Beruflich Dokumente
Kultur Dokumente
2023
Blockchains haben klare Vorteile gegenüber Datenbanken. Sie gelten als unveränderlich, weitge-
hend fälschungsresistent und beinahe unvernichtbar.
Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Da-
tenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen.
Da die Security-Budgets nicht in dem Maße steigen können, wie sich die Bedrohungen weiterentwickeln,
müssen Unternehmen eine Priorisierung vornehmen.
IT-Security-Schulungen
Viele Unternehmen haben verstanden, dass das Verhalten der
Mitarbeiter eine große Risikoquelle darstellt. Somit schlummern
die größten IT-Security-Risiken im eigenen Unternehmen. Trotz-
dem wird insgesamt viel zu wenig in Mitarbeiterschulungen in-
vestiert. Ein gut aufgestelltes IT-Sicherheitsprogramm schließt
auch alle betroffenen Mitarbeiter ein, die über ihre Pflichten im
Bereich der IT-Security aufgeklärt sind. Nicht zuletzt, um sicher-
zustellen, dass böswillige Akteure schnell entdeckt und gefasst
werden.
IT-Security-Versicherungen
Viele Unternehmen haben die Notwendigkeit von Versicherun-
gen für die IT-Security noch nicht hinreichend erkannt - ein
Versäumnis mit potenziell fatalen Folgen! Dies geschieht insbe-
sondere vor dem Hintergrund wachsender Cyber-Bedrohungen.
Gerade kleinere Unternehmen sind davon überproportional be-
troffen. Abgesehen davon, dass Unternehmen sich vor mögli-
chen finanziellen Schäden schützen, kann schon allein die Be-
antragung einer IT-Security-Versicherung zu einer verstärkten
IT-Security-Infrastruktur führen. Denn der Prozess einer Evalu-
ierung, der nötig ist, um eine Police zu erhalten, kann schon da-
bei helfen, Sicherheitslücken zu identifizieren und Alternativen
zur Verbesserung zu entwickeln.
IT-Security-Status
Das Modell für einen IT-Security-Status bietet Unternehmen die Möglichkeit, regelmäßig zu bewerten, auf
welcher Stufe der Cyber-Sicherheit es sich gerade befindet.
1. Stufe: Starter
Unternehmen auf diesem Level verfügen über keine formalen Si-
cherheitsrichtlinien oder funktionierende Security-Governance.
Obwohl die meisten Unternehmen über einem solchen Anfangs-
niveau punkten, gibt es nach wie vor Organisationen, die sich
auf diesem Sicherheitslevel befinden.
Eine Bewertung auf dieser Ebene ist für jedes Unternehmen, das
IT-Assets besitzt, verwaltet und gegenüber Aktionären, Investo-
ren, Aufsichtsbehörden oder Steuerzahlern Verpflichtungen hat,
inakzeptabel. Für die Sicherheits-Roadmap als Starter empfeh-
len sich Crash-Programme, um eine starke CISO-Position oder
ähnliches aufzubauen, Sicherheits-Governance-Ausschüsse ein-
zurichten und Personal für Sicherheitsinfrastruktur-Positionen
aufzustocken.
2. Stufe: Fortgeschritten
Ein typisches Unternehmen in dieser Entwicklungsphase hat
bereits ein Security-Programm, einige Security-Prozesse sowie
Infrastruktur-Elemente, die effektiv funktionieren, in der Ent-
wicklung. Solche Unternehmen neigen jedoch dazu, in grund-
legenden Bereichen wie beispielsweise Netzwerk-Segmentierung
bzw. Zonierung Schwächen aufzuweisen. Daher punkten sie
beim allgemeinen Identitäts- und Zugriffsmanagement (IAM) re-
lativ gering.
In dieser Phase findet man auch eher selten ein hohes Maß an
Verantwortlichkeiten sowie Automatisierung hinsichtlich Si-
cherheitsprozesse oder fortschrittlicher Technologien für das
Schwachstellen-Management, Aktivitäten zur Verhinderung von
Datenverlusten (DLP) oder des Sicherheitsinformations- und Er-
eignismanagements (SIEM).
