22. Juni 2020. Remote-Mitarbeiter extrahieren klassifizierte Daten in noch nie dagewesener Geschwindigkeit, so das Ergebnis des neuen Data Trends Reports von Digital Guardian, der das Risiko des Verlusts sensibler Daten während der COVID-19-Krise bewertet. Das Volumen der auf USB-Geräte heruntergeladenen Daten stieg um 123 Prozent seit der WHO-Pandemie-Erklärung und großflächigen Einführung von Homeoffice. Zudem zeigte sich ein Anstieg von 72 Prozent des Daten-Uploads in die Cloud.

Der Datenaustritt über alle Pfade (E-Mail, Cloud, USB usw.) stieg um 80 Prozent im ersten Monat nach der Pandemie-Erklärung. Cloud-Speicher und USB-Geräte wurden zu den bevorzugten Ausgangspfaden (89 Prozent). Auch gab es 62 Prozent mehr böswillige Aktivitäten durch externe Angreifer und 54 Prozent mehr erforderliche Incident-Response-Untersuchungen. Sicherheitsexperten sollten besonders dem deutlichen Anstieg bei der Nutzung von USB-Geräten Aufmerksamkeit schenken, da diese aufgrund der Wahrscheinlichkeit, verlegt, verloren oder gestohlen zu werden, das Risiko des Verlusts sensibler Daten erhöhen.

Der DG Data Trends Report basiert auf aggregierten, anonymisierten Daten von fast 200 Kunden des Managed Security Program von Digital Guardian weltweit. Die Untersuchung repräsentiert ein breites Spektrum von Unternehmensgrößen und Branchen, darunter Finanzdienstleistungen, Fertigung, Gesundheitswesen und Unternehmensdienstleistungen.

„Homeoffice wird für viele Unternehmen eine Notwendigkeit bleiben“, so Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. „Deshalb sollten Führungskräfte und Sicherheitsteams die Implementierung von Lösungen in Betracht zu ziehen, die Einblick in die Datenbewegungen geben und ein Mittel zur Kontrolle bieten, um potenzielle Datenverstöße zu vermeiden.“

Ein kostenloses Exemplar des DG Data Trends Reports ist erhältlich unter:

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches Talent, um hohe Summen von ihren Opfern zu erpressen. Die Entwickler des GandCrab-RaaS rühmten sich, 2,5 Millionen US-Dollar pro Woche einzunehmen. Aktuelle Angriffe mit dem polymorphen Emotet-Virus, der den TrickBot-Trojaner einführt, daraufhin Daten stiehlt und die Ryuk-Ransomware herunterlädt, können ebenso effektiv wie profitabel sein.

Neues Druckmittel: Victim-Outing von Unternehmen, die kein Lösegeld bezahlen
Darüber hinaus greifen Cyberkriminelle zu neuen Mitteln, um den Druck auf ihre Opfer weiter zu erhöhen. Die Angreifer hinter der Ransomware-Variante Maze haben begonnen, öffentlich bekanntzumachen, wenn Unternehmen sich weigern, Lösegeld zu zahlen. Auf einer Website gaben die Kriminellen kürzlich Namen, Websites und sogar gestohlene Daten von Opferfirmen weiter. Ransomware bleibt nicht nur eine ernsthafte Bedrohung, weil sie für Cyberkriminelle eine effektive Einnahmequelle ist. Das florierende Geschäft der Daten-Geiselnahme wird auch durch weitere Akteure zusätzlich angefacht:

Ransomware-Broker zur Abwicklung der Lösegeldzahlungen
Versicherungsanbieter: Teilweise Ermutigung zur Zahlung von Lösegeldern Traditionell ermöglichen Anbieter, die auf Cyber-Versicherungen spezialisiert sind, eine Deckung für Verluste, die durch eine Ransomware-Infektion entstehen. Wie die Non-Profit-Nachrichtenseite ProPublica vor kurzem herausfand, haben einige Versicherer dazu ermutigt, Lösegelder zu zahlen, wenn es wahrscheinlich ist, dass die Kosten durch eine schnelle Wiederherstellung des Geschäftsbetriebs minimiert werden können. Dies ermöglicht es den betroffenen Unternehmen zwar, schneller einen Decryption-Key zu erhalten, doch durch Lösegeldzahlungen an die Erpresser wird das Problem nur noch weiter verschärft. Nicht jede Organisation, die von Ransomware betroffen ist, ist mit den treuhänderischen Forderungen der Angreifer vertraut; dazu gehört auch, wie Krypto-Währungen wie Bitcoin funktionieren. Hierfür gibt es mittlerweile Vermittlerservices, die von Unternehmen oder deren Rechtsberatung beauftragt werden können, um eine Reduzierung der geforderten Summe auszuhandeln oder den Prozess der Lösegeldzahlung abzuwickeln. Zu diesen Dienstleistern zählt etwa die Firma Coveware, die sich selbst als „Ransomware Recovery First Responder“ bezeichnet und Unternehmen bei der Erleichterung von Zahlungen, aber auch bei der Erhebung und Weitergabe von Daten hilft, die sie mit Strafverfolgungsbehörden und Sicherheitsforschern austauscht. Eine Handvoll anderer Firmen wie Gemini Advisory und Cytelligence sind in letzter Zeit ebenfalls entstanden.

Grundlegende Best Practices gegen Ransomware
1. Aufklärung: Eine effektive Ransomware-Abwehr fußt maßgeblich auf der umfangreichen Die Einhaltung grundlegender Best Practices bleiben der Schlüssel zur Minimierung von Schäden durch Ransomware. Zu den wichtigsten Sicherheitspraktiken zählen: Mitarbeiterschulung. Zu den häufigen Infektions- oder Angriffsvektoren gehören: • E-Mail-Anhänge: Eine der gängigsten Methoden zur Verbreitung von Ransomware ist die Versendung bösartiger E-Mail-Anhänge durch Phishing-Attacken, beispielsweise als gefälschte Rechnungen oder Bewerbungsunterlagen. • Social Media: Ein weiteres Mittel der Täuschung ist ein Angriff über Social Media. Einer der bekanntesten Kanäle ist der Facebook Messenger: Kriminelle erstellen Konten, die die aktuellen Kontakte eines Benutzers nachahmen und Nachrichten mit bösartigen Dateien oder Links versenden. • Online-Popups: Ein älterer, gängiger Angriffsvektor sind Online-Popups, die häufig verwendete Software nachahmen und Nutzer dazu bringen wollen, auf das gefälschte Fenster zu klicken, um die Malware herunterzuladen. • Gefälschte Apps: Im Bereich der mobilen Ransomware zählen gefälschte Apps zu den häufigsten Infektionsvektoren. Apps sollten daher nur von vertrauenswürdigen Quellen bezogen werden.

2. Häufige und getestete Backups: Die Sicherung aller wichtigen Dateien und Systeme ist eine der stärksten Abwehrmaßnahmen gegen Ransomware. Backups sollten regelmäßig getestet werden, um sicherzustellen, dass die Daten vollständig und nicht beschädigt sind. 3. Strukturierte, regelmäßige Updates: Die meiste Software, die Unternehmen verwenden, aktualisiert der Softwarehersteller regelmäßig. Diese Updates können Patches beinhalten, um die Software vor bekannten Bedrohungen zu schützen. Jedes Unternehmen sollte einen Verantwortlichen benennen, der die Software aktualisiert. 4. Korrekte Verfolgung von Berechtigungen: Jeder Mitarbeiter, der Zugang zu Systemen erhält, schafft eine potenzielle Schwachstelle für Ransomware. Fehlende Aktualisierung von Passwörtern und unzulässige Nutzerberechtigungen können zu noch höheren Angriffswahrscheinlichkeiten führen. 5. Weitere Security-Technologien und -Services: Darüber hinaus können zusätzliche Security-as-a-Service-Dienste wie etwa Managed Detection and Response (MDR) Unternehmen durch externe Sicherheitsexperten dabei unterstützen, Bedrohungen zu jagen, zu erkennen und in Echtzeit auf Angriffe zu reagieren, um Ransomware-Angriffe und andere Advanced Threats zu stoppen, bevor sensible Unternehmensdaten gefährdet werden.

Prävention bleibt die beste Verteidigung. Mit einem mehrschichtigen Sicherheitsansatz aus Mitarbeiteraufklärung, kontinuierlichen Update- und Backup-Praktiken sowie Sicherheitstechnologien lässt sich das Risiko eines Ransomware-Angriffs deutlich verringern.

Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff auf Geräte, Netzwerke und Unternehmensdaten zu erhalten. Dabei nutzen sie eine Vielzahl an Social-Engineering-Techniken. Diese reichen von Identitätsdiebstahl und Imitation bekannter Marken über gefälschte Stellenbewerbungen bis hin zu hochpersonalisiertem Spear-Phishing mithilfe privater Daten der Opfer. Phishing erfolgt meist per E-Mail, kann aber auch per Post, Telefon (Voice Phishing/Vishing), SMS (Smishing), Social Media sowie über Websites erfolgen, geht aber oft weit über die Verteilung verdächtiger Nachrichten hinaus. Zu weiteren Angriffstechniken zählen:

• DNS-basiertes Phishing gefährdet Hostdateien oder Domain-Namen eines Unternehmens und leitet dessen Kunden zu einer gefälschten Webseite weiter, um persönliche Daten oder Zahlungsinformationen abzugreifen. • Phishing mit Content-Injection nutzt verseuchte Inhalte wie Codes oder Bilder, die zur Unternehmenswebsite oder Seiten von Partnern hinzugefügt werden, um persönliche Informationen von Mitarbeitern und Kunden wie etwa Log-in-Details zu stehlen. Diese Art von Phishing zielt besonders auf Personen ab, die auf verschiedenen Websites das gleiche Passwort verwenden. • Man-in-the-Middle-Phishing: Hierbei stellen sich Kriminelle zwischen die Website des Unternehmens und dessen Kunden. So können sie alle Informationen, die der Kunde eingibt, erfassen.

Security-Best Practices gegen Phishing-Angriffe
Phishing birgt das Potenzial, viele der von Unternehmen eingesetzten Sicherheitsmaßnahmen zu umgehen und verheerende Auswirkungen auf sensible Daten und Ressourcen zu haben. Selbst für gut informierte User ist es mittlerweile schwierig, Phishing zu erkennen, da die Attacken immer ausgefeilter werden. Deshalb sind entsprechende Security-Best-Practices entscheidend, um sich gegen die Flut an Phishing-Angriffen zu verteidigen. Hierzu zählen: Multi-Faktor-Authentifizierung: Es ist empfehlenswert, zwei Arten der Überprüfung durchzuführen, etwa ein Passwort und eine Sicherheitsfrage, wenn Nutzer sich bei sensiblen Konten anmelden. Die Zwei- oder Multifaktor-Authentifizierung trägt dazu bei, Cyberkriminellen, die sich Zugang zu Konten verschaffen wollen, die Arbeit zu erschweren. Selbst wenn ein Passwort im Besitz des Angreifers ist, bleibt das Konto durch eine zweite oder sogar dritte Authentifizierungsebene geschützt. Für die beste Verteidigung eignen sich Authentifizierungsebenen, die dem Benutzer physisch vorliegen, zum Beispiel ein Gerät, oder eine biometrische Authentifizierung.

Security-Schulungen und Simulationstrainings von Phishing-Angriffen: Der erste Schritt besteht darin, alle Mitarbeiter darin zu schulen, Phishing-E-Mails zu erkennen. Eine der besten Möglichkeiten, um sicherzustellen, dass Mitarbeiter bei der Erkennung potenzieller Phishing-E-Mails wachsam sind, sind Simulationstrainings. So kann das IT-Team zum Beispiel selbst Test-Phishing-Mails an die Mitarbeiter versenden und überwachen, welche und wie viele Personen auf den Köder anspringen.

VPN zum Schutz der Internetverbindung: Ein VPN verschlüsselt die Internetverbindung und hält die besuchten Websites und die vom Nutzer eingegebenen Informationen vor Angreifern geheim. Die Nutzung eines VPN verhindert, dass Angreifer den WLAN-Verkehr über öffentliche Netzwerke abfangen, eine gängige Technik, um Anmeldedaten oder andere sensible Informationen abzugreifen.

Sicherung von BYODs vor bösartigen Applikationen: Ein neuer Bedrohungsvektor, der durch den BYOD-Trend entstanden ist, sind bösartige Apps auf Mobilgeräten der Mitarbeiter, welche auf deren Adressbücher zugreifen und diese exportieren. Hierdurch erhalten Angreifer Kontakte, die sie für gezieltes Spear-Phishing missbrauchen können. Ein wichtiger Schritt für die Unternehmenssicherheit ist es, potenzielle Angreifer daran zu hindern, auf das Firmenverzeichnis zuzugreifen, welches Namen, E-Mail-Adressen und andere persönliche Mitarbeiterdaten enthält. So sollte eine mobile Sicherheitssoftware auf Endgeräte installiert werden, die Apps scannt und Benutzer daran hindert, auf die Unternehmensnetzwerke zuzugreifen, wenn sich auf ihren Mobilgeräten Applikationen befinden, die die Datensicherheit gefährden.

Phishing-Schutz beim mobilen Arbeiten: Ein weiterer Schritt besteht darin, mobile Benutzer vor dem Besuch von Phishing-Websites zu schützen, besonders, wenn sie sich in einem WLAN-Netzwerk befinden, welches das Unternehmen nicht kontrolliert. Diese Schutzmaßnahmen müssen auf Netzwerkebene durchgeführt werden, da eine bloße E-Mail-Filterung hier nicht ausreicht. Phishing- und Spear-Phishing-Angriffe können sowohl über Firmen-Mails, die private E-Mail des Benutzers, als auch per SMS erfolgen. Mobile User sollten deshalb per VPN mit Diensten verbunden sein, die ein sicheres Domain Name System (DNS) und Blacklisting anbieten, um den Zugriff auf Phishing-Websites zu verhindern. Ausgeklügelte Phishing-Angriffe stellen weiterhin eine der größten Bedrohungen für die Unternehmenssicherheit dar, weil sie auf das häufig schwächste Glied in der Security-Kette abzielen: den Menschen. Durch umfangreiche und kontinuierliche Mitarbeitertrainings und einen mehrschichtigen Ansatz aus Sicherheitstechnologien können jedoch die Risiken von Phishing deutlich gemindert werden.

