmanagement ermöglichen die proaktive Abwehr von Bedrohungen. Um wirklich proaktiv und vorausschauend zu sein, müssen Unternehmen Sicherheitsanalysen durchführen sowie die Leistungsfähigkeit von maschinellem Lernen, Verhaltensanalysen und Schwachstellen/Gefahren-Modellierung nutzen. So können sie Gefahren entdecken und abwehren.

Global Threat Intelligence integrieren: Weltweit gesammelte Informationen zu Gefahren, die in ein Security Monitoring Tool integriert sind, ermöglichen hohe Transparenz und ausführbare Erkenntnisse für proaktives Threat Management. Mit der immer höheren Anzahl intelligenter Attacken steigt der Bedarf für Collaborative Threat Intelligence-Plattformen. Diese können Informationen zu Bedrohungen und Schwachstellen sowie Social Media Feeds aus zahlreichen Quellen zusammenstellen.

Ein gesamtheitliches Incident Response-System installieren: Unternehmen müssen sich weg von reinen Präventionsansätzen hin zu umfassenden Erkennungs- und Reaktionsmechanismen bewegen. Es ist wichtig, ein integriertes und robustes Incident Response-System zu besitzen, das automatisiert und orchestriert ist. Dieses kann Auswirkungen von WannaCry und anderen möglichen künftigen Gefahren stoppen, eindämmen, beseitigen und beheben. Gemäß einer Studie von Gartner besitzen die Ausgaben für die Erweiterung der Erkennungs- und Reaktionsfunktionen mindestens bis zum Jahr 2020 eine hohe Priorität für Sicherheitsentscheider.

Fazit

Unternehmen müssen ihre statischen Sicherheitsansätze in dynamische Architekturen weiterentwickeln. Die meisten modernen Angriffe sind ein Resultat fehlender Kenntnis oder Sensibilisierung der Anwender sowie einer Nachlässigkeit des Unternehmens bei der kontinuierlichen Absicherung ihrer Umgebungen durch regelmäßige Schwachstellenanalysen und Abwehr/Patching/Update-Programme.

Um Gefahren wie Ransomware abzuwehren, sind nicht immer fortgeschrittene Security-Tools nötig. Ein proaktiver und geplanter Ansatz für Threat Protection über das gesamte Unternehmen hinweg hilft bei der Absicherung des Geschäftswachstums und der gleichzeitigen Einhaltung sämtlicher Richtlinien. Bei einem proaktiven Ansatz müssen sich aber auch die Führungskräfte an neue Herausforderungen anpassen und ihre Fähigkeiten weiterentwickeln, um das Vertrauen im gesamten Unternehmen zu erhöhen.

]]>
Threats & Co Fachartikel Tue, 18 Jul 2017 14:04:53 +0200
Thales Data Threat Report 2017 - 95% aller deutschen Unternehmen glauben, dass sie nicht ausreichend gegen Cyberangriffe geschützt sind https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/thales-e-security/aktuelles/artikel/17706-thales-data-threat-report-2017-95-aller-deutschen-unt/ Zum 5. Mal in Folge stellt Thales seinen Report zu IT-Sicherheitsbedrohungen vor. Der heute... Eine der wichtigsten Erkenntnisse des Thales Reports zu IT-Sicherheitsbedrohungen: 95% der Befragten glauben, dass ihre IT-Systeme und Unternehmensdaten nicht ausreichend gegen Angriffe von Cyberkriminellen und anderen Bedrohungen wie internen Angreifern geschützt sind. Damit belegt Deutschland unter allen Nationen mit Abstand Platz 1. Und: Fast die Hälfte der Befragten, nämlich 45%, ist der Meinung, dass die Sicherheit der IT sehr oder extrem anfällig ist. Damit hat sich die negative Stimmung im Vergleich zum Vorjahr noch einmal verschlechtert. Damals hielten 91% ihre IT-Systeme für nicht ausreichend geschützt, 40% bewerteten die Anfälligkeit für Sicherheitsverletzungen als sehr oder extrem hoch. 

Positive Entwicklungen 

Positiv ist dagegen, dass "nur" 25% der befragten deutschen Unternehmen im letzten Jahr von Datensicherheitsvorfällen betroffen waren. Bei der vorherigen Befragung lag die Zahl noch bei 37%. Insgesamt sind aber bereits 50% aller Unternehmen in den letzten Jahren Opfer von Angriffen geworden. 9% aller Unternehmen wurden bereits mehr als einmal Opfer von Cyberattacken. Das zeigt, dass fast jedes zehnte Unternehmen nicht in der Lage ist, seine Unternehmensdaten wiederholt sicher gegen Angreifer zu schützen. 

Weitere gute Nachrichten: Immerhin 30% aller deutschen Unternehmen haben ihre IT-Sicherheit im Griff. Sie sind noch nie Opfer einer Datensicherheitsverletzung geworden und haben bisher alle Daten-Compliance-Audits bestanden. Mit diesen Werten liegt Deutschland etwa im globalen Durchschnitt (dieser beträgt 33%), aber deutlich hinter den weltweiten Spitzenreitern Japan (52%) und Großbritannien (50%). 

Vermehrter Einsatz von Verschlüsselung 

In Deutschland besteht ein starkes Verständnis für die Vorteile von Verschlüsselung. 80% aller Unternehmen erwarten, dass sie von Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO; im Englischen: GDPR - General Data Protection Regulation) betroffen sind. Hier müssen Unternehmen aber noch einiges tun. Vor allem, weil sie für zahlreiche Unternehmen bedeutende Risiken birgt. Datenschutzverletzungen können ab dem nächsten Jahr zu einer Geldstrafe von bis zu 4% des weltweiten Brutto-Umsatzes führen. Als Resultat haben sich 68% für Verschlüsselung entschieden, um den Anforderungen der DSGVO gerecht zu werden. 

Kai Zobel, Regional Sales Director DACH, Thales e-Security sagt: 

”Es ist sehr gut zu sehen, dass viele deutsche Unternehmen die Vorteile von Verschlüsselung für wertvolle Daten erkennen und die digitale Transformation vorantreiben. Aber es ist noch viel zu tun, um für die verbleibenden 32 Prozent der deutschen Unternehmen einen Anreiz zu schaffen, ihre Sicherheitsstrategie weiter auszubauen. In der aktuellen komplexen Bedrohungsumgebung müssen robuste IT-Strategien implementiert werden, um Daten in allen Formen, egal wo sie erstellt, geteilt oder gespeichert werden, zu schützen.“ 

Nutzung von fortschrittlichen Technologien 

Die Anforderung, fortschrittliche Technologien wie Cloud, IoT, Big Data einsetzen zu müssen, erhöht den Druck auf IT-Verantwortliche. 96% aller Befragten werden in diesem Jahr sensible Unternehmensdaten in einer Technologieumgebung wie Cloud, IoT & Co. einsetzen. 66% der IT-Security-Mitarbeiter glauben aber, dass die Daten dort nicht ausreichend geschützt sind.  

