Security Insider Best of 2023

2023 BEST OF
2023
MANAGEMENT & STRATEGIE

Wann eine Ransomware-Attacke gemeldet werden muss................................................................................................. 3
Was die Datenschutzaufsichtsbehörden im Jahr 2022 planen...................................................................................... 7
IT-Security-Kosten, die gerne übersehen werden.....................................................................................................................11
Wie viel IT-Security tut Not?........................................................................................................................................................................... 15
Ist die Vorratsdatenspeicherung am Ende?....................................................................................................................................19
Wie wäre eine Welt ohne Datenschutz?.............................................................................................................................................22
Stolpersteine bei der Konsolidierung der IT-Sicherheit........................................................................................................27
Endlich Bewegung in der Datenschutz-Zertifizierung...........................................................................................................31
TECHNOLOGIE & ZUKUNFT

Mehr Sicherheit in Windows Server 2022........................................................................................................................................35
API-Angriffe abwehren.......................................................................................................................................................................................39
Windows-Firewall mit Freeware im Griff behalten......................................................................................................................43
Admin auf Zeit in Active Directory............................................................................................................................................................47
Sicherheitslücken der SaaS-Systeme erkennen.......................................................................................................................52
Security-Best-Practices für Digitalisierungsprojekte.............................................................................................................56
Pentests ja, aber bitte richtig!........................................................................................................................................................................60
Was macht diese Netzwerk-Ports so riskant?.............................................................................................................................64
BESTOF SECURITY-INSIDER SEITE 3
Beispiele für Meldepflichten nach DSGVO
Wann eine Ransomware-Atta-

cke gemeldet werden muss
18.06.2021AUTOR / REDAKTEUR: DIPL.-PHYS. OLIVER SCHONSCHEK / PETER SCHMITZ
Die Umsetzung der Datenschutz-Grundverordnung (DS-

GVO) bereitet immer noch Schwierigkeiten. Gerade die Ein-
haltung der Meldepflichten nach DSGVO wirft weiterhin
Fragen auf. Welche Cyberattacken müssen gemeldet wer-
den, welche nicht, fragen sich die Unternehmen. Der Euro-
päische Datenschutzausschuss (EDSA) gibt dazu Hinweise,
zum Beispiel für den Fall einer Ransomware-Attacke.
© thodonal - stock.adobe.com
Blockchains haben klare Vorteile gegenüber Datenbanken. Sie gelten als unveränderlich, weitge-
hend fälschungsresistent und beinahe unvernichtbar.
Kommt es zu einem Angriff mit Ransomware, können personen-

bezogene Daten mehrfach in Gefahr sein. Zum einen kann die
erzwungene Verschlüsselung die Verfügbarkeit der Daten ge-
fährden, wenn es keine geschützten Backups gibt. Zum anderen
gehen die Angreifer dazu über, die ausgespähten und kriminell
verschlüsselten Daten an Dritte zu verkaufen oder sie drohen da-
mit. Damit wäre dann auch die Vertraulichkeit der personenbe-
zogenen Daten nicht mehr gewährleistet.
Doch bedeutet das auch, dass das betroffene Unternehmen eine
Meldung an die für es zuständige Aufsichtsbehörde durchführen
muss? Generell empfehlen viele Aufsichtsbehörden, man solle
lieber zu viel melden als zu wenig. Doch was passiert, wenn man
eine Ransomware-Attacke nicht gemeldet hat? Ist dies dann ein
Verstoß gegen die DSGVO, sind dann zum Beispiel Sanktionen

möglich?
Offensichtlich brauchen die Unternehmen hier genauere Infor-
mationen, die ihnen helfen können, die Meldepflichten nach DS-
GVO richtig umzusetzen. Tatsächlich sieht die DSGVO auch vor,
dass es solche Informationen zu den Meldepflichten geben soll.
Laut Artikel 70 DSGVO soll der Europäische Datenschutzaus-
schuss (EDSA) „Leitlinien, Empfehlungen und bewährte Ver-
fahren (...) für die Feststellung von Verletzungen des Schutzes
personenbezogener Daten und die Festlegung der Unverzüglich-
keit (...), und zu den spezifischen Umständen, unter denen der
Verantwortliche oder der Auftragsverarbeiter die Verletzung des
Schutzes personenbezogener Daten zu melden hat, bereitstel-
len“, gleiches zu den „Umständen, unter denen eine Verletzung
des Schutzes personenbezogener Daten voraussichtlich ein ho-
hes Risiko für die Rechte und Freiheiten natürlicher Personen (...)
zur Folge hat“.
Datenschutzausschuss liefert Leitlinien zu Meldepflichten

