IT-Security

Kürzlich hat die Erpressersoftware WannaCry weltweit Schaden angerichtet. Unter anderem waren die Deutsche Bahn, zahlreiche Krankenhäuser in England und mehrere Renault-Werke betroffen. Laut Spiegel online war dies der größte Angriff mit einer Erpressersoftware.

Doch wie konnte es sein, dass so viele Unternehmens-Rechner betroffen waren? Viele scheinen die Bedrohung durch Cyber-Angriffe immer noch nicht ernst zu nehmen. Wer alte Windows-Versionen nutzt, unregelmäßig Updates installiert oder verdächtige E-Mail-Anhänge öffnet, geht immer ein Risiko ein.

WannaCry ist nur ein Beispiel von zahlreichen Cyber-Angriffen. Wie der aktuelle State of the Internet Security Report des ersten Quartals 2017 von Akamai zeigt, gibt es immer wieder neue Varianten von Angriffen. So sorgte seit letztem Herbst etwa das Mirai-Botnetz immer wieder für Schlagzeilen: Akamai selbst beobachtete im letzten Quartal verstärkt Mirai-Water-Torture-DNS-Angriffe. Dabei handelt es sich um in Mirai-Malware integrierte DNS Query Floods, die Akamai-Kunden – insbesondere im Finanzdienstleistungsbereich – ins Visier nahmen. Solche Attacken überlasten die Ressourcen der Zieldomäne, indem in großer Zahl zufällig generierte Domänennamen abgefragt werden, was letztendlich zu Denial-of-Service-Ausfällen führt.

Es hat sich also mal wieder gezeigt, dass nach wie vor eine große Gefahr von Cyber-Angriffen ausgeht. Die Zahl ist weiterhin steigend und die Angriffe werden raffinierter. Reines Reagieren reicht nicht mehr aus. Unternehmen benötigen daher Lösungen, die möglichst schnell auf aktuelle Gefahren und neue Angriffsvektoren reagieren können. Um einen optimalen Schutz zu erzielen, empfiehlt sich neben Hardware-basierten Security-Lösungen eine Cloud-basierte, skalierbare Lösung einzusetzen. Diese stellt eine umfassende mehrstufige Lösung bereit, um den Schutz der IT-Infrastrukturen sowie die Verfügbarkeit geschäftskritischer Applikationen und Daten sicherzustellen.

menuseperator

Haben Sie schon mal darüber nachgedacht, was bei Ihnen daheim los ist, wenn Sie nicht da sind? Dabei denke ich nicht an Ihre Katze oder den Kanarienvogel. Vielmehr sollte man wohl für die Zukunft vielleicht besser ein Auge darauf haben, was die Hausgeräte so alles anstellen, wenn wir mal nicht hinsehen.

Neben ihrer Bestimmung als Kühlgerät, Waschmaschine, Heizung, Fernseher & Co. hat so manches technische Gerät das Potenzial ein Eigenleben zu entwickeln, das uns schnell die Sorgenfalten auf die Stirn treiben könnte. Vernetzung ist das Stichwort, als Buzzword gerne auch Internet of Things (IoT) genannt, das viele Geräte schon heute miteinander verbindet und ganze neue Einsatzfelder eröffnet. So zum Beispiel wenn der Kühlschrank mit dem Smartphone oder die Heizung mit dem WLAN-Router kommuniziert. Dabei ist der Haushalt nur das Versuchsterrain im Kleinen. Ganze Industrien sind schon oder noch dabei, auf den Zug aufzuspringen, der mit uns ab in die vernetzte Zukunft rauscht.

Gerade komplexe Industrieanwendungen oder Logistik-Prozesse profitieren schon vielfach von IoT-Anwendungen. Smart Cities, Smart Homes oder Smart Cars – alles scheint möglich. Und wo IoT noch nicht im Einsatz ist, wird eilends überlegt, wie sich der neue Hype am besten nutzen lässt.

Ganz klar, das Konzept ist so einfach wie verlockend: Mit Hilfe von Sensoren sammeln die Geräte Daten, die vernetzte Prozesse über das Internet steuern und somit unser aller Leben wahlweise bequemer, einfacher, sicherer oder kostengünstiger gestalten sollen. Beispiele sind etwa die Steuerung von Licht und Heizung in Gebäuden, die Analyse von Wetter und Verkehrslage für die nächste Autofahrt oder die Aufzeichnung von Fitness- und Gesundheitsdaten in Wearables, mit denen wir aufbrechen ins neue Fitness-Glück.

Der Markt ist riesig und wächst beständig. Laut Gartner werden Unternehmen im Jahr 2020 mit dem Internet of Things über 300 Milliarden Euro erwirtschaften. Die Analysten rechnen bis dahin mit 25 Milliarden vernetzter Dinge, von Maschinen über Geräte bis zu Fahrzeugen. Smartphones, Tablets und Computer sind dabei noch nicht mit eingerechnet.

Gleichzeitig steigt aber die Gefahr für Cyber-Angriffe und Hacker-Attacken in gleichem Maße. Unternehmen sind daher gut beraten, bei der Entwicklung von IoT-Anwendungen Datenschutz und Datensicherheit fest im Auge zu behalten, im eigenen Interesse, aber auch in dem ihrer Kunden, die mit dem Thema zunächst überfordert sein dürften. Beispiele für arglosen Umgang finden sich zahlreich und reichen bis hin zum spionierenden Plüschbären. Mit solchen Vorfällen ist das Vertrauen schnell dahin. Die Gefahr des Ausspähens droht übrigens nicht nur aus der kriminellen Ecke, wie man meinen könnte. Auch Geheimdiensten passen die über das Internet verbundenen Geräte perfekt in den Plan.