Bisher wird bei den Ausgaben für IT-Sicherheit jedoch primär in das investiert, was in der Vergangenheit funktioniert hat. 79% der Befragten entschieden sich bei IT-Security-Investitionen für Netzwerksicherheit und 72% für Endpoint- und Mobile-Security. Es wird auch weiterhin vermehrt in diese Security-Lösungen investiert, obwohl Unternehmen verstärkt  fortschrittliche Technologien wie Cloud und IoT einsetzen, die sich außerhalb des traditionellen Netzwerks befinden. 

Eine Antwort auf die neuen Anforderungen wären Sicherheitslösungen wie Verschlüsselung und Zugriffskontrollen. Bei den IT-Security-Investitionen belegen diese Sicherheitslösungen aber nur den vorletzten Platz. 

Um die steigende Zahl von Datensicherheitsvorfällen zu bekämpfen, hat Thales die folgenden Beispiele für bewährte Vorgehensweisen ausgearbeitet: 

• Wirksamer Einsatz von Verschlüsselung und Zugriffskontrollen als grundlegender Schutz für Daten und die Berücksichtigung einer „Encrypt Everything“ („Komplette Verschlüsselung“) Strategie

• Auswahl einer Datensicherheitsplattform, die eine Bandbreite an Anwendungsfällen adressiert und Einfachheit der Nutzung betont

• Implementierung von Lösungen für Sicherheitsanalytik und Multi-Faktor-Authentifizierung, um bedrohliche Muster der Datennutzung zu erkennen

Weitere interessante Informationen können Sie im Thales Data Threat Report 2017 nachlesen. Ein kostenloses Exemplar des Thales Data Threat Report 2017 (in deutscher Sprache) können Sie hier herunterladen: 

https://dtr-de.thalesesecurity.com   

Thales e-Security ist Teil der Thales Group. https://de.thalesesecurity.com/ 

]]>
Management Thales Studien Mon, 17 Jul 2017 11:51:19 +0200
Cloud-basierter Service für fernverwaltete Büros und mobile Benutzer https://www.all-about-security.de/nc/security-artikel/plattformsicherheit/single/artikel/17705-cloud-basierter-service-fuer-fernverwaltete-bueros-und-mob/ Unter4Ohren im Gespräch mit Palo Alto Networks Cloud-basierter Sicherheitsservice für entfernte Standorte und mobile Nutzer ++ Palo Alto Networks bringt Next Generation-Security in die Cloud ++ Palo Alto Networks stellt den Cloud-Dienst GlobalProtect vor. Wie soll das gehen? Den gibt es doch schon seit Jahren....++ Neuer Dienst ermöglicht konsistente Always-On-Verfügbarkeit. Was bietet der "alte", neue GlobalProtect insgesamt? ++ Der GlobalProtect-Service für mobile Benutzer wird pro Benutzer lizenziert, von 200 bis zu über 100.000 Benutzern. Wie kommt der neue Service im Markt an?

Mehr hier:

https://www.all-about-security.de/nc/unter4ohren/single/artikel/17704-67-cloud-basierter-service-fuer-fernverwaltete-bueros-un/

]]>
Plattformen Fachartikel Thu, 13 Jul 2017 13:28:13 +0200
Maschinen können bald moralisches Verhalten von Menschen imitieren https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17703-maschinen-koennen-bald-moralisches-verhalten-von-menschen/ Kognitionswissenschaftler der Universität Osnabrück legen neue Studie vor + Autonome selbstfahrende... Das Institut für Kognitionswissenschaft der Universität Osnabrück hat nun eine Studie in Frontiers in Behavioral Neuroscience veröffentlicht, die zeigt, dass menschlich-ethische Entscheidungen in Maschinen implementiert werden können und autonome Fahrzeuge bald moralische Dilemmata im Straßenverkehr bewältigen.

Politisch wird die Debatte zur Modellierbarkeit von moralischen Entscheidungen durch eine Initiative des Bundesministeriums für Transport und Digitale Infrastruktur (BMVI) begleitet, welche 20 ethische Prinzipien formuliert hat. Die Osnabrücker Studie liefert dazu erste empirische wissenschaftliche Daten.

“Um Regeln oder Empfehlungen definieren zu können sind zwei Schritte notwendig. Als Erstes muss man menschliche moralische Entscheidungen in kritischen Situationen analysieren und verstehen. Als zweiten Schritt muss man das menschliche Verhalten statistisch beschreiben, um Regeln ableiten zu können, die dann in Maschinen genutzt werden können“, erklärt Prof. Dr. Gordon Pipa, einer der leitenden Wissenschaftler der Studie. 

Um beide Schritte zu realisieren, nutzten die Autoren eine virtuelle Realität, um das Verhalten von Versuchspersonen in simulierten Verkehrssituationen zu beobachten. Die Teilnehmer der Studie fuhren dazu an einem nebeligen Tag durch die Straßen eines typischen Vorortes. Im Verlauf der Experimente kam es dabei zu unvermeidlichen und unerwarteten Dilemma-Situationen, bei denen Menschen, Tiere oder Objekte als Hindernisse auf den Fahrspuren standen. Um den Hindernissen auf einer der beiden Spuren ausweichen zu können, war deshalb eine moralische Abwägung notwendig.

Die beobachteten Entscheidungen wurden dann durch eine statistische Analyse ausgewertet und in Regeln übersetzt. Die Ergebnisse weisen darauf hin, dass im Rahmen dieser unvermeidbaren Unfälle moralisches Verhalten durch eine einfache Wertigkeit des Lebens erklärt werden kann, für jeden Menschen, jedes Tier und jedes Objekt. 

Leon Sütfeld, der Hauptautor der Studie, erklärt dies so: „Das menschliche moralische Verhalten lässt sich durch den Vergleich von einer Wertigkeit des Lebens, das mit jedem Menschen, jedem Tier oder jedem Objekt assoziiert ist, erklären bzw. mit beachtlicher Präzision vorhersagen. Das zeigt, dass menschliche moralische Entscheidungen prinzipiell mit Regeln beschrieben werden können und dass diese Regeln als Konsequenz auch von Maschinen genutzt werden könnten.“

Diese neuen Osnabrücker Erkenntnisse stehen im Widerspruch zu dem achten Prinzip des BMVI-Berichtes, das auf der Annahme gründet, dass moralische Entscheidungen nicht modellierbar sind. 