Für die Sicherheits-Roadmap auf dieser Stufe sollten die größten
identifizierten Lücken auch geschlossen werden. Hierzu emp-
BESTOF SECURITY-INSIDER SEITE 17
3. Stufe: Reifegrad
Unternehmen, die sich in der Reifegrad-Phase befinden, haben
bereits eine umfassende Reihe von Sicherheitsprozessen, Richt-
linien und dokumentierten technischen Kontrollen eingeführt.
Allerdings verlassen sie sich meist weiterhin zu sehr auf indivi-
duelle Bemühungen. Prozesse wie Change Management, Audit
und Security der Lieferketten müssen noch verbessert werden.
Darüber hinaus sollten die Unternehmen noch aktiver werden,
um das Wissen und das Bewusstsein für die Sicherheit in den
einzelnen Aufgabenbereichen zu erhöhen sowie die Sicherheits-
überwachung, die Analyse und die Kontrolle der Verwaltung des
privilegierten Zugriffs zu verfeinern.
Für die Sicherheits-Roadmap auf dieser Stufe liegt der Schwer-
punkt auf Audit, Change Management, erweiterte Sicherheits-
überwachung und Instrumentarien, um den Schutz im Hinblick
auf Verifizierung und Verantwortlichkeiten zu verbessern. Mit
einer grundlegenden Prozess- und Technologieinfrastruktur
können Risikomanagement, Schwachstellenmanagement, SIEM
und PAM dann auf Hochtouren laufen.
Unternehmen mit „Reifegrad“ sollten sich noch mehr auf fol-
gende Instrumentarien konzentrieren: Kennzahlen (KPI) und
Risikokennzahlen (KRI), die in der Anfangs- oder Entwicklungs-
phase eingeführt wurden, müssen nun überprüft und erweitert
werden. Denn optimierte Instrumentarien verbessern auch die
Rechenschaftspflicht hinsichtlich einer Risiko- bzw. Finanzper-
spektive.
Die neue Bundesregierung könnte die Vorratsdatenspeicherung endlgültig beerdigen, aber in der EU gibt es
auch andere Pläne.
Der Datenschutz schützt nicht einfach nur Daten, sondern schützt Menschen. Er ist kein Verhinderer, sondern
ein wichtiger Regulator und Steuerungsfaktor und trägt zu Akzeptanz und Vertrauen in der Bevölkerung bei.
Prof. Kugelmann stellte klar: „Die aktuellen Fälle zeigen zum Teil
auf dramatische Weise, welchen Stellenwert Datenschutz und
Datensicherheit in digitalen Zeiten haben müssen. Wenn nicht
auf allen Seiten mehr für den Datenschutz getan wird, könnten
immer mehr Bürgerinnen und Bürger Opfer von Betrugsversu-
chen, Cyber-Attacken und Mobbing werden.“
Ratgeber Security-Konsolidierung
Wir zeigen, wie Unternehmen die Security-Konsolidierung auch ohne großes Projekt schaffen und
dabei die typischen Stolpersteine vermeiden.
Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und
begehrt.
Was tut man, wenn ein Kunde wissen will, ob man bei der Verar-
beitung von Kundendaten auch einem hohen Datenschutzstan-
dard einhält? Gegenwärtig bestätigt man dies entweder selbst,
zum Beispiel im Rahmen eines Vertrages, oder man verweist
auf ein Datenschutzzertifikat, das man vor Jahren einmal erhal-
ten hat, vielleicht sogar noch auf Basis des alten Bundesdaten-
schutzgesetzes.
Ähnlich ist es, wenn man mit seinem hohen Datenschutzniveau
werben will. Man schreibt auf der eigenen Website, dass man die
DSGVO einhält. Das ist aber eigentlich kein Wettbewerbsvorteil
und Kundenversprechen, das ist die gesetzliche Pflicht für jedes
Unternehmen in der EU. Was wirklich hilfreich wäre, ist eine un-
abhängige Bestätigung durch Dritte, eine Zertifizierung.