Erste Schritte hin zu einem durchgängigen Authentifizierungs- und Autorisierungskonzept und damit mehr Sicherheit und Standardisierung sind erkennbar, doch wird die Regelung und Vereinheitlichung so vieler komplexer Verbindungen noch eine Weile brauchen. Bis dahin heißt es, Augen auf und immer ein prüfender Blick auf den Kühlschrank.

menuseperator

Kürzlich bin ich über einen Bericht der Computerwoche gestolpert, der sich mit dem „EICAR Minimum Standard für Anti-Malware-Produkte“ beschäftigt: Demnach dürfen sich entsprechende Lösungen der Firmen F-Secure, G Data, Trend Micro und Kaspersky bald mit dem EICAR-Prüfsiegel schmücken. Die Produkte dieser Anbieter erfüllen somit folgende Sicherheits-Standards:

  • Einhaltung von Datenschutzbestimmungen
     
  • Nachvollziehbare Datenkommunikation
     
  • Garantieren, dass die Software nicht manipuliert ist.

Zugegebenermaßen war ich überrascht, über die Notwendigkeit einer „Plakette“ zu lesen, die die Achtung – so sollte man meinen – fundamentaler Rechte und Pflichten Anwendern gegenüber bestätigt. Jedoch fällt auf, dass keine amerikanischen Unternehmen beteiligt sind und voraussichtlich auch nicht sein werden. Genau, da war doch was: Stichwort NSA-Affäre; zudem ist bekannt, dass die amerikanische Gesetzgebung unter bestimmten Bedingungen den eigenen Geheimdiensten die Möglichkeit des Zugangs zu Unternehmensdaten einräumt. Aber auch in Deutschland hat sich der BND in Sachen Wirtschaftsspionage ja bekanntlich nicht mit Ruhm bekleckert ...

Vor diesem Hintergrund macht ein Siegel als vertrauensbildende Maßnahme in einem verunsicherten Markt durchaus Sinn und kann für bestimmte Anbieter von Enterprise-Security-Software ein richtiger Schritt sein. Die Botschaft ist simpel: „Wir sind sauber!“

Das Siegel erhalten zunächst Unternehmen, die sich per Unterschrift dazu verpflichten, diese Kriterien einzuhalten. In einem späteren Schritt sollen dann unabhängige Prüflabore kontrollieren. EICAR, die European Expert Group for IT-Security, ist eine unabhängige und unparteiische Organisation von IT-Security-Experten aus den Bereichen Wissenschaft, Forschung und Entwicklung sowie der Industrie.

menuseperator

Auf Messen werden immer wieder Plagiate gefunden, die der heimischen Industrie zu schaffen machen. Besonders dreist ist es jedoch, wenn es bereits Plagiate von Neuentwicklungen gibt, die noch gar nicht offiziell vorgestellt worden sind. Das selektive Abgreifen von vertraulichen Daten ist ein lukrativer Trend in der Welt der Cyber-Attacken und dabei müssen es nicht immer die Mitarbeiter selbst sein, die diese Informationen nach außen geben. Die sogenannten Advanced Persistent Threats sind gezielte Hacker-Angriffe, die nicht mehr auf Masse aus sind, sondern zielgerichtet und sehr aufwendig gemacht sind.

Die aktuelle Ponemon-Umfrage „Roadblocks, Refresh and Raising the Human Security IQ“ zeigt, dass viele Sicherheitsverantwortliche in Firmen Advanced Persistent Threats und Daten-Exfiltration als größte Bedrohungen ansehen. Unternehmen stecken viel Geld in die IT-Sicherheit, für 2014 sollen sogar mehr Ausgaben geplant sein als im Vorjahr, so eine Umfrage von eco – Verband der deutschen Internetwirtschaft e.V. Da ist es doch verwunderlich, dass gemäß der Studie des Ponemon Institute erhebliche Mängel in der Kommunikation zwischen Sicherheitsverantwortlichen und Management herrschen. 31 Prozent der Befragten, die für den Bereich Cyber-Security zuständig sind, gaben an, nie mit dem Management über dieses Thema zu sprechen. 23 Prozent führten nur einmal im Jahr ein Gespräch und weitere 19 Prozent nur einmal im halben Jahr. Darüber hinaus haben nur 38 Prozent das Gefühl, dass ihre Unternehmen ausreichend in Personal und Technologien investieren, um Cyber-Security-Ziele zu erreichen. Immerhin gaben 49 Prozent an, in den nächsten zwölf Monaten Investitionen im Security-Umfeld zu tätigen. Die restliche Hälfte ist sich einig, dass erst in eine neue IT-Security-Lösung investiert werden würde, wenn ein Datendiebstahl-Vorfall zu beklagen wäre. Es bleibt nur zu hoffen, dass die Abteilungen vorher rechtzeitig miteinander sprechen, um größere Schäden zu vermeiden.

Zur Studie: Es wurden weltweit rund 5.000 Verantwortliche für IT-Sicherheit in 15 Ländern befragt, darunter England, Deutschland, Frankreich, Italien, die Niederlande, Schweden und die USA.

menuseperator
IT-Security abonnieren