Wie kann dieser grundlegende Unterschied erklärt werden? Algorithmen können entweder durch Regeln beschrieben werden oder durch statistische Modelle, die mehrere Faktoren miteinander in Bezug setzen können. Gesetze, zum Beispiel, sind regelbasiert. Menschliches Verhalten und moderne künstliche intelligente Systeme nutzen dazu im Gegensatz eher komplexes statistisches Abwägen. Dieses Abwägen erlaubt es beiden - dem Menschen und den modernen künstlichen Intelligenzen - auch neue Situationen bewerten zu können, denen diese bisher nicht ausgesetzt waren. In der wissenschaftlichen Arbeit von Sütfeld wurde nun eine solche dem menschlichen Verhalten ähnliche Methodik zur Beschreibung der Daten genutzt. „Deshalb müssen die Regeln nicht abstrakt am Schreibtisch durch einen Menschen formuliert, sondern aus dem menschlichen Verhalten abgeleitet und gelernt werden. So stellt sich die Frage, ob man diese nun gelernten und konzeptualisierten Regeln nicht auch als moralischen Aspekt in Maschinen nutzen sollte“, so Sütfeld.  

„Nun, da wir jetzt wissen, wie wir moralische Entscheidungen in die Maschinen implementieren können, bleiben uns trotzdem noch zwei moralische Dilemmata“, sagt Prof. Dr. Peter König, weiterer Autor dieser Veröffentlichung, und fügt hinzu: „Erstens müssen wir uns über den Einfluss von moralischen Werten auf die Richtlinien für maschinelles Verhalten entscheiden. Zweitens müssen wir uns überlegen, ob wir es wollen, dass Maschinen sich (nur) menschlich verhalten sollen.“

Bildunterschrift: Probanden saßen am Steuer eines virtuellen PKWs, der in einem Vorstadt-Setting auf Hindernisse zufuhr. Eine Kollision war unausweichlich, es konnte lediglich die Spur ausgewählt werden. 

Grafik: Universität Osnabrück

Die Ergebnisse der Studie „Using Virtual Reality to Assess Ethical Decisions in Road Traffic Scenarios: Applicability of Value-of-Life-Based Models and Influences of Time Pressure” sind erschienen in „Frontiers in Behavioral Neuroscience“ http://journal.frontiersin.org/article/10.3389/fnbeh.2017.00122/full

]]>
Nachrichten & Aktuelles Fri, 07 Jul 2017 12:13:39 +0200
Wo bleibt da das Briefgeheimnis? https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17702-wo-bleibt-da-das-briefgeheimnis/ Zu dem Datenleck bei der Deutschen Post mit 200.000 betroffenen Nutzern äußert sich Karsten Glied,... „Kleinste Administratorenfehler in der IT haben bereits weitreichende Auswirkungen auf das Image eines Unternehmens. Bei Webseiten oder Portalen, in denen Verbraucher persönliche Infos hinterlegen, muss der Datenschutz an oberster Stelle stehen. Kein Wunder also, dass nicht nur Profis den Aufschrei unter den Nutzern mitbekamen. Innerhalb von zwei Minuten verursachte ein Administratorenfehler einen Imageschaden mit weitreichenden Folgen. Mangelnde Ressourcen und Zeitdruck führen zu solchen Fehlern in IT-Abteilungen, die gerade beim Umgang mit sensiblen Informationen schwerwiegend sind. Wer nicht sorgfältig mit Verbraucherdaten umgeht, kann strafrechtlich verfolgt werden.   

‚Pflege deine IT‘ muss das Motto lauten. Genügend Ressourcen und ausreichend Fachpersonal schützen Unternehmen vor kleinen und großen Missgeschicken. Betriebe müssen endlich erkennen, wie wichtig eine gut aufgestellte IT-Abteilung ist. Auch um mit der fortschreitenden Digitalisierung mitzuhalten, sind Unternehmen auf eine zuverlässig funktionierende IT-Abteilung angewiesen. Dabei ist der Schritt zu mehr Digitalisierung nicht zu unterschätzen: Halbherzig durchgeführte Automatisierungsprozesse bringen keine Verbesserung, ganz im Gegenteil – das Risikopotential für Fehler und Datenlecks steigt.“ 

Weitere Informationen unter: www.techniklotsen.de 

]]>
Nachrichten & Aktuelles Fri, 07 Jul 2017 11:59:18 +0200
Über 40 Apps durch Android-Trojaner ausspioniert https://www.all-about-security.de/nc/security-artikel/threats-and-co/artikel/17701-ueber-40-apps-durch-android-trojaner-ausspioniert/ Palo Alto Networks meldet heute die Entdeckung eines Trojaners, der vor allem Android-basierte... • Der Abfluss von privaten Daten aus populären Apps wie: WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao und Baidu Net Disk

• Missbrauch des Android Accessibility Service-Features um persönliche Nachrichten von beliebten Messaging- und Kommunikationsapps wie WeChat, Skype, Viber und QQ abzufangen

• Missbrauch der kommerziellen Routing-App “Baidu Easy Root” um Daten umleiten zu können und um das Endgerät dauerhaft zu infizieren.

• Sammeln und Diebstahl einer großen Menge persönlicher Informationen wie Telefonnummern, IMEI, IMSI, SMS, MMS, Kontakte, Accounts, Anrufhistorie, Standort und Informationen über genutzte WiFi-Verbindungen.

• Automatische Annahme eingehender Anrufe

• Fernsteuerung des Endgeräts (zumeist Smartphones) durch UDP, TCP und SMS-Kanäle

• Ausspionieren des infizierten Endgeräts durch:

o Unerlaubte Aufzeichnung von Telefongesprächen sowie von Videoaufnahmen

o Unkontrolliertes Fotografieren mit der Front- und Rückkamera

o Unzulässiges Verfolgen des Standorts des Nutzers

o Unbemerkte Anfertigung von Screenshots

Fundierte Informationen über technische Details zum Android-Trojaner finden Sie auf dem Blog von Palo Alto Networks https://researchcenter.paloaltonetworks.com/2017/07/unit42-spydealer-android-trojan-spying-40-apps/ 

Weitere Informationen finden Sie unter www.paloaltonetworks.com 

]]>
Threats & Co Fri, 07 Jul 2017 11:54:14 +0200
Update: Cyber-Angriffswelle Petya – Bedrohung größer als bekannt https://www.all-about-security.de/nc/security-artikel/threats-and-co/artikel/17700-update-cyber-angriffswelle-petya-bedrohung-groesser-als/ Aktuellen Erkenntnissen zu Folge ist die Bedrohungslage durch den Cyber-Angriff Ende Juni, der... Analysen von IT-Sicherheitsforschern legen nahe, dass bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurden. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekanntgewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden. 