Umgekehrt ist es schwierig, eine datenschutzkonforme IT-Lö-
BESTOF SECURITY-INSIDER SEITE 32
Beim Windows Server 2022 erhöht Microsoft mit DNS-over-Http, Secured Core und TLS 1.3 die Sys-
temsicherheit deutlich
API-Angriffe abwehren
05.10.2021Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz
Der zunehmende Einsatz von mobilen Endgeräten, IoT-
Netzwerken und Cloud-Systemen krempelte die Anwen-
dungsarchitekturen mit ihren Application Programming
Interfaces (APIs) komplett um. Massiv zugenommene au-
tomatisierte Angriffe auf schlecht geschützte APIs bedro-
hen seither vor allem personenbezogene Daten wie zum
Beispiel Zahlungskartendaten oder geschäftskritische
Dienste.
© Sergey Nivens - stock.adobe.com
APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu.
Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv.
Mit Tools wie GlassWire, Windows 10 Firewall Control und Firewall App Blocker können Admins ihre Win-
dows Firewall besser verwalten.
GlassWire steht kostenlos zur Verfügung. Das Tool hilft bei der
Überwachung des eigenen PCs und der Daten, die ein PC ins
Netzwerk sendet. Mit dem Tool ist schnell ersichtlich, welche
Netzwerkverbindungen ein PC aufbaut und welche Programme
von außerhalb mit dem PC kommunizieren. Auch eine histori-
sche Liste ist verfügbar.
Das Tool hilft nicht nur dabei Spyware und andere Malware zu
erkennen, sondern erkennt auch verdächtige Anwendungen und
Bandbreitenfresse. Solche Programme können Sie außerdem
auch gleich blockieren. Neben den Daten des eigenen PCs, er-
kennt GlassWire natürlich den Netzwerkverkehr von benachbar-
ten Computern.
Nach der Installation und dem Start von GlassWire sehen Sie
zunächst über den Menüpunkt „Graph“ den aktuellen Status
des Netzwerkverkehrs. Sie können hier die Ansicht auch heran-
zoomen, indem Sie einen Bereich markieren. Gibt es zu einem
Netzwerkverkehr Warnungen, blendet das GlassWire ein und Sie
können mit einem Mausklick erkennen, welche Anwendung das
Problem verursacht hat. Wenn eine Anwendung das erste Mal
Datenverkehr in das Internet sendet, erhalten Sie eine Informati-
on im Traybereich der Taskleiste eingeblendet.
Über den Menüpunkt „Usage“ sehen Sie welche Datenmengen
in das Internet verschickt wurden und von welchen Anwendun-
gen der Datenverkehr verursacht wurde. Über „Things“ erhal-
ten Anwender wiederum einen Überblick zu den benachbarten
Netzwerkgeräten. Hier versucht GlassWire auch den Namen des
Gerätes und auch den Hersteller anzuzeigen, wenn aus dem Da-
tenverkehr das ersichtlich ist. Mit „Firewall“ und „Alerts“ lassen
sich Einstellungen bezüglich der Firewallregeln durchführen.
Bei „Alerts“ ist zu sehen, ob Anwendungen verdächtig sind, bei
„Firewall“ ist es wiederum möglich Datenverkehr zu blockieren.
Die generellen Einstellungen von GlassWire sind über den Menü-
punkt „Einstellungen“ zu finden. Außerdem lässt sich hier die
Steuerung von GlassWire übernehmen, zum Beispiel das Pausie-
ren der Anzeige von Alarmen. Über „Language“ können Anwen-
der die Sprache auch auf „Deutsch“ umstellen.