Viele Unternehmen verfügen über Richtlinien und Lösungen für die Telearbeit, doch diese sind meist auf Mitarbeiter zugeschnitten, die vollständig remote agieren oder normalerweise im Büro arbeiten, aber Flexibilität für ungewöhnliche Situationen benötigen. Die derzeitige Lage, mit der die meisten Unternehmen konfrontiert sind, kann die Fähigkeiten ihrer Remote-Arbeitsplätze auf die Probe stellen. Dies gilt insbesondere hinsichtlich Security-Kontrollen, Cyber-Hygiene und der Reduzierung von Sicherheitsrisiken, die eine Remote-Belegschaft mit sich bringt. Handelt es sich um IT-Administrationsteams, ausgelagerte IT und Drittanbieter, die eventuell privilegierten Zugriff auf Systeme und Infrastruktur haben, benötigen diese einen sicheren, granularen Zugang zu kritischen Infrastrukturressourcen, unabhängig vom Standort und ohne die Security-Problematik eines Virtual Private Networks (VPN). Im Idealfall sollte sich der privilegierte Zugriff auf diese Systeme nicht unterscheiden, egal ob sich die Benutzer in einem lokalen Rechenzentrum befinden oder, ob sie von außerhalb auf diese Systeme zugreifen.

VPN als Sicherheitsrisiko bei Zugriff auf kritische Ressourcen
Letztes Jahr erlitt Citrix durch einen Password-Spraying-Angriff, der auch den VPN-Zugang zu nutzen versuchte, einen Sicherheitsverstoß. Beim Password-Spraying verwenden Angreifer mittels Brute Force ein häufig genutztes Passwort gegen eine große Anzahl von Benutzerkonten. Diese Technik ermöglicht es Cyberkriminellen, unentdeckt zu bleiben, indem schnelle oder häufige Kontosperren vermieden werden. Jüngst wurden auch US-Energieunternehmen zur Zielscheibe von Angreifern, die Password-Spraying und VPN-Hacking nutzten. Im Gegensatz zu einem VPN, das Benutzern in der Regel Einblick in das gesamte Netzwerk gewährt, sollten Unternehmen deshalb den Zugriff auf Ressourcen nur auf der Basis der jeweils benötigten Berechtigungen gewähren. Dadurch erhalten privilegierte interne IT-Administratoren lediglich Zugriff auf so viel Infrastruktur wie nötig, während der Zugang eines ausgelagerten Teams auf die Server und Netzwerk-Hardware beschränkt wird, die für ihre Aufgabe erforderlich sind. Privilegierte Benutzer sollten sich entweder über Active Directory, LDAP oder einem anderen maßgeblichen Identitätsspeicher authentifizieren, oder Geschäftspartnern und Drittanbietern sollte ein vereinter granularer, privilegierter Zugriff auf Ressourcen gewährt werden. Zum Schutz vor Cyber-Angriffen ist deshalb eine Kombination aus rollenbasierten Zugriffskontrollen mit dem jeweiligen Risiko-Level, Benutzerkontext und einer Multi-Faktor-Authentifizierung empfehlenswert. Dies ermöglicht intelligente, automatisierte Echtzeit-Entscheidungen für die Gewährung von Zugangsberechtigungen für Benutzer beim Remote-Zugriff auf Server, dem Auschecken von Passwörtern oder bei der Verwendung eines gemeinsamen Kontos zur Anmeldung bei Remote-Systemen.

Sicherer Privileged Access für Vor-Ort- und Remote-Administration
Im Folgenden sechs Möglichkeiten, wie Unternehmen Konsistenz in ihrem Privileged Access Management-Ansatz (PAM) schaffen können, um den Fernzugriff auf Rechenzentrums- und Cloud-basierte Infrastrukturen durch einen Cloud-basierten Service oder die Bereitstellung on-Premises zu schützen:

1. Abgesicherter, kontextbezogener Zugriff für IT-Administratoren auf einen kontrollierten Satz von Servern, Netzwerkgeräten und Infrastructure-as-a-Service (IaaS). 2. Ermöglichung einer ausgelagerten IT, ohne dass Administratoren in das Active Directory aufgenommen werden müssen. 3. Zugriffskontrolle zu ausgewählten Rechenzentrums- und Cloud-basierten Ressourcen, ohne das erhöhte Risiko eines vollständigen VPN-Zugriffs einzugehen.

4. Absicherung des gesamten administrativen Zugriffs mit risikobewusster Multi-Faktor-Authentifizierung (MFA). 5. Ein einziger sicherer Zugriffspunkt für Administratoren zur Verwaltung der Infrastruktur mit gemeinsam genutzten Konten oder ihrem eigenen Active Directory-Konto. 6. Sicherer Fernzugriff auf Rechenzentrums- und Cloud-basierte Infrastrukturen für interne Benutzer, Drittanbieter und ausgelagerte IT über einen Cloud-Service oder die Bereitstellung vor Ort.

Sich auf VPNs zu verlassen, anstatt konsistente Sicherheitsprozesse und -Richtlinien einzuführen, birgt ein erhöhtes Risiko für kritische IT-Ressourcen. Unternehmen können ihre Sicherheitsposition erheblich stärken, indem sie intelligente, automatisierte Echtzeit-Entscheidungen für die Gewährung privilegierter Zugriffsberechtigungen auf Systeme und Infrastrukturen implementieren. Damit sind sie auch für eine große Anzahl von Mitarbeitern an Remote-Standorten gut vorbereitet, einschließlich privilegierter Administratoren.

Cloud-Storage- und File-Sharing-Anwendungen bringen Unternehmen aufgrund ihrer Skalierbarkeit und komfortablen Nutzung viele Vorteile. Wird File Sharing jedoch nicht ordnungsgemäß verwaltet, kann dies schwerwiegende Auswirkungen auf die Datensicherheit haben. Jedes Mal, wenn Mitarbeiter Technologien zum Dateienaustausch verwenden, ist dies mit Risiken wie Malware-Infektionen, Verlust oder Offenlegung sensibler Informationen verbunden. Ohne geeignete Sicherheitsmaßnahmen können die Nachteile durch File Sharing deutlich überwiegen, wenn kritische Unternehmensdaten wie Kunden-, Finanzinformationen, Geschäftsgeheimnisse und geistiges Eigentum zusätzlichen Bedrohungen ausgesetzt sind.

Maßnahmen für die File-Sharing-Sicherheit
Um Datensicherheitsrisiken zu minimieren, sollten Unternehmen einige Security-Maßnahmen bei der Nutzung von File-Sharing ergreifen. Hierzu gehören:

1. Aufklärung über Schatten-IT
Der erste Schritt für eine effektive File-Sharing-Security besteht darin, alle Mitarbeiter über die Risiken aufzuklären, insbesondere im Hinblick auf Schatten-IT – heißt, die Nutzung von IT-Lösungen, die nicht offiziell von der IT-Abteilung implementiert und genehmigt wurden. File Sharing per Schatten-IT beinhaltet die Nutzung privater E-Mail-Konten, kostenloser Cloud-Storage-Dienste und anderer File-Sharing-Systeme für Privatanwender. Diese entsprechen möglicherweise nicht den Sicherheitsstandards des Unternehmens und liegen in vielen Fällen außerhalb der bestehenden Sicherheitskontrollen.

2. File-Sharing-Richtlinien implementieren
Neben der Aufklärung der Mitarbeiter über die Risiken durch Schatten-IT, schafft die Umsetzung einer formalen File-Sharing-Richtlinie Klarheit. Die IT- und Security-Teams sollten die Nutzung und Sicherheit von Filesharing-Systemen bewerten. So können sie entscheiden, ob sie eine Verwendung zulassen oder nicht, sowie Sicherheitsmaßnahmen ergreifen, falls ein System zugelassen wird. Zudem sollten Unternehmen die Entwicklung und Implementierung einer allgemeinen Richtlinie für die Nutzung von Dateien erwägen, die speziell für die Verwendung aller File-Sharing-Methoden gilt – einschließlich der Cloud-basierten und der, die zwischen Dateisynchronisierungs- und Datenfreigabe-Anwendungen eingesetzt werden.

3. Anwendungs- und Datentransparenz sowie Datenkontrolle
Wichtig ist, dass die IT-Abteilung einen vollständigen Überblick über alle File-Sharing-Anwendungen hat, die von den Mitarbeitern für die gemeinsame Nutzung von Daten verwendet werden. Zudem sollte das IT-Team in der Lage sein, den Benutzerzugriff auf sensible Unternehmensdaten zu verwalten und zu kontrollieren. Auch müssen Mitarbeiter speziell über die Risiken von Datenverlust oder Diebstahl durch File Sharing aufgeklärt sowie über die Einhaltung der geltenden Vorschriften informiert werden. Zusätzlich helfen regelmäßig Audits, um die File-Sharing-Praktiken des Unternehmens zu analysieren und Sicherheitsrisiken zu identifizieren.

4. Datensicherheitslösungen für die File-Sharing-Security
Die letzte Verteidigungslinie der File-Sharing-Security ist eine Datensicherheitslösung, die vor Datenverlust und Diebstahl durch File Sharing schützt. Data-Loss-Prevention-Technologien (DLP) bieten Sicherheit für File-Sharing-Anwendungen und Cloud-Storage durch eine Kombination aus Zugriffs- und Anwendungskontrolle, Endgerätesteuerung, Netzwerksicherheits-Appliances und anderen proaktiven Maßnahmen, die den Austausch sensibler Unternehmensdaten für nicht autorisierte Anwendungen, Endgeräte und Benutzer wirksam verhindern. Zu den Vorteilen der Einführung einer Datensicherheitslösung für die Sicherheit von File Sharing gehören:

• Kontinuierliche Überwachung und Transparenz für alle Dateninteraktionen mit Web- und Cloud-Speicheranwendungen • Granulare Steuerung der Dateibewegung basierend auf Browser- und Betriebssystemereignissen, die Webanwendungen wie SharePoint, Dropbox und Google Apps betreffen • Automatische Klassifizierung und richtlinienbasierter Schutz von Daten, die von Webanwendungen heruntergeladen werden • Forensische Ereignisprotokolle für eine effektive Alarmierung, Berichterstattung und Richtlinienerstellung • Automatische Verschlüsselung sensibler Daten vor dem Austritt • API-Integration mit führenden File-Sharing-Anwendungen, um die Erweiterung der Datensicherheitsmaßnahmen des Unternehmens auf die Cloud zu ermöglichen Mit der zunehmenden Verbreitung von Cloud Computing kann es für Unternehmen eine große Herausforderung sein, die Nutzung von Cloud Storage und File Sharing durch Mitarbeiter effektiv zu blockieren. Mit der richtigen Kombination aus Mitarbeiterschulungen, umfassenden Sicherheitsrichtlinien für den Dateiaustausch sowie Data-Loss-Prevention-Technologien können Unternehmen jedoch die Vorteile von Cloud Computing und File Sharing nutzen und gleichzeitig Datensicherheitsrisiken minimieren.

Cyberkriminelle haben es häufig auf lukrative Daten abgesehen – mit oft beträchtlichem finanziellem Schaden für das gehackte Unternehmen: In Deutschland kostet ein Datenverstoß eine Organisation durchschnittlich umgerechnet 4,32 Mio. Euro (4,78 Mio. US-Dollar), so das Ergebnis des aktuellen Cost of a Data Breach Report des Ponemon Institute und IBM. Deutschland besetzt damit Platz 3 nach den USA (8,19 Mio. US-Dollar) und dem Mittleren Osten (5,97 Mio. US-Dollar). Der globale Durchschnitt liegt bei 3,92 Mio. US-Dollar. Der Report befragte weltweit 507 Unternehmen aus 17 Branchen und untersuchte unter anderem, wie durch Abwehrmaßnahmen die Kosten eines Datenlecks reduziert werden können. Beispielsweise trugen Unternehmen, die Security-Automation-Technologien eingesetzt hatten, nur etwa die Hälfte der Kosten einer Datensicherheitsverletzung, verglichen mit Unternehmen, die diese Technologien nicht eingesetzt hatten. Eine umfassende Data Security-Strategie ist für jedes Unternehmen deshalb heutzutage unumgänglich, um finanzielle Schäden durch Datenlecks einzudämmen. Grundlegende Best Practices für die Data Security

1. Data Discovery
Heute befinden sich Daten nicht nur in Unternehmensnetzwerken, sondern auch in der Cloud, auf Mobilgeräten und an Homeoffice-Arbeitsplätzen. Das Aufspüren sensibler Daten sowie die Transparenz zu wissen, wohin Daten fließen, wer darauf Zugriff hat und sie weitergeben kann, ist grundlegend für die Datensicherheit. Ansonsten können Unternehmen nicht bewerten, welche Dateien, Dokumente oder geistiges Eigentum das größte Risiko bei einem Sicherheitsverstoß darstellen. Der erste Schritt ist deshalb die Entwicklung einer organisatorischen Sichtung und Strukturierung aller Daten. Umfassende Data Loss Prevention-Lösungen (DLP) verfügen über Data Discovery-Appliances. Diese ermöglichen ein automatisches, konfigurierbares Scannen von lokalen und Netzwerk-Freigaben unter Verwendung von erkennungsspezifischen Inspektionsrichtlinien, um sensible Daten überall dort zu finden, wo sie sich befinden. Detaillierte Auditprotokolle und -berichte liefern zudem die erforderlichen Informationen, um die Einhaltung von Vorschriften nachzuweisen, vertrauliche Informationen zu schützen und das Risiko von Datenverlusten zu verringern.

2. Datenklassifizierung
Die Strategien zur Datenklassifizierung können von Unternehmen zu Unternehmen variieren, aber durch den Einsatz von DLP-Tools zur Analyse sensibler Daten und der Anwendung von Richtlinien können Unternehmen die dringend benötigte Struktur in ihre Sicherheitsstrategie implementieren. Üblicherweise werden Daten in folgende Kategorien eingeteilt: • Eingeschränkt: Daten, die bei einem Datenleck dauerhafte und schwere Konsequenzen für ein Unternehmen bedeuten • Vertraulich: Daten, die vor unbefugtem Zugriff geschützt werden müssen und mäßig sensible Informationen enthalten • Öffentlich: Daten, die geteilt werden dürfen

3. Zugriffskontrollen und kontinuierliche Datenverfolgung
Nachdem die Daten klassifiziert wurden, sollten Unternehmen sicherstellen, dass auf Benutzerebene geeignete Sicherheitskontrollen vorhanden sind, um Informationen vor Diebstahl zu schützen. Richtlinienkontrollen stellen sicher, dass Daten nicht durch böswillige oder fahrlässige Mitarbeiter verändert, verloren oder gestohlen werden können. Gerade unvorsichtige Mitarbeiter sind seit Jahren eine der Hauptursachen für den Verlust von Unternehmensdaten. Um Risiken zu minimieren, entscheiden sich deshalb viele Unternehmen für Kontrollen, die den Datenzugriff für die Mitarbeiter einschränken. Dies stellt sicher, dass Angestellte nur Zugang auf für ihre Arbeit notwendige Daten haben. Data Loss Prevention-Tools bieten hier die Überwachung, Verfolgung und den Schutz sensibler Daten vor nicht autorisiertem Zugriff während des gesamten Verarbeitungszyklus, unabhängig davon, ob sie sich im Ruhezustand, Gebrauch oder in Übertragung befinden. Einige Lösungen verfügen über Richtlinien, die das Auffordern, Blockieren oder automatische Verschlüsseln ermöglichen, wenn ein Benutzer mit sensiblen Daten arbeitet. Andere können so konfiguriert werden, dass sie unbefugten Zugriff auf sensible Inhalte, Manipulationen oder die Synchronisierung mit Cloud-Umgebungen vollständig verhindern.