Die unterschiedlichen Schadsoftwarevarianten ermöglichen das Ausspähen von Daten aus den betroffenen Firmennetzwerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Analysen als plausibel. 

Dazu erklärt BSI-Präsident Arne Schönbohm: "Wir beobachten hier, ähnlich wie im Fall WannaCry, dass die Täter über die gleichen Verbreitungswege weitere Schadsoftware verteilt haben, die sich im Gegensatz zu Verschlüsselungstrojanern nicht sofort bemerkbar machen. Ihr Schadenspotential ist dabei allerdings mindestens ebenso hoch. Unternehmen sind daher aufgefordert, Cyber-Sicherheit auch ohne akuten Anlass als Voraussetzung einer erfolgreichen Digitalisierung zu begreifen und IT-Sicherheitsmaßnahmen konsequent umzusetzen."

Dem BSI liegen zudem Informationen vor, die deutlich machen, dass die von Petya betroffenen Firmen erhebliche Anstrengungen unternehmen müssen, um zum Teil kritische Geschäftsprozesse wiederherstellen zu können.

Arne Schönbohm: "In einigen Unternehmen in Deutschland stehen seit über eine Woche die Produktion oder andere kritische Geschäftsprozesse still. Hier entstehen Schäden in Millionenhöhe und das bei einem IT-Sicherheitsvorfall, bei dem Deutschland im Grunde mit einem blauen Auge davon gekommen ist. Wir müssen die Resilienz gegen Cyber-Angriffe in Deutschland weiter konsequent erhöhen und Informationssicherheit mit höchster Priorität behandeln."

Das BSI rät dringend dazu, folgende Schutzmaßnahmen umzusetzen: 

  • auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen
  • Auf infizierten Rechnern sollten alle Passwörter geändert werden
  • Infizierte Rechner sollten idealerweise neu aufgesetzt werden
  • Umsetzung einer Netzwerksegmentierung
  • Erstellen und Vorhalten von Daten-Sicherungen (Backups)
  • Überprüfung der Administratorenrechte:
    • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
    • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben
    • Idealerweise sollte der lokale Administrator deaktiviert sein
  • Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches MS17-010
  • Aktualisierung der eingesetzten Antiviren-Programme

Das BSI empfiehlt zudem, im Zweifel externe IT-Fachkräfte zur Analyse und Bereinigung der Infektionen hinzuzuziehen.

Betroffene Unternehmen können sich unter meldestelle@bsi.bund.de  an das BSI wenden.

]]>
Threats & Co Fri, 07 Jul 2017 11:47:31 +0200
Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen https://www.all-about-security.de/nc/security-artikel/plattformsicherheit/single/artikel/17699-cloud-sicherheit-wird-zum-fokusthema-nicht-nur-im-gesu/ In fast allen Branchen, nicht zuletzt im Gesundheitswesen, wird eine wachsende Menge an Daten in... „Die Tatsache, dass die Cloud eine kostengünstigere Option ist, trägt ebenso maßgeblich bei zum Cloud-Computing-Trend im Gesundheitswesen. Eine sorgfältig gestaltete Datensicherheitsstrategie muss aber dafür sorgen, dass vertrauliche Gesundheitsdaten auch in der Cloud geschützt bleiben“, erklärt Josip Benkovic, Regional Director Enterprise & Public bei Palo Alto Networks. „Entgegen so einiger Vorurteile ist eine sehr sichere Cloud-Nutzung durchaus möglich, wenn zentrale Punkte beachtet werden.“

Für die wachsende Bedeutung der Cloud-Sicherheit sieht Benkovic vor allem vier Gründe:

Gesundheitsdaten sind für Cyberkriminelle extrem attraktiv.

Obwohl beispielsweise die Zahl gestohlener Gesundheitsdatensätze in den USA von 113 Millionen im Jahr 2015 auf 16 Millionen im Jahr 2016 sank, sind Daten aus dem Gesundheitswesen immer noch im Visier von Angreifern.  Der Umstand, dass bei der WannaCry-Attacke Einrichtungen des britischen NHS angegriffen wurde, ist ein aktueller Beleg. Die drei primären Angriffsszenarien sehen wie folgt aus:

1. Profit-motivierte Angreifer verwenden Malware, um Gesundheitsdaten zu stehlen und sie dann an jemanden zu verkaufen, der sie benutzt, um Identitätsdiebstahl und Versicherungsbetrug zu begehen.

2. Profit-motivierte Angreifer verwenden Ransomware, um Gesundheitsdaten zu verschlüsseln und sie erst zu entschlüsseln, nachdem ein Lösegeld bezahlt wurde (in der Regel verlassen die Daten das Rechenzentrum).

3. Staatlich geförderte Cybergegner stehlen Gesundheitsdaten für die Zwecke der Überwachung ausländischer Staatsbürger.

Die Cyberkriminellen wissen, dass die Daten im Gesundheitswesen in die Cloud verschoben werden, und diese drei Szenarien können – und werden – auch in einer Cloud-Umgebung relevant sein.

Die Cloud bietet die bessere Sicherheit, wenn Sie sich die Zeit nehmen, die Sicherheitsstrategie planen.

Im Jahr 2011 wurden in den USA mit dem „HITECH Act“ (Health Information Technology for Economic and Clinical Health) finanzielle Anreize geschaffen, um Patientendatensätze zu digitalisieren. Aber auch in Europa hat die Digitalisierung das Gesundheitswesen schon lange erfasst. Dies führte zu einer großen Migration hin zu elektronischen Patientenakten, wobei die Sicherheit oft auf der Strecke blieb. In ähnlicher Weise herrscht jetzt Eile, um Gesundheitsdatensätze in die Cloud zu bewegen, unter der Annahme, dass Sicherheit automatisch gegeben ist. Sicherheit kann relativ einfach in die Cloud implementiert werden, aber sie ist nur so gut wie das Engagement der Verantwortlichen in dieser Sache. 

AWS und Azure machen es mittlerweile einfacher, virtuelle Server und virtuelle Netzwerkinfrastruktur auf Plattformebene zu verwalten, inklusive Sicherheitsoptionen. Die Gefahr besteht jedoch, dass seitens des Gesundheitswesens ein falsches Gefühl der Cloud-Sicherheit entwickelt wird. 