Auch nach dem Beenden von GlassWire bleibt das Tool gestartet
und ist über den Traybereich verfügbar. Über das Kontextmenü
stehen die verschiedenen Optionen von GlassWire zur Verfü-
gung. Soll GlassWire komplett beendet werden, ist das ebenfalls
über das Trayicon möglich.
BESTOF SECURITY-INSIDER SEITE 45
Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active
Directory vor Angriffen zu schützen.
festlegen.
Ein Enddatum lässt sich zum Beispiel mit dem folgenden Befehl
definieren:
New-TimeSpan -End 10.10.2022
Die Vorgänge lassen sich auch mit Variablen speichern, zum Bei-
spiel mit:
$timespan = New-TimeSpan -Hours 8
$pamuser = Get-ADUser -Identity joosp
$pamgroup = Get-ADGroup -Identity 'Domain Admins'
BESTOF SECURITY-INSIDER SEITE 51
In diesem Beispiel:
Get-ADGroup "Domänen-Admins" -Properties Member -ShowMem-
berTimeToLive
Unternehmen müssen das Risiko einkalkulieren, wenn sie wichtige Daten in einem Cloud-Dienst speichern.
SaaS-Patching-Richtlinien überprüfen
Sicherheits-Patchings erfolgen nicht selten mit einer gewissen
zeitlichen Verzögerung. SaaS-User sollten daher die vertragli-
chen SaaS-Patching-Richtlinien genau überprüfen.
Eigentumsrechte, Speicherort und Verlust der Daten klä-
ren
Damit keine personenbezogenen Daten weitergegeben werden,
müssen SaaS-Kunden die Datenschutzrichtlinien bzw. Servi-
cebedingungen der SaaS-Anbieter genau prüfen. Des Weiteren
sollten Kunden es als einen Weckruf verstehen, wenn der Zusatz
fehlt, dass Geschäftsdaten oder pseudonymisierte aggregierte
Daten über die SaaS-Nutzung für Marktforschung oder ähnliche
Zwecke „nicht anderweitig genutzt“ werden. Ein weiterer Grund
zur Besorgnis wäre, wenn die Datenschutzrichtlinie keine Erklä-
rung zur Einhaltung bestimmter Vorschriften wie die der Daten-
schutz-Grundverordnung (DSGVO) enthält.
Im Prinzip geht es doch darum, zu verstehen, welche Art von Da-
ten durch das SaaS-Angebot gespeichert oder transportiert wer-
den, wer Zugriff auf die Daten hat, wem die Daten gehören, wie
die Daten geschützt werden und wer im Falle einer Sicherheits-
verletzung haftet. Das ist absolut nicht selbstverständlich. Man-
che Unternehmen wissen nicht einmal, welche sensiblen Daten
(versehentlich) in SaaS-Lösungen gespeichert werden oder wer
darauf Zugriff hat. Ferner ist es nicht selten den Unternehmen
bekannt, dass bei einer Einrichtung der SaaS-Lösung eine soge-
nannte „Standard-Click-Through-Vereinbarung“ abgeschlossen
wurde und dieser Anbieter oft Eigentumsrechte an den Daten
erhält.
Aus Datenschutzsicht ist manchen Unternehmen oftmals auch
nicht klar, dass ein SaaS-Vertrag zwar Bestimmungen zur Not-
fallwiederherstellung enthalten kann, diese Regeln jedoch einen
Datenverlust oder auch Korruption nicht zwingend abdecken.
IT-Security in den SaaS-Beschaffungsprozess einbeziehen
Zur Vermeidung von Fehlern und Missverständnissen sollte ein
Mitarbeiter der IT-Security-Abteilung während des Beschaffungs-
prozesses immer mit dem jeweiligen Einkaufsteam kooperieren.
BESTOF SECURITY-INSIDER SEITE 55
Der Branchenverband Bitkom e. V. hat das Borderstep Institut mit der Untersuchung des deutschen Rechen-
zentrumsmarkts beauftragt. Die Marktstudie weist Wachstum, Standortfragen und Umweltansprüche aus.