4. Mitarbeiteraufklärung bei riskantem Verhalten
Neben der Möglichkeit, kritische Daten zu überwachen und zu verfolgen, können Kontrollen zudem verhindern, dass Benutzer bestimmte Handlungen ausführen, wie etwa Daten zu verschieben, zu kopieren oder zu drucken. In diesen Szenarien können Administratoren DLP-Lösungen einsetzen, um Nutzern Benachrichtigungen anzuzeigen, die erklären, weshalb eine Handlung – sei es der Zugriff, das Verschieben oder das Verschicken bestimmter Daten per Mail – verboten ist. Dies trägt zur Aufklärung der Mitarbeiter bei und fördert die Optimierung im Umgang mit kritischen Informationen.

5. Einsatz verhaltensbasierter Erkennungswerkzeuge
Neben Data Loss Prevention, können zudem Lösungen wie Endpoint Detection and Response (EDR) oder Advanced Threat Protection (ATP) Bedrohungen in Echtzeit erkennen, bevor Daten gefährdet werden. EDR-Tools überwachen Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Diese Daten werden auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht. Der Vorgang kann automatisiert werden, wobei Anomalien Alarme für sofortige Gegenmaßnahmen oder weiterführende Untersuchungen auslösen. Zudem bieten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.

Wenn Organisationen genau wissen, welche ihrer Daten besonders wertvoll sind, können sie diese zielgerichtet durch kontinuierliche Überwachung und Verschlüsselung gegen externe Angreifer und Insider-Bedrohungen verteidigen, selbst im Fall eines Sicherheitsverstoßes. Der Einsatz der obengenannten Data Security-Best Practices kann Unternehmen helfen, ihre sensiblen Informationen besser zu schützen und hohe Kosten durch einen Sicherheitsvorfall zu vermeiden.

Malvertising-Angriffe sind ein beliebtes Werkzeug für Cyberkriminelle. Häufig nutzen Hacker dabei das Vertrauen von Usern in bekannte Websites aus, um sie über legitim erscheinende Online-Werbung mit Viren, Ransomware und anderer Schadware zu infizieren. In der Vergangenheit wurde bereits eine beachtliche Liste seriöser Websites zu Trägern bösartiger Werbebanner, darunter MSN, YouTube, Spotify, Yahoo, Reuters, Forbes und die New York Times. Bei einer der jüngsten Kampagnen missbrauchten Kriminelle rund 10.000 gehackte WordPress-Seiten als Malvertising-Schleudern.

Funktionsweise von Malvertising-Angriffen
Malvertisements werden auf die gleiche Weise verbreitet wie normale Online-Werbung. Kriminelle übermitteln bösartige Grafikdateien an ein legitimes Werbenetzwerk mit der Hoffnung, dass der Werbetreibende nicht zwischen vertrauenswürdigen und schädlichen Anzeigen unterscheiden kann. Nach der Genehmigung durch den Werbetreibenden werden diese bösartigen Anzeigen an legitime Websites weitergeleitet.

In einigen Fällen registrieren Cyberkriminelle auch abgelaufene, zuvor legitime Domains neu, um sich selbst als vertrauenswürdige Domain zu tarnen. Anschließend verwenden die Kriminellen Weiterleitungen, um Nutzer auf die nun bösartige Website zu schicken. Da User beim Klick auf Anzeigen eine Weiterleitung erwarten, wirkt der Vorgang unverdächtig. Auf der bösartigen Website wird schließlich Code im Hintergrund ausgeführt, der versucht, Malware auf das Gerät des Users herunterzuladen. Diese unbeabsichtigten Downloads von Schadware werden als Drive-by-Downloads bezeichnet. Hochentwickelte Malvertising-Formen können sogar Schadware direkt von der ursprünglichen Website, welche die Online-Werbung anzeigt, auf dem Gerät des Besuchers installieren, ohne jegliche Interaktion des Opfers.

Warnzeichen für Malvertising
Cyberkriminelle werden immer raffinierter, sodass man auf den ersten Blick schwer erkennen kann, ob eine Anzeige legitim oder Teil eines Malvertising-Angriffs ist. Es gibt jedoch ein paar Warnzeichen, die auf bösartige Online-Werbung hindeuten:

• Anzeigen, die nicht so aussehen, als wurden sie von einem professionellen Grafikdesigner erstellt • Ads, die Rechtschreibfehler aufweisen • Werbung, die wundersame Heilmittel oder Prominentenskandale anpreisen • Anzeigen, die nicht mit dem aktuellen oder typischen Suchverlauf oder Browserverhalten übereinstimmen

Best Practices zum Schutz vor Malvertising-Angriffen
Es gibt zudem eine Reihe von Möglichkeiten, die vor Malvertisements schützen können: • Verwendung von Adblockern und Einschränkung von JavaScript: Wenn Anzeigen auf einer Website blockiert werden, reduziert dies natürlich das Risiko, auf eine bösartigen Werbebanner zu klicken. Allerdings sind einige Webseiten mittlerweile dazu übergangen, die Sicht auf Content zu blockieren, solange ein Adblocker aktiviert ist. Auch kann besonders fortschrittliches Malvertising Adblocker per JavaScript sowie URL-Umleitungen umgehen. Da JavaScript im Browser generell eine gewisse Gefahr birgt, kann dessen Einsatz beispielsweise mit einer Erweiterung wie „NoScript“ eingeschränkt werden. • Direkte Suche nach dem Angebot: Es empfiehlt sich generell, nicht auf Ads klicken, selbst von augenscheinlich seriösen Unternehmen. Bei Interesse an einem Angebot sollte man nach der Website des Unternehmens suchen, statt auf die Anzeige zu klicken. Wenn keine Website existiert oder Beschwerden über das Unternehmen in den Suchergebnissen auftauchen, ist die Anzeige höchstwahrscheinlich gefälscht. • Antiviren-/Antimalwareprogramme: Obwohl diese Lösungen nicht vor allen Formen von Malware schützen können, sind sie eine gute erste Verteidigungslinie gegen bekannte Malware. • Generell hohes Misstrauen walten lassen: Es ist wichtig, sich stets daran zu erinnern, dass reguläre Werbenetzwerke für die Verteilung sowohl von echten als auch betrügerischen Anzeigen verantwortlich sind. Die Zuverlässigkeit einer Website entscheidet nicht unbedingt darüber, ob sie bösartige Online-Werbung enthält oder nicht. Viele Beispiele zeigen, dass selbst die bekanntesten und legitimsten Websites unwissentlich Malvertisements verbreiten können. Trotz aller Bemühungen, wird es unweigerlich Fälle geben, in denen seriöse Unternehmen Malvertisements an Benutzer verteilen. • Verfolgen aktueller Malvertising-Skandale: Wenn sich Nutzer regelmäßig über gefährdete Websites und potenzielle Malvertising-Kampagnen informieren, bietet dies eine zusätzliche Verteidigungslinie gegen bekannte Malvertising-Bedrohungen.

Malvertising wird auch in den kommenden Jahren ein Sicherheitsproblem bleiben. Falls die Website eines Unternehmens ein Werbenetzwerk von Drittanbietern nutzt, sollten sich Verantwortliche darüber bewusst sein, dass jegliche versehentliche Verbreitung von Malvertisements auf ihrer Website potenziellen Kunden schaden und das Unternehmensimage schädigen können. Auch sollten Unternehmen ihre Mitarbeiter umfangreich über Malvertising-Angriffe im Rahmen von Sicherheitsschulungen informieren, um Infektionen auf Unternehmensrechnern sowie BYOD-Endgeräten und damit einhergehende mögliche Datenverluste zu vermeiden. Durch Aufklärung und Wachsamkeit können die Risiken von Malvertising deutlich verringert werden.

Zero-Day-Schwachstellen und entsprechende Exploit-Kits sind äusserst wertvoll auf dem Schwarzmarkt. Cyberkriminelle, die etwa an staatlicher oder Industriespionage beteiligt sind, nutzen diese Schwachstellen als Einfallstor, um hochentwickelte Angriffe durchzuführen oder sensible Daten zu stehlen. Der durchschnittliche Lebenszyklus einer Zero-Day-Sicherheitslücke bis zu ihrem öffentlichen Bekanntwerden beträgt dabei rund sieben Jahre – Exploit-Kits für Angreifer stehen dagegen häufig bereits nach nicht einmal einem Monat zur Verfügung, so eine unabhängige Analyse durch Sicherheitsforscher des amerikanischen Think-Tanks Rand Corporation. Obwohl die Anzahl der Zero-Day-Angriffe steigt, sind viele Unternehmen schlecht vorbereitet, um sich gegen diese Attacken zu wehren. Auch, weil klassische Sicherheitstools sich hauptsächlich gegen bekannte Bedrohungen richten.

Zero-Day-Schwachstellen und -Exploits: Definition und Funktionsweise
Eine Zero-Day-Schwachstelle ist, einfach ausgedrückt, ein ungepatchtes Softwareproblem, das dem Softwarehersteller oder Antivirenanbietern bisher unbekannt ist. Es stehen daher keine Sicherheitspatches zur Verfügung, um den Fehler zu beheben. Zero-Day-Schwachstellen können in jeder Art von Software vorhanden sein und treten insbesondere bei Browser- und Betriebssystemsoftware sowie bei weitverbreiteter Software von Unternehmen wie beispielsweise Adobe auf. Ein Zero-Day-Exploit ist der Code, den Angreifer verwenden, um eine Zero-Day-Schwachstelle auszunutzen und ein System oder Gerät zu kompromittieren. So können Hacker unbemerkt durch die Nutzung des Exploits Zugriff auf Daten oder Netzwerke erhalten oder Malware auf einem Gerät installieren.

Das Zeitfenster zwischen der Entdeckung einer Zero-Day-Schwachstelle und der Veröffentlichung eines Patches zur Behebung des Fehlers ist eine wertvolle Gelegenheit für Angreifer, die Lücke auszunutzen. Deswegen werden Zero-Day-Schwachstellen häufig von Cyberkriminellen lukrativ auf dem Schwarzmarkt gehandelt. Die Preise für Zero-Day-Schwachstellen und Exploit-Kits sind sehr unterschiedlich, können aber bis zu 5.000 US-Dollar oder mehr einbringen. Ein Remote-Exploit für Firefox beispielsweise erzielt Schätzungen zufolge Spitzenpreise von bis zu 200.000 Dollar, ein fortschrittlicher Exploit für Google Chrome zwischen 500.000 und einer Million Dollar. Natürlich sind auch Schwachstellen, die in mehreren Versionen eines grossen Betriebssystems oder einer Software vorhanden sind, wertvoller als solche, die nur in einer einzigen System- oder Softwareversion existieren.

Massnahmen zum Schutz vor Zero-Day-Angriffen
Unternehmen, die einen proaktiven Sicherheitsansatz verfolgen, sind besser gerüstet, um sich gegen Zero-Day-Angreifer zu verteidigen. Aufgrund ihrer Unbekanntheit umgehen Zero-Day-Exploits den Schutz durch traditionelle Antiviren-Signaturen. Verhaltensbasierte Sicherheitslösungen wie Endpoint Detection and Response (EDR) können dagegen einen Zero-Day-Angriffe mithilfe von Heuristiken oder Algorithmen zur VeSicherheitsansatzrhaltensüberwachung erkennen. Diese Technologien überwachen hierfür Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Mithilfe von Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht. Dieser Vorgang kann automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Massnahmen oder weiterführende Untersuchungen auslösen.

Unternehmensinterne Datentransparenz für Sicherheitsteams ist ein weiterer Schlüssel zur frühzeitigen Erkennung eines Zero-Day-Angriffs. Durch eine Überwachung aller Datenzugriffe und -aktivitäten auf anomales Verhalten können Unternehmen schnell Sicherheitsverstösse identifizieren und eindämmen, bevor es zum Datendiebstahl kommt. Data Loss Prevention-Lösungen, die kontextbasierte Klassifikation verwenden, können sensible Geschäftsinformationen, geistiges Eigentum und personenbezogene Daten sowohl in strukturierter Form in Datenbanken als auch in unstrukturierter Form, beispielsweise Dokumente, Bilder, E-Mails, Audio- oder Video-Daten, klassifizieren. Mithilfe von Richtlinien, Kontrollen und Verschlüsselung lassen sich so sensible Daten sowohl im Ruhezustand, in Bewegung und bei Verwendung vor Diebstahl schützen, selbst, wenn es Cyberkriminellen gelingt, einen Zero-Day-Angriff durchzuführen und das Unternehmen einen Sicherheitsverstoss erleidet.

Softwareschwachstellen und die damit verbundenen Zero-Day-Attacken werden auch zukünftig eine unvermeidbare Bedrohung bleiben. Jedoch können Unternehmen durch einen mehrschichtigen und proaktiven Sicherheitsansatz die Risiken und Folgeschäden eines Zero-Day-Angriffs deutlich minimieren.

Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine Möglichkeit, um Sicherheitslücken in Systemen frühzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hackers. Zu ihren Aufgabengebieten gehören etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker, die ihre Fähigkeiten in der Vergangenheit für illegale Aktivitäten wie etwa Einbruch in Unternehmenssysteme und -netzwerke genutzt haben. Geläuterte Cyberkriminelle bieten damit einen umfangreichen Erfahrungsschatz sowie neue Denkansätze und können Lösungen vorschlagen, die nicht gleich auf der Hand liegen.