Kein Cloud-Anbieter erkennt Malware-Infektionen auf der Endpunktebene. Deswegen gilt es, eine fortschrittliche Endpunktsicherheit auf eigene Faust bereitzustellen und zu verwalten. Auf der Netzwerkebene ist ebenfalls die Sicherheit konfigurierbar. Bei beiden Cloud-Providern besteht die Möglichkeit, virtuelle Next-Generation-Firewalls auszuwählen und bereitzustellen, um Bedrohungsschutz auf Netzwerkebene für datenkritische Anwendungen zu gewährleisten.

Eine ideale Gelegenheit, um anhaltende Sicherheitsprobleme zu beheben.

Einrichtungen im Gesundheitswesen sind bei IT-Fachleuten geradezu berüchtigt für die Verwendung von veralteten Anwendungen und Betriebssystemen. Einige wurden von Anbietern entwickelt, die jahrelang nicht mehr im Geschäft sind. Diese Arten von Systemen können die am meisten gefährdeten Punkte in der IT-Umgebung sein. AWS und Azure bieten Funktionen, die es leichter machen, in solchen hochgefährdeten Anwendungen die Datensicherheit zu verwalten.

Einige Kliniken nutzen bereits Software-definierte Netzwerkfunktionen in AWS und Azure. Während sie ihre Anwendungen in die Cloud migrieren, können sie zeitgleich die erforderlichen virtuellen Server einrichten. Hinter einer neuen Instanziierung einer virtuellen Next-Generation-Firewall sind sie dann besser geschützt.

Die Migration von Anwendungen in die Cloud bietet oftmals eine einmalige Gelegenheit, die Sicherheit der einzelnen Anwendungen zu bewerten und zu verbessern. Zum Beispiel ließe sich:

• die Gelegenheit nutzen, um eine Anwendung auf die neueste Version zu aktualisieren.

• eine Anwendung in einem streng kontrollierten virtuellen Netzwerksegment bereitstellen.

• eine Bedrohungsprävention auf Netzwerkebene einführen.

• stärkere Überwachungsmaßnahmen für die zugrundeliegenden Datenbanken umsetzen.

• vor der Umstellung alle vorhandenen Schwachstellen auf Serverebene beseitigen.

Verbesserte Compliance-Fähigkeiten der Public Clouds nutzen.

Amazon und Microsoft, die beide die HIPAA-Vorgaben erfüllen, bieten die Möglichkeit, Business Associate Agreements (BAAs) zu unterzeichnen, um vertrauliche Gesundheitsinformationen zu speichern sowie HIPAA- und HITECH-konforme Anwendungen zu realisieren. Auch wenn HIPAA und HITECH – rein rechtlich gesehen – nicht relevant sind für die EU und Deutschland, bieten die sehr strengen Datensicherheitsregeln der Amerikaner eine neue Sichtweise auf die Herausforderungen hierzulande. Einige der Sicherheitsmerkmale, die die HIPAA-Compliance unterstützen, sind:

• Dedizierte Instanzen, um sicherzustellen, dass die zugrundeliegende Hardware nicht für verschiedene Kunden freigegeben wird.

• Tools, die es leichter machen, strenge Verschlüsselungsanforderungen durchzusetzen für Patientendaten im Ruhezustand und in Bewegung.

• Verbesserte Zugriffskontrollen bei der Bereitstellung hinter einer virtuellen Next-Generation-Firewall, wobei die Benutzeridentifikationsfunktionen aktiviert sind.

• Verbesserte Prozeduren für Protokollretention, Auditing und Datensicherung sowie verbesserte Disaster-Recovery-Mechanismen.

Eine der leistungsstärksten Funktionsmerkmale der Cloud ist, dass sie für Gesundheitseinrichtungen aller Größen eine maßgeschneiderte Sicherheitsinfrastruktur bietet. Auch kleinere klinische Netzwerke können mit einem kleinen IT-Team HIPAA-konforme Anwendungsumgebungen auf Unternehmensniveau aufbauen und bereitstellen. 

„Allerdings sollte man nicht in das Denkmuster verfallen, dass es genügt, eine Anwendung in die Cloud zu verschieben, und für die Sicherheit automatisch gesorgt ist. Eine sorgfältige Planung vorausgesetzt, lassen sich die Kosteneinsparungen und die flexible Erweiterbarkeit, die die Cloud bietet, nutzen. Es gilt jedoch sicherzustellen, dass die richtige Sicherheitsarchitektur vorhanden ist, um Patientendaten effektiv zu schützen“, fasst Josip Benkovic abschließend zusammen.

Weitere Informationen finden Sie unter www.paloaltonetworks.com 

]]>
Plattformen Thu, 06 Jul 2017 16:51:20 +0200
Crash-Test für Apps - Fit für neue EU-Datenschutznormen https://www.all-about-security.de/nc/security-artikel/it-anwendungen/single/artikel/17698-crash-test-fuer-apps-fit-fuer-neue-eu-datenschutznormen/ Immer mehr Unternehmen machen mobil. Sie nutzen mobile Applikationen zur Stärkung der Kundenbindung... Smartphone statt PC – viele Unternehmen, darunter immer mehr Banken und Versicherungen, ermöglichen ihren Kunden den Umstieg auf mobile Endgeräte. Die Smartphone-App wird somit zunehmend zur Schaltzentrale für die unterschiedlichsten Anwendungen im Finanzbereich. Die auf den mobilen Applikationen angebotenen Funktionen werden immer komplexer und die gemanagten Daten folglich immer umfangreicher und sensibler. Gleichzeitig nehmen die weltweiten Angriffe durch die organisierte Cyber-Kriminalität drastisch zu und verursachen allein in Deutschland Schäden im zweistelligen Milliardenbereich. Die EU hat vor diesem Hintergrund mit der neuen EU-Datenschutz Grundverordnung (DSGV) erstmalig einen einheitlichen Rechtsrahmen zum Schutz der Verbraucher geschaffen. Dieser stellt viele Unternehmen jedoch vor große Herausforderungen, denn sie müssen die neuen Datenschutzregeln durch geeignete technische Maßnahmen sicherstellen. IQ mobile, Umsetzungs-Spezialeinheit für mobile Technologien, offeriert rechtzeitig vor Inkrafttreten der Verordnung im Mai 2018 einen mehrstufigen Sicherheits-Check samt individueller Bewertungsanalyse für mobile Applikationen. „Das weit über normalen Standards angesiedelte Testverfahren haben wir zusammen mit international führenden und mehrfach ausgezeichneten Offensive Security Certified-Experten entwickelt. Damit können sich Unternehmen optimal auf die in naher Zukunft europaweit geltenden strengen Datenschutzvorschriften vorbereiten und vorhandene Sicherheitslücken schließen“, betont IQ mobile Gründer und Geschäftsführer Harald Winkelhofer. „Der Test beinhaltet neben einer ausführlichen Beratung eine Schutzbedarfsanalyse mit konkreten Handlungsanweisungen. Darüber hinaus erhalten bereits von Hackern angegriffene Firmen mithilfe von Forensik-Spezialisten und App Rescue Experten Empfehlungen für eine nachhaltige Prävention ihrer App.“ 