Multi-Faktor-Authentifizierung (MFA)
Eine MFA ist im Grunde ein unverzichtbarer Schutz, bei dem je-
des Unternehmen entscheiden muss, wie und wo er eingesetzt
werden soll. Traditionell erfolgt eine Authentifizierung mit einem
Benutzernamen und Passwort. Das ist leider heute keine sehr si-
chere Methode mehr. Benutzernamen sind oft leicht zu knacken.
Manchmal ist es nur die jeweilige E-Mail-Adresse des Nutzers. Da
sich die User Passwörter nur schwer merken können, neigen sie
dazu, einfache Passwörter auszuwählen oder dasselbe Passwort
für viele verschiedene Zugänge zu verwenden.
Aus diesem Grund bieten heute fast alle Online-Dienste wie bei-
spielsweise Banken, soziale Medien, Online-Händler bis hin zu
Microsoft 365 eine Möglichkeit, die User-Konten mit einer Mul-
BESTOF SECURITY-INSIDER SEITE 57
Unklare Evaluierungen
Die externen Pentester müssen im Anschluss verständliche Be-
richte erstellen, damit die entdeckten Schwachstellen und ihre
BESTOF SECURITY-INSIDER SEITE 62
Unregelmäßige Pentests
Jährliche Pentests mögen zwar üblich sein, geben jedoch wenig
Gewissheit. Das heißt, unregelmäßige Tests leisten nur eine Mo-
mentaufnahme des Schutzes zum Zeitpunkt der Durchführung
des Tests. Besser ist es, die Verteidigungsmaßnahmen kontinu-
ierlich zu überprüfen und erneut zu testen, um zu gewährleis-
ten, dass die Schwachstellen ordnungsgemäß behoben wurden.
Dies ist ein weiteres Argument für automatisierte und geeignete
Pentest-Plattformen.
Versäumnisse des Managements
Es ist sicherzustellen, dass jemand für die Reaktion auf die Pen-
test-Ergebnisse und der automatisierten Tools verantwortlich
ist. Diese Personalie muss den gefundenen Problemen Priorität
einräumen und sie zeitnah beheben. Denn kostspielige Daten-
diebstähle sind oft das Ergebnis bekannter Schwachstellen, die
Unternehmen nicht behoben haben. Tests, die sicherstellen, dass
erkannte Schwachstellen ordnungsgemäß beseitigt wurden, soll-
ten Teil der laufenden Pentests sein. Unzureichend geplante und
durchgeführte Pentests bergen dagegen mitunter hohe Gefahren
für Unternehmen.
BESTOF SECURITY-INSIDER SEITE 64
Netzwerksicherheit
Die Sicherheit aller Netzwerk-Ports basiert auf einem umfassenden und durchdachten Verteidi-
gungskonzept.
IMPRESSUM
Vogel IT-Medien GmbH
Max-Josef-Metzger-Straße 21
86157 Augsburg
Tel.: +49 (0) 821-2177-0
Fax: +49 (0) 821-2177-150
Email: zentrale@vogel-it.de
Internet: www.vogel-it.de
Handelsregister Augsburg
HRB 1 19 43
Umsatzsteueridentifikationsnummer:
DE 127502716
Vogel IT-Medien
Die Vogel IT-Medien GmbH, Augsburg, ist eine 100pro-
zentige Tochtergesellschaft der Vogel Communications
Group, Würzburg. Seit 1991 gibt der Verlag Fachme-
dien für Entscheider heraus, die mit der Produktion,
der Beschaffung oder dem Einsatz von Informati-
onstechnologie beruflich befasst sind. Dabei bietet
er neben Print- und Online-Medien auch ein breites
Veranstaltungsportfolio an. Die wichtigsten Ange-
bote des Verlages sind: IT-BUSINESS, eGovernment
Computing, BigData-Insider, CloudComputing-Insider,
DataCenter-Insider, Dev-Insider, IP-Insider, Security-
Insider, Storage-Insider.