Bug-Bounty-Programme: Kopfgeldjagd auf Softwarefehler
Ein gutes Beispiel für das Einsatzspektrum von ethischen Hackern sind sogenannte Bug-Bounty-Programme. Mit diesen setzen Unternehmen quasi ein Kopfgeld auf Schwachstellen aus. Damit bieten sie Hackern finanzielle Anreize, um Fehler in einem bereitgestellten Softwareprodukt zu identifizieren und zu melden. Unternehmen können dadurch zeitnah reagieren und Schwachstellen beheben, bevor sie öffentlich bekannt werden. Die Sicherheitslücken Meltdown und Spectre sind gute Beispiele für Schwachstellen, die in einer grossen Anzahl von Systemen gefunden und rechtzeitig gepatcht wurden, bevor sie umfangreich missbraucht werden konnten. Hätten böswillige Angreifer diese Lücken entdeckt, wären die Auswirkungen sehr weitreichend gewesen.

Mögliche Probleme beim Einsatz von Ethical Hackers
Wenn Unternehmen zulassen, dass Hacker versuchen, in ihre Systeme einzudringen, birgt das natürlich auch Risiken. Denn im Erfolgsfall muss darauf vertraut werden, dass der Hacker unternehmensloyal handelt. Ein probates Mittel dafür sind deshalb Bug-Bounty-Programme, da sie den Aufwand des Hackers von vornherein monetarisieren. Sobald eine Schwachstelle gefunden und bestätigt wurde, wird der Hacker für seinen Aufwand bezahlt. So gibt es nur einen begrenzten Anreiz, Daten zu stehlen oder den Exploit weiterzuverkaufen.

Wichtig ist: Die Geschäftsbeziehung zwischen Bug-Bounty-Plattform und Hacker basiert auf gegenseitigem Vertrauen und Respekt. Es gibt Fälle, bei denen sich Hacker nicht an die Regeln und Einschränkungen des Bug-Bounty-Programms gehalten haben. Dies kann rechtliche Konsequenzen durch das Unternehmen nach sich ziehen. Ebenso sind einige Unternehmen und Bug-Bounty-Plattformen bekannt dafür, Hacker nicht zu bezahlen, obwohl die gemeldete Schwachstelle bestätigt wurde. Solch ein Verhalten schädigt das Vertrauen der Ethical-Hacker-Community enorm und kann sogar dazu führen, dass das Unternehmen und die Plattform auf eine Liste mit Zielen für böswillige Angriffe gesetzt werden.

Bedenken beim Einsatz ehemalig krimineller Hacker
Es gibt potenziell immer Personen, die Hacking nur wegen des Nervenkitzels betreiben. Deren Fähigkeiten können jedoch durch legale, herausfordernde Aufgaben positiv umgeleitet werden. Natürlich mag die Frage aufkommen, wie man sich sicher sein kann, dass ein ehemaliger Krimineller nicht wieder straffällig wird, doch dies ist kein spezifisches Problem der Cyberbranche. Wichtig ist, ein Umfeld zu schaffen, bei dem technische Herausforderung, Lern- und Weiterbildungsmöglichkeiten sowie entsprechende Vergütung gut ausgelotet sind. Ãœberwiegen diese Vorteile, lohnt sich das Risiko einer Straftat nicht.

Auch ist es wichtig, dass die Gesetzeslage mit der Technologieentwicklung Schritt hält, damit strafrechtliche Konsequenzen gut bekannt sind und genügend Abschreckung bieten. Cyber-Straftaten werden oft immer noch nachgiebiger geahndet als andere Delikte mit vergleichbarem finanziellem Schaden. Ein Grund, weshalb organisierte Banden immer mehr in die Online-Welt abwandern.

Von Kontrolle zu Freiheit: Zusammenarbeit von Unternehmen und Hackern
Es sollten auf beiden Seiten sehr klare Vereinbarungen getroffen werden, die die Möglichkeit bieten, gegenseitiges Vertrauen aufzubauen. Beispielsweise können Unternehmen zu Beginn Zeit und Ort für die Nutzung internetfähiger Geräte begrenzen, um eine bestimmte Aufgabe zu erfüllen. Ethische Hacker sollten Vorgaben und Abmachungen klar einhalten. Gleiches gilt für das Unternehmen. Werden Vereinbarung durch das Unternehmen nicht erfüllt, ist dies genauso schädlich für die Beziehung. Hat sich das gegenseitige Vertrauen schliesslich bestätigt, sollten ehemalig straffällig gewordene Hacker wie jeder andere Mitarbeiter behandelt werden und die Verantwortung und Rolle erhalten, die ihnen gebührt. Dauerhafte Stigmatisierung erhöht erwiesenermassen die Wahrscheinlichkeit einer Rückfälligkeit. Der Glaube an eine Rehabilitation ist ein wichtiger Bestandteil für ihr Gelingen.

Mit der wachsenden Zahl immer ausgefeilterer Cyberattacken stellt sich nicht mehr die Frage, ob, sondern eher wann ein Unternehmen Opfer eines Angriffs wird. Viele Organisationen konzentrieren ihre Sicherheitsbemühungen immer noch auf Techniken zur Absicherung von Perimetern und investieren grosse Summen in den Versuch, Angreifer von ihren Netzwerken, Servern und Anwendungen fernzuhalten. Doch sollte der Sicherheitsfokus heutzutage auch auf den sensiblen Unternehmensdaten liegen und nicht nur auf den immer anfälligeren Schutzmauern, die sie umgeben ? denn auf lukrative Daten haben es Angreifer zumeist abgesehen. Deshalb verlagern immer mehr Unternehmen ihre Security-Strategie hin zu einer optimierten Identifizierung, Kontrolle und Absicherung ihrer sensiblen Datenbestände. Im Folgenden vier grundlegende Schritte für einen datenzentrierten Sicherheitsansatz:

1. Schritt: Wissen, was geschützt werden muss
Für Unternehmen, die eine datenzentrierte Sicherheitsstrategie verfolgen möchten, ist der beste Ausgangspunkt eine umfassende Datentaxonomie. Schliesslich ist es unmöglich, wirksame Sicherheitsmassnahmen zu ergreifen, wenn man nicht weiss, was es zu schützen gilt. Die Klassifizierung und Strukturierung der eigenen Daten hilft Unternehmen, den vollen Umfang ihrer Sicherheitsanforderungen zu verstehen.

3. Schritt: Kontrolle, wer Zugriff auf sensible Daten hat
Sobald die Daten entsprechend klassifiziert und eingestuft sind, besteht der nächste Schritt darin, den Zugriff auf diejenigen Nutzer zu beschränken, die ihn tatsächlich benötigen. In diesem Stadium ist es wichtig, sich daran zu erinnern, dass nicht alle Datenschutzverletzungen bösartig sind. Viele sind das Ergebnis unbeabsichtigter Nachlässigkeit von Mitarbeitern wie verlorene Memory-Sticks oder Laptops. Die Einführung einer Zugangskontrolle für sensible oder vertrauliche Daten macht es nicht nur böswilligen Insidern und externen Angreifern deutlich schwieriger, Daten zu stehlen, sondern ist auch eine der schnellsten Möglichkeiten, unbeabsichtigte Sicherheitsverstösse zu verhindern. Schliesslich können Mitarbeiter nichts verlieren, was sie gar nicht haben.

Dieser Ansatz gewährleistet auch die Sicherheit der Daten, unabhängig davon, ob sie sich im Ruhezustand, in Ãœbertragung oder in Bearbeitung befinden. In Kombination mit Sicherheits-Best-Practices wie Data-Awareness-Schulungen kann dieser Ansatz weitaus mehr Sicherheit bieten, als sich allein auf Firewalls und Antivirensoftware zu verlassen.

4. Einsatz datenzentrierter Technologien zur weiteren Stärkung der Sicherheit
Als weitere Sicherheitsschicht gibt es zahlreiche datenzentrische Sicherheitstechnologien, die speziell für den Schutz sensibler Daten entwickelt wurden. Data Loss Prevention (DLP), Cloud Access Controls, Verschlüsselungs- und Datentransparenzstrategien können ein erfolgreiches Programm ergänzen und bieten noch robusteren Schutz in der heutigen anspruchsvollen Online-Umgebung.

Trotz des alarmierenden Anstiegs der Cyber-Angriffe in den letzten Jahren ist es wichtig, sich daran zu erinnern, dass ein Sicherheitsverstoss nicht automatisch zu Datenverlust führt. Die Wahl eines datenzentrierten Ansatzes, anstatt ausschliesslicher Verteidigung des Perimeters, kann im Falle eines Verstosses Datenlecks verhindern. Ein grundlegender datenzentrierter Schutz muss nicht kompliziert sein. Wenn man sich nur die Zeit nimmt, um zu ermitteln, welche sensiblen Daten im Unternehmen existieren, wo sie sich befinden und wer Zugang zu ihnen haben sollte, kann dies die Verteidigung der Unternehmen erheblich stärken.

Daten gehören zu den wertvollsten Rohstoffen des 21. Jahrhunderts. Doch immer grössere Mengen an sensiblen Informationen gegen Cyber-Angriffe zu schützen, ist für Unternehmen eine Herausforderung. Viele Sicherheitsstrategien konzentrieren sich auf den Schutz strukturierter Daten in Datenbanken. Jedoch fehlen häufig Massnahmen für die ebenso sensiblen, aber oft schwieriger zu schützenden unstrukturierten Daten, beispielsweise in E-Mails oder Dokumenten. 80 Prozent der Daten in einem Unternehmen zählen laut IBM mittlerweile zu den unstrukturierten Daten. In diesen Datenmassen verbergen sich häufig geschäftskritische oder personenbezogene Informationen. Sie stellen damit ein Risiko für Unternehmen dar, wenn sie nicht ausreichend gegen unberechtigten Zugriff abgesichert werden. Im Folgenden ein kurzer Ãœberblick zu den beiden Datenformen sowie Best Practices zu deren Schutz.

Maschine versus Mensch: Strukturierte und unstrukturierte Daten
Strukturierte Daten sind so organisiert, dass sie für Maschinen einfach zu verarbeiten sind. Sie werden im Allgemeinen in relationalen Datenbanken gespeichert und in definierten Spalten und Zeilen angezeigt. Dadurch können Data-Mining-Tools und -Algorithmen darauf zugreifen und sie leicht analysieren. Traditionell verlassen sich Unternehmen bei ihren Geschäftsentscheidungen auf strukturierte Daten, beispielsweise im Lagerverwaltungs- oder Customer Relationship Management.

Unstrukturierte Daten werden hingegen in für Menschen leicht zugänglichen Formaten gespeichert. Diese Zugänglichkeit erschwert allerdings wiederum Maschinen und Algorithmen den Zugriff. Unstrukturierte Daten finden sich etwa in E-Mails, Textverarbeitungsdokumenten, PDF-Dateien, Bild-, Audio- und Videodateien, Social Media-Beiträgen oder mobilen Textnachrichten. Diese Formate erleichtern die menschliche Kommunikation, machen unstrukturierte Daten aber auch anfälliger für unberechtigten Zugriff und Datenlecks.

Best Practices zur Sicherung strukturierter und unstrukturierter Daten
Strukturierte Daten in Datenbanken lassen sich vergleichsweise einfach sichern. Der Zugang kann nach strengen Richtlinien eingeschränkt werden. Diese sollten folgende Punkte beinhaltet: ? Schaffung eines sicheren, zentralen Speichers ? Verfolgung der Dateneingabe und -nutzung ? Verwaltung von Authentifizierung und verschlüsselter Kommunikation mit SSL-Protokoll ? Schutz von Geräten durch sichere Passwörter ? Möglichkeit des Fernzugriffs zur Datenlöschung auf verlorenen Geräten ? Schulung der Mitarbeiter über Richtlinien und bewährte Sicherheitsverfahren

Der Schutz unstrukturierter Daten stellt eine grössere Herausforderung dar. Denn diese existieren überall im System, wo Benutzer auf Inhalte zugreifen oder diese erstellen. Dadurch kann es schwierig sein, überhaupt zu wissen, dass diese Daten existieren, wer Zugang zu ihnen hat oder sie verwendet. Auch die Verfolgung des Datenflusses durch einen Audit-Trail gestaltet sich schwieriger: Content Pattern Matching-Technologien können Server und Workstations scannen, um unstrukturierte Daten zu klassifizieren, aber diese Lösungen führen oft zu False Positives und Negatives, was sich negativ auf den Workflow auswirken kann. Folgende Best Practices helfen, unstrukturierte Daten zu schützen:

Identifizierung des Zugriffs auf strukturierte und unstrukturierte Daten
Unternehmen sollten identifizieren, welche Mitarbeiter Zugriff auf strukturierte und unstrukturierte Daten haben und den Zugriff auf sensible Datenquellen einschränken. Zudem sollte verwaltet werden, wie Mitarbeiter von Remote-Geräten darauf zugreifen dürfen. Die Ãœberwachung der Benutzeraktivitäten bietet zusätzlichen Schutz, um beispielsweise Anomalien zu erkennen, die auf eine Cyberattacke hinweisen.

Strukturierte und unstrukturierte Daten sind für Unternehmen gleichermassen von Bedeutung. Vor dem Hintergrund der DSGVO muss deshalb sichergestellt sein, dass beide Arten geschützt sind, da bei einem Datenleck hohe Geldbussen und Reputationsschäden drohen. Datenzentrierte Sicherheitstechnologien können Unternehmen zudem unterstützen, durch kontextbasierte Klassifikation und Verschlüsselung sensible Daten gegen Diebstahl und Cyberangriffe zu schützen, selbst im Fall eines Sicherheitsverstosses.

Social Engineering gilt heute als eine der grössten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder System-Schwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fusst auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social-Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Da Social-Engineering-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Grösse eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.

Die Strategie der Cyberkriminellen: Trickbetrüger des digitalen Zeitalters
Social Engineering-Angreifer sind letztlich eine moderne Spielart der klassischen Trickbetrüger. Häufig verlassen sich diese Kriminellen auf die natürliche Hilfsbereitschaft von Menschen: Zum Beispiel rufen sie bei ihrem Opfer an und geben ein dringendes Problem vor, das einen sofortigen Netzwerkzugang erfordert. Social Engineering-Angreifer nutzen gezielt bestimmte menschliche Schwächen wie Unsicherheit, Eitelkeit oder Gier aus und verwenden Informationen, die sie aus Lauschangriffen oder dem Ausspionieren sozialer Medien gewonnen haben. Dadurch versuchen sie, das Vertrauen autorisierter Benutzer zu gewinnen, damit ihre Opfer sensible Daten preisgeben, mit Malware infizierte E-Mail-Anhänge öffnen, oder sie deren Zugangsdaten für Computernetzwerke oder Datenspeicher stehlen können. Auch durch den Aufbau eines Schreckensszenarios wie einem angeblichen Sicherheitsvorfall können sie ihre Zielperson dazu bewegen, beispielsweise als Antiviren-Software getarnte Malware zu installieren und auszuführen.