Neue Herausforderungen fürs App Management  

Heutzutage reicht es nach Ansicht der Experten von IQ mobile nicht mehr aus, eine neu entwickelte App einfach nur in den Store zu stellen, wo die Zahl der angebotenen mobilen Applikationen stetig steigt. Schon vor der Entwicklung, so IQ mobile Chef Winkelhofer, beginne daher das strategische App Management. „Eine erfolgreiche App muss ganzheitlich betreut, beworben, gemessen und optimiert werden. Neben einem überzeugenden Store-Auftritt, aussagekräftigen Screenshots oder klar ersichtlichen USPs spielen vor allem Sicherheitsaspekte eine Schlüsselrolle“, weiß Winkelhofer und fügt hinzu: „Dieses Thema steht vor dem Hintergrund der in genau einem Jahr geltenden neuen EU-Richtlinien für den Datenschutz bei vielen Unternehmen ganz oben auf der Agenda.“ 

Mehr Sicherheit schafft Vertrauen bei App Usern

Nach den neuen Regeln der DSGV sind Unternehmen verpflichtet, angemessene Maßnahmen zum Schutz der Privatsphäre einzurichten, andernfalls drohen empfindliche Geldbußen oder gar Strafverfahren. Gerade Finanzgeschäfte bergen im Bereich der zunehmenden Digitalisierung erhebliche Risiken. Beim reinen Abfragen von Kontoständen bleibt es zumeist nicht. Inzwischen nehmen immer mehr User auch Wertpapiergeschäfte oder das Vermögensmanagement über Apps vor. Zudem hält auch das Bezahlen mittels Smartphone anstelle der Geldbörse zunehmend Einzug in den Alltag. „Der Sicherheits-Check gewährleistet eine maßgeschneiderte, manuelle Überprüfung mobiler Applikationen auf höchstem Niveau. So werden die täglichen Geschäftsprozesse vor Verlusten durch Cyber- Kriminalität nachhaltig geschützt“, betont Winkelhofer und fügt hinzu: „Das Beherrschen des Themas Sicherheit ist nicht nur zur Kosten- und Strafprävention unverzichtbar. Es ist zudem ein enorm wichtiges Element für die Schaffung von Vertrauen, die langfristige Bindung der Kunden an die App und damit an die Marke“. 

]]>
Anwendungen – Apps Thu, 06 Jul 2017 16:38:31 +0200
Studie zum Sicherheitsbewusstsein offenbart: Zeit, sich zu unterhalten! https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17697-studie-zum-sicherheitsbewusstsein-offenbart-zeit-sich/ Das SANS Institute stellt seinen aktuellen Bericht „Security Awareness Report 2017“ vor. Im Rahmen... In ihrer Untersuchung haben die Wissenschaftler über 1.000 Cybersicherheits-Spezialisten aus über 58 Ländern befragt. Die SANS-Studie basiert auf der Intention, Unternehmen dabei zu unterstützen, zu begreifen, wie erfolgreiche Sensibilisierungsstrategien funktionieren. Sicherheitsbewusstsein hat sich zu einem wichtigen Thema etabliert – für aufstrebende Unternehmen wie für bestehende Organisationen. Vor diesem Hintergrund hat sich ein fähiger Security Awareness-Experte für diese Rolle von der Möglichkeit zu einem „must have“ entwickelt. Die Zeit, sich entsprechend um seine Aufgaben zu kümmern, fehlt ihm allerdings oft. Das SANS Institute fand heraus, dass nicht das Budget, sondern der Zeitmangel einen Stolperdraht auf dem Weg zu einer erfolgreichen Förderung für mehr Sicherheitsbewusstsein darstellt.

Was aber bedeutet Zeit in diesem Zusammenhang? Die Studie beschreibt sie als gemeinschaftliche Anstrengung von Personen, die sich an einem Security Awareness Programm beteiligen, gemessen an der tatsächlichen Anzahl der Vollzeitmitarbeiter. Allerdings ist hier zu berücksichtigen, dass zwei Halbtagskräfte wie eine Vollzeitkraft zählen. Leider sehen immer noch viel zu viele Unternehmen Sensibilisierung als Teilzeit-Job an. Diese Ansicht lässt die Fähigkeit ihrer Security Awareness-Teams verkümmern, ihre Aufgaben effektiv zu erledigen. Dem Report zu Folge braucht es jedoch mindestens 1,4 Vollzeitstellen, um das Verhalten der Mitarbeiter unternehmensweit zu verändern.

Herbert Abben, Director SANS Institute EMEA, verantwortlich für die DACH Region, ordnet die Ergebnisse ein: „In den vergangenen Wochen haben wir durch den WannaCry- und Petya-Angriff eindrucksvoll gesehen, wie viele Unternehmen noch immer verwundbar sind. Nicht zuletzt der Faktor Mensch ist eine Schwachstelle, an der Unternehmen jedoch ansetzen können. Informationssicherheitsexperten sollten bei der Planung und Durchführung ihrer Security Awareness-Programme unterstützt werden. Die Befragten unserer Studie klagen über Zeitmangel und über zu wenig Kommunikation. Beides sind Faktoren an denen diese Programme nicht scheitern sollten. Die Geschäftsführung der Unternehmen sollte angesichts der jüngsten Attacken offener sein und die vereinbarten Maßnahmen zur Förderung des Bewusstseins stärker unterstützen. Sonst wird sich an der derzeitigen Situation leider nicht viel ändern.“

Technische Versiertheit deckt nicht alles ab

Die Umfrageergebnisse zeigen, dass der Fokus in Sachen Sicherheitsbewusstsein zunehmend auf den richtigen technischen Fähigkeiten zur Umsetzung entsprechender Programme liegt. Die überwältigende Mehrheit, 80 Prozent der Sensibilisierungsprofis, bringen einen technischen Hintergrund mit. Diejenigen, die auf einen technischen Hintergrund zurückgreifen können, besitzen anderen gegenüber einen gewissen Vorteil, da sie viel Verständnis bezüglich der technischen und menschlichen Risiken mitbringen. Allerdings reicht technisches Know-how alleine nicht aus. Kommunikationstraining spielt ebenfalls eine entscheidende Rolle. Die Fähigkeit Inhalte verständlich zu vermitteln, also zu kommunizieren, verändert risikobehaftetes Mitarbeiterverhalten zum Besseren.