Inzwischen gibt es verschiedene Guidelines des EDSA, die zu-
erst immer eine Phase der Kommentierung (Public Consultation)
durchlaufen und dann verabschiedet werden, auch solche Richt-
linien, die mit „Examples regarding Data Breach Notification“
bezeichnet werden und damit eine wichtige Unterstützung bei
der Umsetzung der Meldepflichten sein können.
Die vom EDSA veröffentlichten Beispiele betreffen verschiedene
Arten von Datenschutzvorfällen und möglichen Datenschutzver-
letzungen, darunter auch die weiter um sich greifenden Ransom-
ware-Attacken. Es lohnt sich, das Beispiel Ransomware als Da-
tenschutzvorfall genauer anzusehen, da sich hier exemplarisch
„lernen“ lässt, wann man melden muss und wann nicht. Natür-
lich muss dies letztlich jedes Unternehmen in eigener Verant-
wortung entscheiden, doch diese Empfehlungen und Leitlinien
der Aufsichtsbehörden sind sicher mehr als willkommen.
Es kommt auf den Ransomware-Vorfall an

Wenn man sich die Leitlinien des EDSA ansieht, stellt man fest,
dass Ransomware-Attacken in vier Ausprägungen genannt wer-
den. Bereits diese Ausprägungen zeigen, worauf man bei der Be-
wertung der Risiken für die Betroffenen zu achten hat.
So beschreibt der EDSA zum einen Ransomware-Attacken auf

Unternehmen, die geschützte Backups haben und deren Da-
ten nicht entwendet wurden, um sie zu verkaufen oder um mit
der Veröffentlichung drohen und erpressen zu können. Dann
betrachten die Aufsichtsbehörden den Fall, dass es kein Back-
up gibt. Der dritte, untersuchte Fall ist die Situation, dass es ein
Backup gibt, die Daten nicht entwendet wurden, aber dass es
sich um ein Krankenhaus handelt. Der vierte Fall ist ein Unter-
nehmen ohne Backup, bei dem die Daten ausgespäht wurden, so
dass sie an Dritte weitergegeben werden können.
Offensichtlich kommt es insbesondere auf Backups (für den
Schutz der Verfügbarkeit), auf die Ausspähung der Daten (Gefahr
für die Vertraulichkeit) und auf die Kategorien der Daten (wie Ge-
sundheitsdaten) an. Was aber bedeuten diese Parameter für die
Meldepflichten?
Wie die Meldepflicht jeweils geprüft wird

Um die Meldepflichten für die verschiedenen Ransomware-Vor-
fälle prüfen und bewerten zu können, müssen sich die verant-
wortlichen und von der Attacke getroffenen Unternehmen oder
Organisation sicher sein, ob sie ein funktionstüchtiges Backups
haben, ob wirklich keine Daten abgeflossen sind, wie die Daten
geschützt wurden (Verschlüsselung) und welche Datenkategori-
en genau betroffen sind.
Ob abgeflossene Daten ein hohes Risiko darstellen oder nicht,
hat insbesondere mit der vorhandenen Verschlüsselung der Da-
ten zu tun, mit deren Stärke und mit dem Schutz für das Schlüs-
selmaterial. Waren also die Daten, die die Angreifer verschlüsselt
haben, bereits von dem Unternehmen selbst verschlüsselt oder
nicht? Eine weitere Frage ist, ob die Datenflüsse überwacht wer-
den, ob zum Beispiel eine DLP-Lösung (Data Loss Prevention) im
Einsatz ist und ob diese Hinweise auf einen Datenabfluss rund
um die Attacke liefert oder nicht.
Dann stellt sich die Frage, welche Daten von welchen Betroffe-
nen in welcher Anzahl wie lange und mit welchen Konsequen-
zen betroffen waren. Waren es wenige Daten, wenige Betroffene,
keine besonderen Datenkategorien? Konnten die Daten wieder
schnell verfügbar gemacht werden, gab es keine Störungen, weil
die Daten nur kurzfristig nicht verfügbar waren?
Welche Art von Ransomware wurde genutzt? Welche Folgen
hatten vergleichbare Angriffe mit dieser Ransomware? Auch sol-
che Fragen gilt es zu klären, wobei sicherlich die Unterstützung