Häufige Social Engineering-Methoden im Ãœberblick
Technologielösungen wie E-Mail-Filter, Firewalls und Netzwerk- oder Daten-Ãœberwachungs-Tools helfen zwar, Social Engineering-Attacken abzuschwächen, doch eine gut geschulte Belegschaft, die in der Lage ist, Social Engineering zu erkennen, ist letztlich die beste Verteidigung gegen diese Art Angriffe. Unternehmen sollten ihre Mitarbeiter deshalb umfassend über die gängigen Arten von Social-Engineering aufklären. Im Folgenden daher ein Ãœberblick zu verschiedenen Angriffstechniken, deren Ãœbergänge teilweise fliessend sind und von Kriminellen auch in Kombination eingesetzt werden.

Pretexting: Geschicktes Vortäuschen falscher Tatsachen
Beim Pretexting schützt ein Angreifer geschickt falsche Tatsachen vor, um ein Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispielsweise gibt ein Krimineller vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er tarnt sich als Mitarbeiter der IT-Abteilung, um sein Opfer dazu zu verleiten, Login-Daten preiszugeben oder einen Computerzugang zu gewähren. Angreifer führen Köderangriffe durch, indem sie ein mit Malware infiziertes Gerät wie ein USB-Flash-Laufwerk, an einem bestimmten Ort im Unternehmen zurücklassen, an dem es wahrscheinlich gefunden wird. Wenn ein Mitarbeiter den Datenträger mit seinem Computer verbindet, um beispielsweise zu sehen, was sich darauf befindet, wird der Rechner heimlich mit Malware infiziert. Einmal installiert, erlaubt die Malware dem Angreifer, in das System des Opfers einzudringen.

Phishing: Von gefälschten Geschäftsemails bis zum vermeintlichen Spendenaufruf
Bei einem Phishing-Angriff tarnen Cyberkriminelle sich als vertrauenswürde Quelle und nehmen eine betrügerische Kommunikation mit ihrem Opfer auf, um es dazu zu verleiten, Malware zu installieren oder persönliche, finanzielle oder geschäftliche Informationen herauszugeben. E-Mail ist der beliebteste Vektor für Phishing-Angriffe, aber Phishing kann auch Chat-Anwendungen, Social Media, Telefonanrufe (auch Vishing oder Voice Phishing genannt) oder gefälschte Websites verwenden. Einige besonders perfide Phishing-Angriffe täuschen gezielt wohltätige Zwecke vor dem Hintergrund aktueller Naturkatastrophen oder anderen tragischen Vorfällen vor. So nutzen sie den guten Willen ihrer Opfer aus, um durch einen Spendenaufruf an persönliche Daten oder Zahlungsinformationen gelangen.

Watering-Hole-Attacke
Bei einer Watering-Hole-Attacke (Auflauern am Wasserloch) wählt der Angreifer sorgfältig eine bestimmte Website aus, von der er weiss, dass seine Opfer diese häufig besuchen, und infiziert die Homepage mit Malware. Zielpersonen sind meist Mitarbeiter von grossen Unternehmen oder Regierungsstellen. Ein Beispiel wäre die Webseite eines lokalen Restaurants, in denen Mitarbeiter ihre Pause verbringen, beispielweise regelmässig das Tages- oder Wochenangebot abrufen oder den Lieferservice in Anspruch nehmen.

Spear-Phishing: Gezieltes Ausspähen und Angreifen eines Opfers
Spear-Phishing ist eine sehr gezielte Art von Phishing-Angriff, die sich auf eine bestimmte Person oder Organisation konzentriert. Spear Phishing-Angriffe verwenden persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Oftmals werden diese Informationen aus den Social Media-Accounts der Opfer oder anderen Online-Aktivitäten entnommen. Durch die Personalisierung ihrer Phishing-Taktiken haben Spear-Phisher höhere Erfolgsquoten, wenn es darum geht, ihre Opfer dazu zu bringen, Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten oder Geschäftsgeheimnisse preiszugeben. Social Engineering ist eine anhaltende Bedrohung für viele Organisationen. Mitarbeiterschulungen sind deshalb die erste und wichtigste Massnahme, um zu verhindern, dass Unternehmen Opfer von Angreifern werden, die immer ausgefeiltere Methoden einsetzen, um Zugang zu sensiblen Daten zu erhalten. Durch Sensibilisierung der Mitarbeiter in Kombination mit entsprechenden Security- und Datensicherheitstechnologien kann dieses Risiko erheblich minimiert werden.

Security as a Service wird bei Grossunternehmen und KMUs immer beliebter: Die sich ständig erweiternde Bedrohungslandschaft und der Mangel an Fachkräften führt zur zunehmenden Akzeptanz von IT-Sicherheit als Dienstleistung. Denn der Arbeitsmarkt bleibt angespannt, in Deutschland gibt es laut Bitkom 82.000 offene Stellen für IT-Spezialisten, und die Nachfrage nach Sicherheitsexperten steigt branchenübergreifend. Für viele Unternehmen ist deshalb eine Auslagerung von Management, Implementierung und Ãœberwachung des komplexen Security-Bereichs eine sinnvolle und kosteneffiziente Investition, um ihre internen IT-Ressourcen zu entlasten und zugleich ihr Sicherheitsprofil zu schärfen.

Grundlegende Funktionsweise von Security as a Service
Beim traditionellen Security-Modell verwaltet die interne IT-Abteilung Sicherheitslösungen lokal, installiert Anti-Viren-Schutz, Spam-Filter-Software und andere Sicherheitswerkzeuge auf jeder Maschine, im Netzwerk oder auf dem Server und hält die Systeme auf dem neuesten Stand. Beim Security-as-a-Service-Modell (SECaaS) übernimmt ein externer Security-Dienstleister das Management der Cyber-Sicherheit eines Unternehmens. Im Grunde ist die Verwendung einer Antivirensoftware via Internet das simpelste Beispiel für SECaaS. Im Gegensatz zum traditionellen Ansatz, bei dem Unternehmen Vorlaufkosten für Hardware haben, ermöglicht SECaaS die Verwendung der gleichen Tools einfach per Webbrowser.

Vorteile von Security as a Service im Ãœberblick - 1. Konsistenter Schutz durch neueste und aktuellste Sicherheitstools
Programme und Systeme auf dem neuesten Update-Stand zu halten, ist ein entscheidender Baustein für die Unternehmenssicherheit, da veraltete Software ein Einfallstor für Angreifer bietet. Durch Security as a Service arbeiten Unternehmen stets mit den neuesten und aktuellsten Sicherheitstools. Interne IT-Teams müssen sich nicht mehr darum kümmern, dass Benutzer die Antiviren- und andere Software updaten und aktuelle Sicherheitspatches und Virendefinitionen verwenden. Das gleiche gilt für die Aktualisierung und Wartung von Spamfiltern.

2. Externe Sicherheitsexperten als Unterstützung des internen IT-Teams
Durch SECaaS erhalten Unternehmen rund um die Uhr Zugriff auf externe Sicherheitsexperten, die häufig mehr Spezialwissen und Erfahrung als interne IT-Teams mitbringen. Dank der Unterstützung durch externe Fachkräfte können sich interne Security-Spezialisten zudem auf hochwertige Sicherheitsaufgaben konzentrieren, statt Zeit auf administrative Tätigkeiten wie die Wartung der eingesetzten Lösungen zu verwenden. Die Nutzung einer Webschnittstelle oder der Zugriff auf ein SECaaS-Management-Dashboard erleichtert es darüber hinaus dem internen Team, alle Sicherheitsprozesse des Unternehmens im Blick zu behalten.

3. Schnelle Bereitstellung und einfache Skalierbarkeit
Ein weiterer Vorteil von As-as-Service-Angeboten ist, dass IT-Teams Benutzern sofortigen Zugriff auf die eingesetzten Tools geben können. SECaaS-Angebote werden nach Bedarf bereitgestellt und bieten dadurch eine einfache, schnelle und flexible Skalierbarkeit, zugeschnitten auf die Anforderung eines Unternehmens.

4. Kostenersparnis
Durch SECaaS haben Unternehmen keine Vorlaufkosten für Hardware oder Lizenzen. Stattdessen können sie diese durch variable Betriebskosten für die Managed Security-Lösung ersetzen. Dies ist in der Regel günstiger als eine traditionelle In-House-Lösung.

Worauf Unternehmen bei SECaaS-Anbietern achten sollten
Erwägt ein Unternehmen, die Dienste eines SECaaS-Anbieters zu nutzen, gibt es drei Punkte, auf die es zu achten gilt. Unternehmen sollten auf Flexibilität wertlegen, um sicherzustellen, dass die von ihnen gewählten Lösungen keine Interoperabilitätsprobleme aufweisen. Weiterhin ist die Total Cost of Ownership (TCO, Gesamtkosten des Betriebs) ein gutes Kriterium bei der Auswahl eines SECaaS-Anbieters. Man sollte das jeweilige Angebot genau prüfen, sonst bezahlt man am Ende vielleicht mehr für das ausgewählte Paket als bei einem ähnlichen, das nur nominal einen höheren Preis aufweist. Die Lösungen sollten zudem über eine Reporting-Funktion verfügen, die es IT-Teams ermöglicht, wichtige Sicherheitsereignisse, Angriffsprotokolle und andere relevante Daten einzusehen. Der Hauptvorteil von SECaaS besteht zwar darin, dass ein Drittanbieter die gesamte Sicherheit verwaltet, aber die Transparenz sollte dennoch gegeben sein. Mit dem Aufkommen der Cloud gibt es heutzutage nahezu keinen Bereich der IT-Infrastruktur, in dem Dienstleister Unternehmen nicht unterstützen könnten. Die gesamte as-a-Service-Umgebung hat es für Unternehmen schneller, einfacher und kostengünstiger gemacht, ihre IT-Anforderungen zu erfüllen, ohne dass sie eine eigene Infrastruktur aufbauen oder in die Entwicklung, Wartung und Erstellung dieser Ressourcen investieren müssen. In Anbetracht des anhaltenden IT-Fachkräftemangels bieten speziell Security-as-a-Service-Angebote daher einen sinnvollen Weg, um interne IT-Teams zu entlasten und zugleich ein hohes Sicherheitsprofil des Unternehmens zu gewährleisten.

Cyberkriminelle haben betrügerische Sextortion-E-Mails bisher als grosse Spam-Kampagnen verteilt, jetzt erweitern die Angreifer ihre Taktik: Eine Analyse durch Sicherheitsforscher von Barracuda Networks ergab, dass einer von zehn Spear-Phishing-Attacken ein Sextortion-Angriff war. Damit ist es doppelt so wahrscheinlich, dass Mitarbeiter durch einen gezielten Sextortion-Angriff ins Visier genommen werden als durch Business Email-Compromise (BEC).

Sextortion: Vorgehensweise der Angreifer
Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen ? es sei denn, die Zielperson bezahlt. Typerweise werden Bitcoins verlangt und die Wallet-Details in der Erpressungsnachricht mitgeschickt. Sextortion-Angreifer nutzen bei der Kommunikation E-Mail-Adressen und gegebenenfalls Passwörter, die bei Datenlecks gestohlen wurden. Oftmals fälschen Angreifer auch die E-Mail-Adresse durch Spoofing und geben vor, Zugang zum Konto zu haben.

Sextortion-E-Mails werden in der Regel als Teil grösserer Spam-Kampagnen an Tausende von Zielpersonen gesendet, sodass die meisten durch Spam-Filtern entdeckt werden. Doch Kriminelle nutzen mittlerweile auch Social-Engineering, um traditionelle E-Mail-Sicherheitsgateways zu umgehen. Sextortion-E-Mails, die in Posteingänge gelangen, stammen meist von angesehenen Absendern und IPs. Hacker verwenden hierfür bereits kompromittierte Office 365- oder Gmail-Konten. Zudem enthalten Sextortion-E-Mails in der Regel keine bösartigen Links oder Anhänge, die von herkömmlichen Gateways erkannt werden. Angreifer haben auch begonnen, den Inhalt der E-Mails zu variieren und zu personalisieren, was es für Spamfilter schwierig macht, sie zu stoppen. Sextortion-Scams werden zudem aufgrund ihres vermeintlich peinlichen Inhalts von Opfern oft nicht gemeldet. IT-Teams sind sich dieser Angriffe deshalb häufig nicht bewusst.

Gängige Sextortion Betreffzeilen
Es zeigte sich, dass die Mehrheit der Betreffzeilen in den untersuchten Sextortion-E-Mails eine Form von Sicherheitswarnung enthält. Mehr als ein Drittel fordert eine Passwortänderung. Angreifer geben zudem oft die E-Mail-Adresse oder das Passwort des Opfers in der Betreffzeile an, damit die Zielperson die E-Mail öffnet. Im Folgenden einige Beispiele:

? name@emailaddress.com wurde angegriffen. Ändern Sie Ihre Zugangsdaten. ? Ihr Konto wurde gehackt, Sie müssen es wieder freischalten. ? Ihr Konto wird von einer anderen Person genutzt. ? Ändern Sie umgehend Ihr Passwort. Ihr Konto wurde gehackt.

Gelegentlich sind Angreifer auch direkter und verwenden bedrohliche Betreffzeilen:
? Du bist mein Opfer. ? Hör mir besser zu. ? Du hast nicht viel Zeit. ? Das ist meine letzte Warnung name@emailadresse.com

Branchen, die am stärksten von Sextortion betroffen sind
Laut der Untersuchung ist der Bildungsbereich am häufigsten von Sextortion-Angriffen betroffen, gefolgt von Regierungsstellen und Unternehmen im Bereich Business Services. Der starke Fokus auf den Bildungsbereich ist ein kalkulierter Zug der Angreifer. Bildungseinrichtungen haben in der Regel eine grosse und junge Benutzerbasis. Diese verfügt meist über weniger Sicherheitsbewusstsein und weiss oft nicht, wo sie sich im Fall eines solchen Angriffs Hilfe suchen kann. Aufgrund mangelnder Erfahrung mit dieser Art Bedrohung besteht ein grösseres Risiko, dass junge Menschen Opfer von Sextortion werden. Durch einen mehrschichtigen Ansatz aus Technologien, Best Practices und umfangreicher Aufklärung kann so das Risiko durch Sextortion-Angriffe deutlich reduziert werden.

Der Managementberatungs-, Technologie- und Outsourcing-Dienstleister Accenture hat die Webauftritte der 260 weltweit bekanntesten Marken unter die Lupe genommen. Das Ergebnis: Nike.com, Google.com, Adidas.com, Ford.com und Microsoft.com bringen Verbrauchern ihre Marke am nächsten.