Kommunikation in mehrere Richtungen gewährleisten

Das Kommunikationsdefizit bildet für die Umfrageteilnehmer die größere Hürde. SANS beschreibt diese Herausforderung mit der Fähigkeit, effektiv zu kommunizieren und Mitarbeiter zu verpflichten. Fast noch wichtiger stuften die Studienurheber die Fähigkeit ein, effektiv zu kommunizieren und den Wert für die Führungsebene zu demonstrieren. Wenn ein Security Awareness-Beauftragter engmaschige Sicherheitsprogramme ablaufen lässt, aber sie nicht effektiv und mit respektierter Autorität kommunizieren kann, um die richtigen Aktionen zu beeinflussen, dann ist sein Programm mehr Sicherheit als Bewusstsein, was eine Organisation in Gefahr bringen kann. Um dieses Problem zu lösen empfiehlt der Report unter anderem, sich nicht auf einen One-size-fits-all-Kommunikationsansatz zu verlassen. Ein Appell in Richtung eines Entwicklers beispielsweise mag vielleicht für diesen funktionieren, erweist sich aber in Bezug auf die Geschäftsführung als nicht wirksam. Zusätzlich sprechen sich die Experten von dafür aus, innerhalb der Führungsetage einen Hauptansprechpartner zu suchen, der den Wert des Security Awareness-Programms anderen Führungspersonen nahelegt. Weiter zeigt es sich als geschickt, mit den Personen innerhalb des gesamten Unternehmens zusammenzuarbeiten, die den Sicherheitsbewusstseinsinput schätzen und ihn einhalten. Bestehende Strategien sollten eine Art Sicherheitsbotschafter-Programm berücksichtigen; ein Netzwerk aus Freiwilligen innerhalb der Organisation, das dabei unterstützt andere Mitarbeiter einzubeziehen. 

Den vollständigen Security Awareness Report 2017 des SANS Institutes sowie alle darin enthaltenen Ergebnisse können Sie unter folgendem Link nachlesen:

https://securingthehuman.sans.org/media/resources/STH-SecurityAwarenessReport-2017.pdf 

Mehr erfahren Sie hier: www.SANS.org 

]]>
Management Studien Thu, 06 Jul 2017 14:43:38 +0200
Paketschießstand: DDoS-Training für Admins und Operations - gewappnet für den Ernstfall https://www.all-about-security.de/nc/kolumnen/unternehmen-im-fokus/zerobs/single/artikel/17696-paketschiessstand-ddos-training-fuer-admins-und-operation/ Unter4Ohren im Gespräch mit zeroBS
  • Der Paketschießstand gibt Adminis die Möglichkeit, DDoS-Angriffe auf verschiedene Ziele in einer Echtzeit-Simulation zu erleben und abzuwehren. Was verbirgt sich hinter dem Begriff?
  • Warum sollte man das machen?
  • Welche Fähigkeiten erlangt man auf eurem Paketschießstand?
  • Der Paketschießstand ist als 2-tägiger Workshop über eure Partner buchbar. Gab es bisher überhaupt Anmeldungen hierfür?
  • Wie viele Admins nehmen an solchen Schulungen teil?
  • Wie ist das Feedback "nach" den zwei Tagen?
  • Welche Schulungsvarianten gibt es?
  • Was wird in den zwei Tagen konkret gemacht? 
  • Zum Interview hier.

    ]]>
    Plattformen zeroBS Fachartikel Wed, 05 Jul 2017 20:24:49 +0200
    Notfallplanung spart Unternehmen Zeit und Geld https://www.all-about-security.de/nc/security-artikel/management-und-strategie/single/artikel/17695-notfallplanung-spart-unternehmen-zeit-und-geld/ Weltweite Ponemon-Studie zeigt: Betriebliches Kontinuitätsmanagement (BCM) senkt die Kosten pro... Da die Bedrohung durch Cyberangriffe weiter wächst, werden betriebliche Kontinuitäts- und Notfallpläne für Unternehmen zunehmend wichtiger“, sagt Christian Nern, Head of Security Software DACH bei IBM Deutschland. „Diese zu automatisieren und orchestrieren, wird deshalb in Zukunft nicht nur eine Frage der Datenabsicherung, sondern auch der Wettbewerbsfähigkeit. Unternehmen sparen durch diese Vorsorgemaßnahmen langfristig Kosten.“ 

    Ponemon-Studie: BCM spart Unternehmen bares Geld 

    Die globale Studie des Ponemon Instituts zu den Auswirkungen von betrieblichem Kontinuitätsmanagement (BCM) hat ergeben: BCM spielt eine wichtige Rolle bei der Senkung von Kosten bei Datenpannen. Denn beim BCM werden Strategien und Maßnahmen entwickelt, die in Kraft treten, wenn Prozessabläufe in der Organisation ernsthaft gestört werden und hohe Verluste drohen. So benötigen Unternehmen mit BCM im Durchschnitt 43 Tage weniger zur Identifikation einer Datenpanne und 35 Tage weniger um diese zu beheben. Insgesamt dauert die Behebung einer Datenpanne so ganze 78 Tage weniger als bei Unternehmen ohne BCM. 

    Das wirkt sich auch auf die Kosten einer Datenpanne aus: Während die Kosten bei Unternehmen mit BCM laut Studie bei insgesamt 3,35 Millionen US-Dollar für eine Datenpanne liegen, sind es bei Unternehmen ohne BCM bis zu 3,94 Millionen Dollar Kosten für eine Datenpanne. Ein BCM spart Unternehmen also bis zu 600.000 US-Dollar Kosten pro Datenpanne ein. Betrachtet man die Kosten einer Datenpanne über die Zeit hinweg, so ergibt sich aus der Studie eine Kostenersparnis von durchschnittlich 5.064 US-Dollar pro Tag. Über die 78 Tage summiert sich dies auf 395.922 US-Dollar insgesamt. 

    Für die Studie wurden 1.900 Vertreter aus 419 Unternehmen in 16 Ländern befragt. Ungefähr die Hälfte der Unternehmen (226 von 419) gab an, BCM bei der Aufarbeitung von Datenpannen zu nutzen. Von diesen Unternehmen sagten 95 Prozent, dass sie diese Maßnahme als wichtig oder sehr wichtig einstufen. 

    Programme für ein automatisiertes und orchestriertes BCM 

    Die Studie zeigt auch, dass bei Unternehmen mit einem automatisierten und orchestrierten BCM fast 40 Prozent weniger Kosten entstehen, als bei Unternehmen die ein manuelles BCM nutzen. Das macht eine Netto-Ersparnis von 1.655 US-Dollar pro Tag aus.