durch Security-Expertise von extern notwendig sein wird.
Diese Fragen müssen schnell geklärt werden können, wenn man
die 72-Stunden-Frist für die Meldung nach DSGVO nicht gefähr-
den will, was bereits einen Verstoß darstellen würde.
Die Risikoanalyse, die zu dem Ransomware-Vorfall durchge-
führt wird, muss in jedem Fall dokumentiert werden. Kommt die
verantwortliche Stelle zu dem Schluss, dass für die Betroffenen
kein hohes Risiko für ihre Rechte und Freiheiten besteht, muss
keine Meldung an die Betroffenen erfolgen (Artikel 34 DSGVO).
Besteht laut Risikoanalyse gar kein Risiko für die Betroffenen,
muss auch keine Meldung an die zuständige Aufsichtsbehörde
erfolgen.
Fehlt aber zum Beispiel das Backup und die Wiederherstellung
der Daten dauert, so dass es Störungen in den Prozessen mit Fol-
gen für die Betroffenen gibt, sollte in jedem Fall davon ausgegan-
gen werden, dass die Aufsichtsbehörde zu benachrichtigen ist. Je
nach Schwere der Folgen für die Betroffenen, müssen auch diese
benachrichtigt werden. Wenn zum Beispiel in einem Kranken-
haus Operationen verschoben werden müssen, weil die Daten
nach dem Ransomware-Vorfall nicht verfügbar waren, müssen
auch die Betroffenen informiert werden über den Datenschutz-
vorfall.
Diese Überlegungen zeigen beispielhaft, dass es weiterhin an-

spruchsvoll ist, die Meldepflichten zu prüfen, doch die Aufsichts-
behörden geben mehr und mehr Hilfsmittel an die Hand, die
man als Unternehmen nicht ungenutzt lassen sollte.
Mehr Unterstützung bei der DSGVO
Was die Datenschutzaufsichts-

behörden im Jahr 2022 planen
21.12.2021Von Dipl.-Phys. Oliver Schonschek
Wirtschaftsverbände üben viel Kritik an den Aufsichtsbe-

hörden, wenn es um die Unterstützung bei der Umsetzung
der Datenschutz-Grundverordnung (DSGVO) geht. Doch
die Aufsichtsbehörden bieten bereits vieles an Orientie-
rung und Hinweisen, im Jahr 2022 wird noch einiges dazu
kommen. Wir nennen Beispiele für Planungen bei den Auf-
sichtsbehörden und geben einen Überblick.
© mixmagic - stock.adobe.com
Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Da-
tenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen.
Kritik an den Aufsichtsbehörden für den Datenschutz ist immer

wieder zu hören. Wenn man aber genauer hinschaut, geht es ei-
gentlich nicht um eine Kritik an der Arbeit der Datenschutzauf-
sicht, sondern es ist eine Art Hilfeschrei, mehr Unterstützung bei
der Umsetzung der Datenschutz-Grundverordnung (DSGVO) zu
bekommen.
Dabei können die Aufsichtsbehörden aber vieles gar nicht än-
dern, es wäre an der EU-Gesetzgebung, bestimmte Punkte zu
vereinfachen. Was die Aufsichtsbehörden können, ist Unterstüt-
zung und Beratung für die Unternehmen zu bieten, das tun sie
auch in aller Regel im Rahmen ihrer verfügbaren Ressourcen.
Eine Kritik gilt aber der Uneinheitlichkeit bei den Hinweisen, die
von Aufsichtsbehörden in Deutschland kommen. Hier sei noch-
mals Susanne Dehmel, Geschäftsleiterin Bitkom, zitiert: „Unter-

nehmen stehen beim Datenschutz unter permanenten Stress. Sie
wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht
nur europaweit Gerichtsurteile verfolgen und die unterschiedli-
che Auslegung aus den Mitgliedsstaaten kennen, sondern sich
zusätzlich mit 18 verschiedenen Lesarten von Datenschutzauf-
sichten allein in Deutschland auseinandersetzen. Das ist vor al-
lem für kleinere Unternehmen immer schwerer zu stemmen.“
Man wünscht sich also das, was die DSGVO EU-weit erreichen
will, eine Harmonisierung im Datenschutz.
Die Initiative DSK 2.0

Auch die Datenschutzaufsichtsbehörden wünschen sich diese
stärkere Harmonisierung bei den unabhängigen Aufsichtsbe-
hörden des Bundes und der Länder für den Datenschutz. In der
Datenschutzkonferenz (DSK), dem Gremium der Datenschutz-
aufsichtsbehörden in Deutschland, gibt es dazu einen „Arbeits-
kreis DSK 2.0“, der die Zusammenarbeit der unabhängigen Da-
tenschutzaufsichtsbehörden einschließlich der Arbeitsweise der
DSK evaluieren und bei Bedarf Vorschläge für eine Neugestal-
tung erarbeitet.
Der AK DSK 2.0 soll vor dem Hintergrund der politischen Debatte
um eine Zentralisierung der Datenschutzaufsicht und aufgrund
stetig neuer datenschutzrechtlicher Fragestellungen bei einer
sich immer schneller entwickelnden Technik die bisherige Ar-
beitsweise der DSK und die Zusammenarbeit der Aufsichtsbe-
hörden überprüfen, so der Bundesdatenschutzbeauftragte Prof.
Kelber.
So erklärte Prof. Kelber: „Bürgerinnen und Bürger, Unternehmen
und Verbände erwarten zu Recht, dass auch unter der föderalen
Struktur der Datenschutzaufsicht in Deutschland vergleichbare
Sachverhalte gleich behandelt werden und die Verfahren effizi-
ent und transparent ausgestaltet sind.“
Es tut sich also durchaus etwas in Richtung Harmonisierung in
der Datenschutzaufsicht in Deutschland.
Fortschritte in Richtung DSGVO-Zertifizierungen