Neun Schlüsselfaktoren für eine Marken-Website
Mit dem neuen Instrument Website Evaluator hat Accenture die Internetseiten auf neun Schlüsselfaktoren mit 33 Unterkriterien hin analysiert: Suche und Navigation, Information, Service, Einbindung, Beziehungsaufbau, Branding, E-Commerce, globale Präsenz sowie Anzahl der Besucher.

Aufbau einer Beziehung zum Kunden scheitert häufig
"Internetseiten können starke Beziehungen zwischen der Marke und dem Verbraucher aufbauen, wenn der Konsument die Marke im Web positiv erlebt", sagt Dietmar Kruse, Geschäftsführer von Accenture Marketing Sciences. "Wichtige Voraussetzungen dafür sind, dass Inhalte und Technologien überzeugend miteinander verknüpft werden, relevante Informationen in interessanten Formaten verpackt sind und es Möglichkeiten für einen erfolgreichen interaktiven Austausch gibt."

Viele Unternehmen legten bei ihren Internetseiten zwar hohen Wert auf die Darstellung ihrer Marke und den Verkauf. Das Potenzial, Beziehungen mit den Verbrauchern aufzubauen, liessen sie jedoch vielfach ungenutzt. "Unsere Analysen zeigen, dass Unternehmen bessere Resultate der Branding- und Marketinginvestitionen zu erwarten haben, wenn sie Funktionalität und Wirkung ihrer Internetseiten verbessern. Die Möglichkeiten dafür sind enorm", so Dietmar Kruse. "Mit dem Website Evaluator und dank der ermittelten Leistungsmerkmale können wir unseren Kunden sehr genaue Hinweise geben, wo das Verbesserungspotenzial ihrer Marken-Websites liegt." Nach Analyse der Webauftritte der 260 weltweit bekanntesten Marken verfüge Accenture über eine detaillierte Vergleichbasis für weitere Untersuchungen.

Die Top 5-Marken-Websites
Die internationalen Webauftritte von Nike, Google, Adidas, Ford und Microsoft schneiden bei der Accenture-Untersuchung am besten ab.

- Die Internetseite von Nike erzielte die besten Ergebnisse in punkto Branding, Nutzer-Einbindung und Beziehungsaufbau zum Kunden. So kann man dort zum Beispiel den eigenen Laufstil bewerten und optimieren sowie eigene Sportschuhe entwerfen. - Auch Google gelingt es besonders gut, positive Beziehungen zum Verbraucher aufzubauen, dank des einfachen Webdesigns und des unkomplizierten Zugangs zu Diensten wie interaktiven Landkarten, Videos, Blogs und Nachrichten. - Auf Adidas.com beeindruckt, dass der Firmenslogan "Impossible is Nothing" mit einer Fülle von Animationen und Bildern von Spitzensportlern eindrucksvoll vermittelt wird, ohne dass dabei Informationen über die Produkte und das Unternehmen vernachlässigt werden. - Die US- Internetseite von Ford erhielt Bestnoten für detaillierte und hilfreich aufbereitete Produktinformationen sowie den virtuellen "Showroom". - Microsoft.com bewertet der Accenture Website Evaluator besonders positiv hinsichtlich der nützlichen Angebote für Verbraucher wie Softwaredownloads, Bedienungsanleitungen und Tutorien.

Für 83 Prozent der Unternehmen in der Schweiz steht die IT-Sicherheit an oberster Stelle. Der Mehrwert der IT-Dienstleistungen wird hingegen noch wenig gemessen: Mit 67 Prozent nimmt die Finanzindustrie eine Vorreiterrolle ein - die übrigen Industrien liegen bei 42 Prozent.

Die von Accenture und Avanade durchgeführte CIO-Studie zeigt: Für 83 Prozent der befragten Unternehmen ist IT-Sicherheit weiterhin ein Top-Thema. Für die restlichen Unternehmen wird es innerhalb der nächsten zwei Jahre zentral werden. Schon in den Jahren 2005 und 2006 stand die Sicherheit an oberster Stelle. Zu den weiteren vier Prioritäten zählen bei den CIOs (Chief Information Officers) "Business Intelligence", "Archivierung", "Kontrolle und Ãœbersicht über alle laufenden Projekte" sowie "Kostenmanagement". Die heute populären Themen RFID (Radio Frequency Identification) oder Near- und Offshoring werden zumindest in absehbarer Zeit für die befragten Unternehmen nicht an Relevanz gewinnen.

IT schafft Mehrwert
Die befragten IT-Führungskräfte sind davon überzeugt, dass der Grossteil der IT-Budgets in Projekte fliessen, welche einen klaren Mehrwert für das Unternehmen schaffen. Bei 67 Prozent der Finanzdienstleister werden die IT-Dienstleistungen anhand von KPIs (Key Performance Indicators) wie etwa der Umschlagshäufigkeit, Kapitalbindung oder Lohnstückkosten gemessen. In den übrigen Industrien liegt diese Quote bei 42 Prozent. Auch die IT-Servicequalität wird bei rund zwei Dritteln der Finanzdienstleister-Unternehmen regelmässig zusammen mit anderen Geschäftseinheiten beurteilt, in den restlichen Industrien sind es nur 42 Prozent.

Fokus auf die Kosten
Die Leistungsmessung der IT anhand von Kennzahlen erfolgt in 58 Prozent der Fälle hauptsächlich, um Kosten erklären und die Budgets einhalten zu können. Bei 32 Prozent der Befragten stehen die Effizienz und der Vergleich mit Benchmarks im Vordergrund, 10 Prozent legen den Fokus auf die Wertschöpfung, welche die IT für das Unternehmen beiträgt.

Hoher Stellenwert der IT im Unternehmen
Der Informationstechnologie wird in 76 Prozent der antwortenden Unternehmen ein hoher Stellenwert für den Geschäftserfolg eingeräumt. In 71 Prozent der Fälle wird die IT zudem als strategischer Wert innerhalb des Unternehmens gesehen. Ist ein CIO selbst Mitglied der Geschäftsleitung, funktioniert sowohl die Integration der IT in die strategischen Entscheide des Managements als auch die Steuerung der IT besser. Im Gegensatz zu früheren Untersuchungen zeigt sich, dass heute die IT- und die Geschäftsstrategie in Firmen regelmässig aufeinander abgestimmt werden - Ad-hoc-Abgleiche gehören meist der Vergangenheit an.

Zur Studie
Das Ziel der mittlerweile dritten von Accenture zusammen mit Avanade (einem Joint Venture von Microsoft. und Accenture) durchgeführten Studie war es, die aktuellen IT-Trends und den Status der IT-Governance in der Schweiz zu eruieren. Der Fokus lag auf dem Thema IT-Industrialisierung.

Die Studie basiert auf einer schriftlichen Befragung von 41 IT-Entscheidungsträgern (156 Fragebogen versandt) von grossen Unternehmen in der Schweiz. Ansprechpartner waren CIOs bzw. Führungskräfte auf Geschäftsführungsebene oder oberer Managementebene, die Auskunft zu den strategischen IT-Aktivitäten und der IT-Governance ihres Unternehmens geben konnten. Die Befragung wurde im Auftrag von Accenture und Avanade im 2. Quartal 2007 durchgeführt. Die komplette Studie finden Sie im Internet zum Download bereit.

Viele User haben beim Senden einer E-mail an einen Empfänger mit einer Hotmail-Email-adresse grosse Probleme. Sie erhalten die folgende Rückmeldung von Hotmail:

Hotmail hat eine willkürliche und undurchsichtige Spambekämpfung implementiert die es den ISP?s unmöglich macht, diesen Fehler zu beheben, da keine Mitarbeit seitens von Hotmail vorhanden ist. Wir bedauern dies sehr, empfehlen ihnen deshalb, auf eine alternative Emailadresse zu wechseln, damit ihre Emails auch sicher beim Empfänger ankommen.

550 Your e-mail was rejected for policy reasons on this gateway. Reasons for rejection may be related to content with spam-like characteristics or IP/domain reputation problems. If you are not an e-mail/network admin please contact your E-mail/Internet Service Provider for help. For e-mail delivery information, please go to http://postmaster.live.com

Hotmail hat eine willkürliche und undurchsichtige Spambekämpfung implementiert die es den ISPâ??s unmöglich macht, diesen Fehler zu beheben, da keine Mitarbeit seitens von Hotmail vorhanden ist. Wir bedauern dies sehr, empfehlen ihnen deshalb, auf eine alternative Emailadresse zu wechseln, damit ihre Emails auch sicher beim Empfänger ankommen.

Tipps und Tricks um Rechner vor fremden Attacken wirkungsvoll zu schützen und was Sie tun können um das Risiko eines Virenbefalls stark zu vermindern. Eine hundertprozentige Sicherheit wird es vermutlich nie geben, jedoch kann mit den richtigen Restriktionen das Restrisiko auf ein Minimum reduziert werden.

- Unbedingt eine AntiViren Software installieren. Eine Liste von Herstellern ist unter der Rubrik Unix & Linux und Windows zu finden. Viele Hersteller halten sogenannte zeitbegrenzte Testversion auf ihren Webseiten zum Download bereit. Somit kann jeder Anwender für sich entscheiden, welche Software ihm am besten zusagt.

- Antiviren Software ist abhängig von der Aktualität der Virentabelle. Es ist ratsam von Zeit zu Zeit die Virenliste von dem jeweiligen Hersteller aus dem Internet runter zuladen!

- Niemals Programme vom Internet laden von denen der Ursprung nicht bekannt ist.

- Öffnen Sie keine Attachments, deren Art Sie nicht kennen oder die Herkunft nicht eindeutig ist. Um ein Virus nicht versehentlich zu aktivieren, empfehlen wir Mails mit unbekanntem Absender oder zweideutigem Inhalt sofort und unwiderruflich zu löschen!

- Bevor Dateianhänge eingehender E-Mails geöffnet werden, diese zunächst in einem Verzeichnis speichern und nochmal mittels eines Virenscanners überprüfen und gegebenfalls löschen.

- Informieren Sie sich über Sicherheitslücken in Ihrer Internet-Software, einschliesslich des Betriebssystems. Installieren Sie regelmässig entsprechende Updates, Bug-Fixes oder Patches etc. - Gehen Sie nie ins Internet, wenn Sie als Benutzer im LAN mit Administrator-Rechten angemeldet sind. Richten Sie dafür einen Benutzer mit drastisch eingeschränkten Rechten ein, ansonsten Tür und Tor geöffnet sein könnten. - Es ist empfehlenswert, den Arbeitsspeicher von Zeit zu Zeit, auf resistente Programme zu überprüfen. Antispywareprogramme übernehmen diese Aufgaben. Es sollte jedoch darauf geachtet werden, dass auch diese regelmässig Upgedatet werden. - Die "Fenster-Funktion" in Outlook ausschalten und beim Surfen im Internet durch entsprechende Einstellungen des Browsers sogenannte "aktive Inhalte" (Java Scripting oder Aktive Scripting) nicht zuzulassen. Solche Inhalte wie bewegte Bilder und interaktive Angebote können bei der Ãœbertragung eines Computervirus eine entscheidende Rolle spielen. Wer jedoch nicht auf alle Funktionen der neuen Webtechnologie verzichten möchte, sollte zumindest ActiveX unterbinden wobei manchmal auch Einschränkungen beim Besuch von Webseiten gegeben ist. - Im Bios das System dahingehend anzuweisen, dass beim Start des Systemes nicht mehr zunächst von einem Diskettenlaufwerk gebootet wird. Hin und wieder werden Disketten im Laufwerk "vergessen" welche beim hochfahren des Rechners zuerst gelesen würden. Somit wird verhindert, dass von einer virenverseuchten Diskette gebootet und das System mit einem Bootsektorvirus infiziert wird - Eine Bootdiskette erstellen, die garantiert virenfrei ist. So eine Diskette kann bei einem evtl. späteren Virenbefall eine grosse Hilfe sein. Oftmals übernimmt diese Arbeit auch die installierte AntiViren Software. Unbedingt die Diskette mechanisch mit Schreibschutz versehen. Softwarebasierender Schreibschutz wird durch sehr viele Viren einfach umgangen. - Da einige sehr schädliche Viren auch versuchen die Festplatte unter Hilfename bereits installierter Programme zu formatieren, hilft in vielen Fällen ein ganz einfacher Trick, dem Virus derartige Funktionen zu verwehren: Die Dateien Debug.exe, Format.com und Deltree.exe in mit einer Zahl zu versehen, die Dateiendung aber so zu belassen. Die Funktionen der genannten Programme werden bei Aufruf nicht beeinträchtigt. - Die Server müssen von Zeit zu Zeit durch ein unabhängiges Serverkontrollmonitoring auf Sicherheitslücken gescannt und überwacht werden. Um versuchte Einbrüche in das Netz zu erkennen müssen so genannte Portscanns eben auch als solche erkannt werden. Sicherheitsrevisionen und Test-Hack-Attacken gehören ebenso zum Kontrollinstrument wie auch das sensibilisieren der Benutzer. - Um die Sicherheit der Unternehmensinformatik zu erhöhen, braucht es viel Zeit und Engagement um die Benutzer regelmässig über Sicherheitsaspekte zu unterrichten und klare Anwenderrichtlinien auszuarbeiten. So sollten etwa Mitarbeiter in regelmässigen Abständen darauf hingewiesen werden, dass sie niemandem, weder telefonisch noch direkt über die Informatikumgebung Auskunft zu geben haben und dass sie erst recht niemandem ihr Passwort verraten sollten. Ein Passwort ist der Schlüssel, mit dem sich im Internet viele Türen öffnen lassen, deshalb fängt die Online-Sicherheit schon bei der Wahl des richtigen Passworts an. Die meisten Menschen gehen sehr leichtfertig mit ihren Passwörtern um, weil sie erstens zu gutgläubig sind und zweitens nicht erahnen können welchen Ärger man sich einhandeln kann, wenn jemand anderer sich unter ihrem Namen Zutritt zu vertraulichen oder kostenpflichtigen Informationen in Firmennetzen oder im Internet verschafft. Die meisten Hackerattacken werden laut Sicherheitsberatern von den eigenen Mitarbeitern durchgeführt und nicht wie immer propagiert von externen «bösen Buben». Doch nicht nur die Treuherzigkeit vieler Anwender kann zum Sicherheitsrisiko werden, auch gewisse Praktiken sind hoch gefährlich. So ist es vor allem bei KMUs gang und gäbe, dass Kollegen untereinander die Passwörter tauschen. Passwörter haben in einem solchen Szenario eigentlich überhaupt keine Funktion mehr, sondern stören nur. Entsprechend ist die Moral dem ganzen Thema Computer-Sicherheit gegenüber. Oft sind Passwörter aber auch einfach zu erraten. Steht das Passwort im Lexikon, sollte es nicht verwendet werden, denn Einbruch-Tools haben ganze Lexika geladen und probieren die Wörter in Sekundenschnelle als Zugangsbegriffe durch. Ungünstig sind aber auch die Anfangbuchstaben der Wörter in einem Satz. Oft können sich die Benutzer nämlich die Sätze nicht merken und schreiben sie deshalb auf. Bei einer «Wer sucht, der findet»-Aktion wurden Passwörter auf der Rückseite von Tastaturen gefunden oder waren auf den Bildschirmrand geschrieben. Nachfolgen ein paar Regeln im Umgang mit Passwörtern: - Schreiben Sie ihr Passwort niemals auf und achten Sie beim Eingeben des Passworts, dass Ihnen niemand über die Schulter schaut. - Ändern Sie auf jeden Fall Ihr Passwort sofort, sobald Sie sich ausspioniert fühlen und informieren sie auch immer Ihren Vorgesetzten. - Wenn Sie glauben, dass jemand anderer Ihr Passwort verwendet, dann informieren Sie umgehend den Systemadministrator, er kann vielleicht dem Bösewicht eine Falle stellen. - Passworte sollten keine persönlichen Gegebenheiten wiederspiegeln wie, Vornamen, Nachnamen, Firmennamen, Telefonnummern, Autokennzeichen, Automarken oder Strassennamen etc. - Das Passwort muss mindestens sechs, besser aber acht Zeichen lang sein und aus einer Mischung von Buchstaben und Zahlen sowie aus Gross- und Kleinschreibung bestehen. - Am besten eignen sich geografische Namen wie Ortschaften, die per Zufall in einem Atlas nachgeschlagen und durch eine Nummer ergänzt werden. Beispielskombination mit der Ortschaft Ascona: aScoNA25 oder AS2cOna5

Nur wenn die Firewall mit einem praxisgerechten Regelsatz versehen ist, wird diese ein Netzwerk auch wirklich sichern können. Die wichtigste Aufgabe beim Einbau einer neuen Firewall ist die Definition der Regeln, nach denen die Firewall arbeiten soll.