    Resilienz-Systeme, wie IBM Resilience, sind cloudbasiert, sie nutzen eine automatisierte Notfallwiederherstellung und speziell für hybride IT-Umgebungen designte Kontinuitätsmanagement-Tools. Intelligente Arbeitsabläufe, vom Erkennen einer Datenpanne über deren Analyse bis hin zur Lösung des Problems, ermöglichen es Entwicklern, Zeit bei der Einordnung verdächtiger Anwendungen und möglicher Risiken zu sparen. 

    Weitere Studienergebnisse

    • 95 Prozent der untersuchten Unternehmen sagen, dass die Auswirkungen von Datenpannen deutlich vermindert wurden, als sie ihr BCM und IT-Sicherheitsfunktionen (wie Kooperationen zu Cybersicherheit oder bereichsübergreifende Krisenmanagement-Expertise) zusammenlegten.
    • Die durchschnittlichen Kosten für einen gestohlenen Datensatz können bis zu 152 US-Dollar betragen. Mit BCM betragen sie lediglich 130 Dollar.
    • 76 Prozent der untersuchten Unternehmen ohne BCM verzeichneten Betriebsstörungen. Dies gilt nur für 55 Prozent der Unternehmen, die ein BCM eingeführt hatten, bevor es zu einer Datenpanne kam.
    • 52 Prozent der untersuchten Unternehmen mit BCM sagen, dass ihr Ruf und ihre Marke durch eine Datenpanne beschädigt wurden. Unternehmen ohne BCM bestätigen dies in 62 Prozent der Fälle.

    Die Ponemon-Studie ist hier abrufbar.

    ]]>
    Management Studien Tue, 04 Jul 2017 11:17:05 +0200
    BITMi kritisiert Digital-Aktionismus der Bundesregierung https://www.all-about-security.de/nc/nachrichten-aktuelles/artikel/17693-bitmi-kritisiert-digital-aktionismus-der-bundesregierung/ Der Bundesverband IT-Mittelstand lehnt den nach seiner Auffassung ungewöhnlichen Aktionismus der... Der jüngste vom BITMi kritisierte Vorfall ereignete sich gestern, als Bundesjustizminister Heiko Maas in Berlin die Schaffung eines digitalen Antidiskriminierungsgesetzes und einer kontrollierenden behördlichen Digitalagentur ins Spiel brachte. Dies soll laut Maas für „eine gleichberechtigte Teilhabe am gesellschaftlichen Leben ohne Diskriminierungen“ in der digitalen Welt sorgen. Durch Big Data und unbekannte Algorithmen zu deren Auswertung sei es möglich, dass Menschen aufgrund bestimmter Eigenschaften oder Verhalten diskriminiert werden, ohne dieses überhaupt zu erfahren. Um Diskriminierungen zu verhindern, sollen Unternehmen ihre Algorithmen offenlegen. Die Nutzer seien dann in der Lage, diese zu verstehen und wahrzunehmen, wie sie von Unternehmen und den verwendeten Algorithmen beeinflusst werden. Algorithmen, die in den Augen der Digitalagentur gegen das digitale Antidiskriminierungsgesetz verstoßen, wären dann nicht zulässig.

    „Natürlich ist es wichtig, dass Menschen wissen, wie automatische Technologien mit ihren Daten umgehen und welche Folgen dies hat“ äußerte sich Grün, „aber mal wieder ist der Weg, der eingeschlagen werden soll, der absolut falsche“.

    Laut Grün sei es bisher unstrittig gewesen, dass innovative, datenbasierte Geschäftsmodelle die Zukunft seien und Deutschland sich deswegen als so attraktiv wie möglich präsentieren muss, um einen Teil der Wirtschaft der Zukunft auch hierzulande zu entwickeln. „Zwingt man Unternehmen mit datenbasierten Geschäftsmodellen ihre Algorithmen als absolutes Kern-Asset offenzulegen, werden diese Deutschland sicher meiden und wir verspielen erneut die Chance, hierzulande weltweit führende digitale Innovationen zu erschaffen“ zeigte sich der BITMi Präsident besorgt.

    Wie auch schon beim Netzwerkdurchsetzungsgesetz (NetzDG), welches am Freitag im Bundestag verabschiedet wurde, liegt hier eine grundsätzlich unterstützenswerte Idee vor - die Lösung geht aber in eine absolut falsche Richtung. Der BITMi kritisierte das Gesetz bereits für grundsätzliche handwerkliche Mängel, aber auch für die Gefahr, dass die Betreiber von sozialen Netzwerken eher dazu angeleitet werden, eine Löschkultur zu etablieren, was am Ende eine Gefahr für die Meinungsfreiheit im Internet bedeutet.

    Die ebenfalls in der letzten Woche vom Bundestag verabschiedete Modifikation des Telemediengesetzes, welche faktisch die WLAN-Störerhaftung abschaffen soll, wird grundsätzlich vom BITMi begrüßt. Auch hier gibt es aber handwerkliche Fehler, denn der Sperranspruch gegen Hotspotbetreiber hemmt die Verbreitung von WLAN Hotspots weiterhin unnötig. Zumal sei mit Digitalkompetenz erkennbar, dass sogenannte Netzsperren ein unwirksames Mittel sind, da diese technisch leicht zu umgehen seien. 

    Um in Zukunft Gesetze zu vermeiden, die überhastet und unausgegoren wirken, und auch um sinnvolle Lösungen für tatsächlich vorhandene Probleme zu finden, ist nicht nur der Dialog mit betroffenen Akteuren von Anfang an wichtig. Auch benötigt es eine übergeordnete Koordination der Digital-Gesetzgebung. So merkte ja Heiko Maas selbst an, dass die aktuelle Gesetzgebung mit der Digitalisierung nur schwer Schritt halte. Oliver Grün sagte dazu: „Eine von uns geforderte Lösung wäre da ein ordentlich ausgestatteter Digitalminister, der nicht nur koordinativ tätig wird, sondern den Fachministerien durch seine Expertise hilft, Gesetze zu schaffen, die mit der digitalen Realität wirtschafts- und freiheitsfreundlich Schritt halten können." Der BITMi wertet somit die aktuellen Vorfälle als Bestätigung seiner Forderung nach einem eigenständigen Digitalministerium, siehe Positionspapier Digitaler Mittelstand 2020.

    Über den Bundesverband IT-Mittelstand:Der Bundesverband IT-Mittelstand e.V. (BITMi) vertritt über 1.500 IT-Unternehmen und ist damit der größte IT-Fachverband für ausschließlich mittelständische Interessen in Deutschland.

    ]]>
    Nachrichten & Aktuelles Tue, 04 Jul 2017 09:43:18 +0200