Aufsetzen des Regelsatzes
Erfolgreiche Regelsätze sind einfache Regelsätze. Je einfacher Ihre Regeln sind, umso sicherer wird Ihre Firewall sein. Wenn Ihre Firewall 30 bis 50 Regeln hat, dann liegen Sie im orangenen Bereich, mit jeder Regel wächst die Gefahr einer Fehlkonfiguaration deutlich an. Je kürzer der Regelsatz ist, umso schneller kann die Firewall ihn abarbeiten, das heisst, die Performance wird besser. Zwar arbeiten die meistem Firewalls sehr effizient, aber es kann auf keinen Fall schaden, Reserven zu haben.

Der Regelsatz
Die LAN-Nutzer erhalten nur Zugriff auf die Dienste, die sie auch wirklich brauchen. In diesem Fall sind dies DNS, HTTP, SMTP und POP. Die Regeln folgen nun in der Reihenfolge, wie sie im Regelsatz erscheinen sollen, d.h. die erste Regel steht ganz oben und die elfte wird ganz zuletzt abgearbeitet.

- Firewall-Admin-Zugang: Die folgende Lockdown-Regel verbietet sämtlichen Traffic zur Firewall, diese Regel erlaubt es den Admins, auf die Firewall zuzugreifen.

- No Logging: Die vorletzte Regel Ihres Regelsatzes sollte die "No-Logging"-Regel sein. Diese Regel bezieht sich auf internen Traffic. Geschwätzige Protokolle wie NetBIOS produzieren jede Menge nutzlose Log-Einträge. Mit dieser -Regel werden solche Protokolle ausgefiltert, und die Log-Dateien bleiben lesbar. Auch diese Regel gehört zu den Standard-Regeln, über die jede Firewall verfügen sollte.

- Lockdown: Diese Regel blockiert den Zugriff auf die Firewall. Es handelt sich hier um eine Standard-Regel, die in jedem Regelsatz vorhanden sein sollte. Niemand ausser dem Firewall-Administatoren benötigt Zugriff auf die Firewall

- DNS-Zugriff: Internet-Nutzer sollen Zugriff auf den DNS-Server in der DMZ haben. - Mail-Zugriff : Internet- und LAN-Nutzer sollen Zugriff auf den Mail-Server via SMTP haben. - Web-Zugriff: Internet- und LAN-Nutzer sollen Zugriff auf den Web-Server via HTTP haben. - Admin-Zugriff: Diese Regel erlaubt den Admins den verschlüsselten Fernwartungs-Zugriff auf das LAN. Zur Erhöhung der Sicherheit sind sie dabei auf bestimmte IP-Adressen beschränkt. - Interner POP-Zugriff: Diese Regel erlaubt den Zugriff vom LAN via POP auf den Mail-Server. - DMZ abschotten: Diese Regel trennt die DMZ vom LAN. Kein Nutzer aus dem LAN darf auf die DMZ zugreifen. - DMZ-Kontrolle: Normalerweise sollte die DMZ niemals versuchen, Daten an das interne LAN zu senden. Wenn dies doch passiert ist das ein Indiz für einen Hacker-Einbruch. Diese Regel blockiert sämtliche Daten, loggt alles mit und alarmiert den entsprechenden Admin. - Drop-all: Standardmässig werden alle Pakete, auf die sich keine Regel anwenden lässt, von der Firewall verworfen. Dieser Vorgang erscheint aber nicht in der Log-Datei. Sie sollten deshalb die Regel "Verwerfen UND mitloggen" aufsetzen und ganz am Ende des Regelsatzes platzieren. Der Grund: Die meisten Angriffe erfolgen über illegitime Pakete, die keiner Firewall-Regel genügen. Folgende Regeln sind nicht unbedingt nötig, helfen aber die Performance und Sicherheit zu verbessern. - Blockieren Sie alle Verbindungen zu Doubleclick oder den andern grossen Anzeigen-Vermarktern im Internet. Damit werden Sie die ganzen Banner los; dies spart Ihren Nutzer Zeit und Bandbreite und verbessert die Performance. - Um ICQ-Verbindungen zu blockieren, sollten Sie statt der betreffenden Ports direkt die Ziel-Server bei AOL blockieren. Testen und Pflegen des Regelsatzes Scannen Sie das Ergebnis Ihrer Arbeit mit einem Tool wie Nessus oder Nmap. Nur so können Sie feststellen, dass Sie nicht Regeln vergessen haben und ob sich die Firewall in der Praxis bewährt. Wenn die Tests keine Fehler ergeben wäre die Firewall einsatzbereit. Sobald der Regelsatz funktioniert, sollten Sie diesen unbedingt dokumentieren. Gerade in grösseren Organisationen ist es eminent wichtig, die Firewall-Regeln sauber zu dokumentieren, sonst sind der Fehlkonfiguration Tür und Tor geöffnet - einfach aus Unkenntnis heraus. Jede Regel sollte wie folgt dokumentiert werden: - Wer hat die Regel geändert? - Wann wurde die Regel geändert? - Warum wurde die Regel geändert? Damit sorgen Sie dafür, dass Ihre Firewall auch in Zukunft ein sicheres Tor zum Internet sein kann.

Werbemüll in elektronischen Briefkästen nerven nicht nur die Benutzer, sondern sie überlasten auch E-Mail-Server der Unternehmen. Was kann man gegen diese Flut von ungewollten Werbebotschaften tun und wie verhält man sich als Spam-Opfer am wirkungsvollsten um nicht im zunehmenden E-Mail-Schrott zu ersticken. Eine Vielzahl von Spam-Filtern propagieren Abhilfe, bergen aber auch unliebsame Nebenwirkungen.

Monty Python lässt grüssen
Spam leitet sich vom Hauptrequisit eines Monty Python-Sketches (Dosenfleisch, english spiced pork and meat) ab. Mit Spam werden solche E-Mails bezeichnet, welche man unverlangt erhält. Meist sind dies Werbebotschaften für Produkte oder sie bieten irgendwelche Links zu einschlägigen Seiten an. Zunehmend werden aber Spams auch für das Verteilen von Trojanern, welche das Ausspionieren von Computersystemen möglich machen, oder zum Einfügen von Computerviren, die sich so explosionsartig im Internet verteilten können, eingesetzt. Neben der Zeit, die man für das Durchsehen der E-Mails benötigt, wird auch viel Platz im Postfach und auf der Festplatte verschwendet.

Wie funktionieren Spams
Spam ist deshalb möglich, weil die Mechanismen der Protokolle, welche die E-Mails im Internet transportieren, in ihrer Ursprungsform keine Benutzeridentifizierung vorsehen. Prinzipiell kann also jeder, der sich mit den entsprechenden Befehlen auskennt, mit einer beliebigen Absenderadresse irgendeinem Empfänger über praktisch jeden E-Mail-Server Spam-Post versenden. Da täglich mehr Menschen per E-Mail zu erreichen sind, wird der potenzielle Empfängerkreis für Spams immer grösser. Das Aufkommen solcher Spam-Mails hat in letzter Zeit problematische Ausmasse angenommen. E-Mails werden teils mit Verzögerung von bis zu 24 Stunden zugestellt. Die spezifischen Vorteile der E-Mail-Kommunikation wie Schnelligkeit oder ständige Verfügbarkeit werden damit langsam aber sicher aufgehoben. Mittlerweile hat sich ein schwunghafter Handel mit Mailadressen etabliert und es werden immer ausgefeiltere Spam-Programme entwickelt, welche das Spamming für die Versender vereinfachen.

Woher stammen die Adressen
Als Quellen für E-Mail-Adressen werden sogenannte Web-Roboter-Programme (Web Robots) eingesetzt, welche Internetseiten systematisch nach Adressen absuchen und nach charakteristischen Merkmalen wie das "@"-Symbol oder in Usenet-Postings (Diskussionsforen) Ausschau halten. Als Betreiber einer Internetseite ist man darauf angewiesen, dass beispielsweise potenzielle Kunden Kontakt mit der Verkaufsabteilung aufnehmen können. Hierzu gehört auch eine Mailadresse; es gibt aber auch verschiedene Möglichkeiten, diese vor Web-Robotern zu verschleiern (siehe Kasten). Eine weitere Methode der Spammer an E-Mail-Adressen zu kommen, sind Lockangebote im Internet, beispielsweise gibt es Gewinnspiele, welche nur zu dem Zweck betrieben werden, E-Mail-Adressen zu sammeln. Des Weiteren kursieren im Internet auch diverse Angebote von Adresslisten auf CD, die von professionellen Adresshändlern bereits fixfertig für Spam-Programme aufbereitet sind. Zu guter Letzt werden E-Mail-Adressen auch nach dem Zufallsprinzip generiert.

Sie sind bereits Spam-Opfer
Als Opfer von Werbemüll kann man als radikalstes Mittel natürlich die Mailadresse wechseln. Da noch frei verfügbare «sprechende» Adressen aber mittlerweile selten sind und man als Nutzer nicht immer nur als «Nummer» auftreten möchte, sollte man diesen Schritt als letztes Mittel verwenden. Viele Mailprogramme bieten sogenannte Regel- oder Filterfunktionen an. Diese kann man nutzen um selbst Mails nach Schlagworten zu durchsuchen und verdächtige Mails, beispielsweise aus dem Posteingang in einen separaten Postfachordner zu verschieben. Dieser muss dann natürlich von Zeit zu Zeit durchgesehen und bereinigt werden, da die Spam-Mails den verfügbaren Festplattenplatz einschränken. Spam-Mails beinhalten meist einen Link, um sich aus der vermeintlichen Mailingliste, in der man sich befindet, wieder auszutragen («Klick here to unsubscribe») oder («Klicken Sie hier um sich aus der Mailingsliste zu löschen»). Dies sollte man auf gar keinen Fall tun. Der grösste Gefallen, den man Spammern tun kann ist eine direkte E-Mail-Antwort. Sollte Ihre Antwort den Spammer erreichen leitet er aus Ihrer Antwort ab, dass er auf eine gültige Adresse gestossen ist, die sich gewinnbringend weiterverkaufen lässt. Unternehmen können Spamming über ihre Rechner unterbinden, in dem sie das sogenannte «Relaying» abschalten, das heisst, der Server akzeptiert nur noch Mailadressen, die an seine Adresse gerichtet sind. Der beliebige Versand an alle möglichen Adressen ist damit nicht mehr möglich.

Abhilfe mit Spam-Filter
Die Spamflut, die Millionen unerwünschter Mails in die elektronischen Postkästen der Unternehmen spült sorgt für einen regelrechten Nachfrageboom nach E-Mail-Filtern. Nach Berechnungen der britischen Marktforscher von Datamonitor (www.datamonitor.com) soll der Markt für E-Mail-Filter-Lösungen bis zum Jahr 2008 auf insgesamt 2,87 Mrd. Dollar anschwellen. Damit sagen die Marktforscher dem weltweiten Markt eine satte jährliche Wachstumsrate von 26 Prozent voraus. Allein im vergangenen Jahr waren nach Berechnungen mehrerer E-Mail-Filter-Spezialisten zwischen 60 und 80 Prozent aller eingehenden Mails Spam. Da auch Gesetzesbeschlüsse wie der US-amerikanische Can-Spam-Act bisher ihre Wirkung verfehlten setzen die Unternehmen nun verstärkt auf E-Mail-Filter.

Es gibt sowohl kommerzielle als auch kostenfreie Filterprogramme, die in der Lage sind eingehende E-Mails zu untersuchen und (vermeintliche) Spam-Mails zu kennzeichnen oder zu löschen. Diese filtern die eingehende Post beim Abholen vom Server nach Spam-typischen Kriterien aus, beispielsweise numerische Absenderadresse, typische Schlagworte wie das Wort «Viagra», «Vi@gra» oder «V/I/A/G/R/A» geschrieben oder sonstig einschlägige Phrasen.

Die Auffälligkeiten des vergangenen Monats im Einzelnen:
Nachdem die im vergangenen Monat detektierte HMTL/Volksbanken-Phishing-Attacke auf dem 21. Platz zurückfiel und BankFraud.E auf dem 25ten, BankFraud.OD auf dem 32. Platz rangiert, zeigt der Monat April eine deutliche Zunahme von Phising-Attacken bis hin auf die beiden Spitzenpositionen der aktuellen Rankings. Die generischen Detektierungen von BankFraudE und PhishBank.BGU machten so mehr als 16 Prozent aller weltweit festgestellten Malware-"Treffer" an den FortiGate-Appliances aus.

Die Solutions180-Adware schiebt sich nach Platz 10 im Vormonat auf Platz 8 vor. Das Tracking durch Fortinet zeigt hier das Fehlen von Aktivitätsspitzen, einem Charakteristikum für den Einsatz grosser Botnets beim sogenannten Spyware/Adware Planting.

Eine Variante des Stration-Wurmes, W32/Stration.JQ@mm, trat derart gehäuft auf, dass er auf Anhieb den dritten Platz des Rankings belegen konnte. Beim Blick auf die Entwicklungskurve dieser Malware fällt eine Besonderheit ins Auge â?? Absoluter Peak war ein einziger Tag â?? der 19. April.

Ein kontinuierlicher Begleiter war der W32/ANI07.A!-Exploit (auch bekannt als MS07-017), der damit ein Prozent alle Malware-Aktivitäten des Monats April ausmacht â?? ein erstaunlicher Wert für einen rein webbasierten Exploit.

Die vollständige April-Ausgabe des Malware Reports gibt es unter:

Studien zeigen auf, dass mehr als 40% der mittleren und grossen Unternehmen entweder gar keine oder nur unzureichende Notfallpläne im Falle eines Informatiktotalausfall besitzen. Vielfach sind vorhandenen Notfallpläne auch veraltet und deshalb im Falle eines Falles nicht mehr durchführbar.

Sicherheit im Unternehmen ist keine isolierte Komponente mehr, sondern ein unternehmens-umspannendes Konzept. Jeder Mitarbeiter und jedes eingesetzte informationsverarbeitende System im Unternehmen ist ein Teil des Ganzen. Es geht sogar darüber hinaus, wenn man global verteilte Zusammenarbeit, Outsourcing oder Application Service Providing mit in die Betrachtung einschliesst. Leider sehen das viele Unternehmen anders. Der Stellenwert von It-Sicherheit wird vielfach gleichrangig mit Informationsverarbeitung gestellt oder als lästiges Ãœbel abgetan, nur in wenigen Unternehmen wird dies als vorrangiges Ziel eingestuft. Da kann es nicht wundern, wenn die meisten Unternehmen gerade einmal der kleinster Teil der IT-Ausgaben für Sicherheit verwenden. Zu ändern ist dies nur durch eine Annahme dieser Aufgabe durch die Geschäftsleitung unterstützt durch den Verwaltungsrat. Die Verantwortung für die ausreichende Sicherheit des Unternehmens kann nicht delegiert werden, sie verbleibt in den Händen der Unternehmensleitung und ist deshalb als Chefsache zu interpretieren. Sie muss den Auftrag zur Erstellung eines individuellen Sicherheitskonzepts erteilen und die Durchsetzung, Einhaltung und implementieren des Konzepts unter Einbeziehung der notwendigen Expertisen gewährleisten. Anhand der Gefahren welche von kriminellen Elementen aus gehen, muss bei den Informatikverantwortlichen das Sicherheitsdenken sensibilisiert werden, ein Bewusstsein für die Problematik anhand konkreter Gefährdungen geweckt werden um ein Sicherheitskonzept zu entwickeln, welches zugegebenermassen ein vertieftes Know How erfordert und dementsprechend auch Geld kostet.

Gefahren in der Informationstechnik sind allgegenwärtig
Unternehmen und deren Beschäftigten sind mittlerweile Mitglieder von mitunter globalen Supply- und Value-Chains, deren Existenz und ihre hohe Dynamik ausschliesslich der leistungsfähigen Informations- und Kommunikationstechnik zu verdanken ist. Die Vernetzung durch das Internet, die Dezentralisierung und Virtualisierung von Unternehmen und die damit verbundenen Leistungen und Chancen für elektronisches Wirtschaften werden von den Teilnehmern der digitalen Welt gerne in Anspruch genommen und sind mittlerweile auch nicht mehr wegzudenken. Dabei vergessen einige schnell die wachsenden Risiken, die zum einen erst durch die Technologie selbst entstehen und zum anderen Risiken, die durch die Technologien verstärkt werden. Hacker greifen gerne auf im Internet frei verfügbare Tools zurück mit denen es immer einfacher ist, Firewalls zu umgehen oder zu überlisten. Für die Erzeugung von Viren werden ebenfalls im Internet fixfertige Tools angeboten. Eins haben fast alle diese "Erzeugnisse" gemeinsam, sie nutzen Sicherheitslücken und bekannte Schwachstellen von Datennetzkomponenten und Softwareprodukten aus. Kommt es zu massiven Bedrohungen durch Ereignisse wie etwa verteilte Angriffe (DDoS, Distributed denial of service), die zum vorübergehenden schliessen der Websiten von Unternehmen geführt haben, ist die Bestürzung und die Ratlosigkeit bei vielen Teilnehmern des Internet zumindest zeitweilig gross. Leider ist aber die nachhaltige Wirkung von solchen Ereignissen dennoch gering. Solange man nicht als Betroffener einschlägige Erfahrungen mit hohen wirtschaftlichen Verlusten hinnehmen muss, ist wohl die Bereitschaft eigene Schutzmassnahmen zu ergreifen wenig ausgeprägt. Dies bestätigen auch unlängst gemachte Studien. An dieser Situation sollte sich allerdings schnell etwas ändern. Einer der Grundvoraussetzungen für das Gelingen dieses vorhaben ist es, sich über die Bedrohungslage welches das Unternehmen betrifft, aufzuklären und die Mitarbeiter dahingehend zu sensibilisieren. Eine weiteres muss ist es dass, das Management mit gutem Beispiel vorangeht, will man die Strukturen in den Unternehmen ändern. Die meisten Unternehmen haben die Vernetzung stark vorangetrieben. Ohne Internetanbindungen wären viele Geschäftsprozesse heute nicht mehr abwickelbar. Mit Application Service Providing beispielsweise werden immer mehr Anwendungen, die früher im eigenen Rechnernetz oder dem Rechenzentrum liefen, von einem Serviceprovider erledigt. Mit der notwendigen Offenheit des Unternehmensnetzes kommen aber zeitgleich neue informationstechnische Bedrohungen auf das Unternehmen zu, die in dieser Form bislang nur begrenzt existierten. Die Bedrohungen lassen sich in passive und aktive Angriffe im Netz sowie unbeabsichtigte Gefährdungen unterteilen.

Risikofaktor Mensch
Der Umgang mit Computersystemen und immateriellen Daten ist für den Menschen gemessen an seiner Jahrtausende alten Geschichte immer noch recht neu. Daher ist ein Bewusstsein für die Risiken und die Gefahren im Umgang damit weit weniger ausgeprägt als mit Gütern aus der materiellen Welt. Zwar lassen sich viele Bedrohungen mit technischen Verfahren eingrenzen, aber gegen menschliches Versagen können sie häufig nicht viel ausrichten. Psychologische Tricks werden gerne benutzt um soziale Angriffe auf Wissensträger durchzuführen. Das erbeutete Wissen lässt sich dann für die folgenden Angriffe auf technischer Ebene hervorragend nutzen. Leider sind zu viele Menschen zu leichtgläubig und fallen auf einfachste Täuschungen hinein. Erfahrungen zeigen, dass die meisten erfolgreichen Angriffe auf Informationen des Unternehmens durch die Ausnutzung von Löchern in organisatorischen Regeln erst ermöglicht wurden. Beispielsweise werden Benutzerpasswörter allzu leicht an andere Personen weitergegeben. Auch um die Effizienz seiner Wartungsarbeiten an Arbeitsplatzrechnern zu steigern, lassen sich manche Netzwerkadministratoren die Passwörter von Mitarbeitern geben. Dies kann sich im Fall einer Ab- oder Anwerbung des Administrators durch Konkurrenten verheerend auswirken! Auch die Bequemlichkeit von Nutzern lässt sich ausgezeichnet für Attacken nutzen. So werden häufig bewusst Sicherheitsfunktionen umgangen, da sie das schnelle Arbeiten verhindern oder ein Passwort für viele unterschiedliche Systeme verwendet. Aus diesem Grund ist die organisatorische Sicherheit eine ganz wesentliche Komponente eines Sicherheitskonzepts für ein Unternehmen.

Die Ursache Mensch ist für die meisten Bedrohungen selbst verantwortlich. Bewusst, also mit kriminellem Hintergrund, und unbewusst werden Schadprogramme verbreitet, Informationen ausgespäht, verändert oder missbraucht. Oder verfügbare Programme und Systeme werden fehlerhaft entwickelt oder implementiert und fallen deshalb aus. Aber selbst wenn Systeme an sich nicht fehlerhaft sind, kann es zu Ausfällen kommen, wenn Systeme miteinander verknüpft werden, die darauf hin nicht konzipiert wurden. Viele Altlasten aus den Anfangszeiten der Programmierung (Legacy-Codes) sind noch heute im Einsatz und werden in einigen Bereichen auch auf absehbare Zeit nicht abgelöst. Das Jahr2000-Problem ist in diesem Zusammenhang noch allen bekannt. Zahlreiche Unternehmen erbringen Leistungen zur Grundversorgung der Bevölkerung, beispielsweise Banken, Telefongesellschaften, Energiegesellschaften oder die Stellen zur Sicherung vom Luft- und Verkehrsnetz. Ihr Ausfall oder Fehlfunktion stellt, selbst bei zeitlicher Begrenzung, eine grosse Bedrohung für die Gesellschaft dar. In diesem Zusammenhang spricht man von kritischen Infrastrukturen. Diese Unternehmen sollten noch weitergehende Massnahmen ergreifen, um ihr Funktionieren zu gewährleisten. Die zunehmende Vernetzung lässt den weltweiten Wettbewerb und Kostendruck zunehmen. Unternehmen dürfen es sich nicht leisten, die Sicherung des Unternehmenswissens, welches fast ausschliesslich nur noch elektronisch und in den Köpfen der Mitarbeiter archiviert ist, dem Zufall zu überlassen. Jedes Unternehmen braucht ein Sicherheitskonzept, welches sich dynamisch an die immer ändernden Herausforderungen anpasst. Dies ist eine strategische Aufgabe und ist deshalb die Aufgabe der Geschäftsleitung!

Sicherheitskonzept und Massnahmenkatalog
Wie bei Einsatz jeder neuer Technologie, entstehen mit ihr auch neue Bedrohungen. Die Bedrohungen können systemimmanent sein oder durch bewusste und unbewusste Handlungen herbeigeführt werden. It-Sicheherheit beschäftigt sich mit der Gefährdungs- und Risikoanalyse und erarbeitet Massnahmen, um den Bedrohungen zu begegnen und die Risiken der Anwendung von ITK-Technologien zu minimieren. In einer Bedrohungsanalyse werden alle vorstellbaren Bedrohungen ermittelt, die Schäden verursachen könnten. Die Bedrohungen werden verschiedenen Ebenen zugeordnet: Der rechtlich-wirtschaftlichen, der organisatorisch-sozialen, der logischen und der physischen Ebene. An die Bedrohungsanalyse schliesst sich eine Risikoanalyse an, die die Häufigkeit und Höhe von Schäden den jeweiligen Bedrohungen zuordnet. Der Geschäftsführung obliegt es dann, eine Risikopolitik festzulegen und in ihren unternehmerischen Entscheidungen die jeweiligen Risikokomponenten zu berücksichtigen. Das Ergebnis ist dann ein Sicherheitskonzept, welches den konkreten Risiken Massnahmen entgegenstellt, die das Risiko auf ein annehmbares Niveau reduzieren. Die gewählten Schutzmassnahmen, bestehend aus technischen, organisatorischen und juristischen Komponenten, sollten die Differenzierung des Schutzklassenkonzepts übernehmen. Unternehmen, die über keine oder nur wenige Hochqualifizierte- Mitarbeiter im Bereich Sicherheit verfügen, sollten bei der Entwicklung eines Sicherheitskonzeptes unbedingt auf externe kompetente Beratung zurückgreifen. Nur so kann sichergestellt werden, dass die Analyse des Zustands und die ausgesprochene Empfehlung und die Umsetzung des Sicherheitskonzepts dem "State of the Art" entspricht, der sich bekanntermassen im Internetbereich täglich weiterentwickelt.

IT-Sicherheit auf dem Prüfstand
Viele Anwender und Hersteller wollen wissen, wie technisch sicher tatsächlich ihre eingesetzten oder entwickelten Systeme sind. Dafür wird ein Massstab benötigt, mit dem man das erreichte Mass an Sicherheit evaluieren, dokumentieren und vergleichen kann. Aber auch, um beispielsweise bei der Entwicklung von sicheren Systemen zu Beginn an schon festlegen kann, welches Sicherheitsmass erreicht werden muss. Solche Sicherheitsmassstäbe sind in unterschiedlichen Kriterienwerken für sichere Informationstechnik festgelegt. In Europa werden vor allem die ITSEC-Kriterienwerke (Information Technology Security Evaluation Criteria für die Bewertung der Sicherheit von Systemen in der Informationstechnik verwendet, die gemeinsam von Sicherheitsagenturen aus den USA, Kanada, Grossbritannien, Frankreich, Deutschland und Niederlanden entwickelt wurden. Die ITSEC Kriterien umfassen in erster Linie die Bewertung technischer Sicherheitsmassnahmen. Organisatorische, personelle und administrative Massnahmen werden zwar berücksichtigt, stehen aber nicht im Vordergrund. Die Kriterien sind so abstrakt gehalten, dass sowohl Hard- als auch Software damit evaluierbar ist. Als Ausprägung des Masses der erreichten Sicherheit definieren die ITSEC Kriterien sieben Stufen (E1 bis E7) der Vertrauenswirklichkeit, wobei E1 die geringsten und E7 die höchsten Anforderungen definiert. Die Stufe gibt an, wie korrekt die geprüfte Funktion implementiert wird. Bereits in der Entwicklung eines Produktes muss dazu beispielsweise die Funktion getestet, methodisch getestet, teilanalysiert, semiformal analysiert oder sogar formal analysiert und getestet sein. Je mehr Grad an Korrektheit erwartet wird, desto teurer und aufwendiger wird die Entwicklung und die darauf folgende Evaluierung. Die Korrektheit allein sagt noch nichts über die Stärke der Sicherheitsfunktion, der Mechanismenstärke aus. Diese wird getrennt bewertet und mit einem Prädikat "einfach", "mittel" oder "hoch" definiert. Bei den Common Criteria ist die Herangehensweise leicht unterschiedlich. Bei ihrer Verwendung wird zunächst ein generisches Schutzprofil für eine bestimmte Art Anwendung entwickelt. In diesem werden die durch die Implementierung zu erreichende Vertrauenswirklichkeit und Mechanismenstärke festgelegt. Anschliessend können alle nach dem Schutzprofil entwickelten Produkte hiernach evaluiert und verglichen werden.