Ein Instrument der Datenschutz-Grundverordnung ist immer
noch nicht mit Leben erfüllt: die Zertifizierung, wie auch die
Landesbeauftragte für Datenschutz Schleswig-Holstein (ULD)

betont. Hier hat der Arbeitskreis Zertifizierung unter Leitung des
ULD nun aber dafür die Grundlage gelegt, dass sich Zertifizie-
rungsstellen akkreditieren lassen können. Voraussichtlich wer-
den Zertifizierungen nach der Datenschutz-Grundverordnung
künftig bei der Wahl von Dienstleistern und auch beim internati-
onalen Datentransfer eine Rolle spielen.
Mit der Zertifizierung wird hoffentlich der eingebaute Datenschutz
– durch Technikgestaltung und durch datenschutzfreundliche
Voreinstellungen – einen größeren Stellenwert bekommen. Frau
Hansen hält das Thema für dringend: „Die Abhängigkeit von
Technik ist in den letzten Jahren gestiegen, an allen möglichen
Stellen werden Daten über uns und unser Verhalten gesammelt,
und digitale Souveränität ist bisher nur eine Wunschvorstellung.
Digitalisierung muss fair sein, nicht desolat. Bedenklich sind
auch aktuelle politische Ideen zum Einbauen von Hintertüren
und zum Schwächen der Verschlüsselung – das ist der falsche
Weg. Wir brauchen mehr Datenschutz und Sicherheit, so wie es
die Datenschutz-Grundverordnung fordert.“
Es liegt ein ausführliches Papier der Datenschutzaufsichtsbehör-

den vor, das die Anforderungen an die Akkreditierung von Stel-
len beschreibt, die Datenverarbeitungstätigkeiten zertifizieren
möchten, so die Berliner Beauftragte für Datenschutz und Infor-
mationsfreiheit. Angehende Zertifizierungsstellen
können mithilfe dieses Dokuments prüfen, ob sie und ihre Orga-
nisation für ein Akkreditierungsverfahren ausreichend vorberei-
tet sind.
Die Aufsichtsbehörden werden bei entsprechenden Anträgen das
Akkreditierungsverfahren gemeinsam mit der DAkkS (Deutsche
Akkreditierungsstelle GmbH) durchführen und angehende Zer-
tifizierungsstellen anhand der genannten Kriterien auf Herz und
Nieren prüfen, so die Berliner Beauftragte.
Überarbeitung zahlreicher Hinweise der Aufsichtsbehör-

den
Da es weiterhin Rechtsunsicherheit bei Unternehmen gibt, wie
die DSGVO konkret auszulegen ist, veröffentlichen die Aufsichts-
behörden regelmäßig abgestimmte einheitliche Sichtweisen zu
verschiedenen Kernthemen der DSGVO. Da sich jedoch unter an-
derem durch Gerichtsurteile Veränderungen ergeben, überarbei-

ten die Aufsichtsbehörden ihre Sichtweisen zur DSGVO entspre-
chend.
In den nächsten Wochen und Monaten sind aktualisierte Sicht-
weisen zu erwarten zu so zentralen Themen wie Datenüber-
mittlung in Drittländer, Auskunftsrecht der betroffenen Person,
Informationspflichten bei Dritt- und Direkterhebung personenbe-
zogener Daten, Recht auf Löschung / Recht auf Vergessenwerden,
Datenschutzbeauftragte bei Verantwortlichen und Auftragsver-
arbeiter, Auftragsverarbeitung, Gemeinsam für die Verarbeitung
Verantwortliche und Einwilligung nach DSGVO.
Es zeigt sich: Die Aufsichtsbehörden leisten sehr wohl einiges
an Unterstützung und versuchen, mögliche Hemmnisse zu min-
dern, wie dies auf Ebene einer Aufsichtsbehörde geht. Man sollte
die Aufsichtsbehörden als Partner, nicht als Gegner von Innova-
tionsoffenheit und digitalem Aufbruch wahrnehmen, wie es der
frühere Hamburgische Beauftragten für Datenschutz und Infor-
mationsfreiheit in seinem letzten Tätigkeitsbericht gefordert hat.
Zudem kann es nicht genug betont werden: „Die gern genutzte
Feststellung ‚Geht nicht wegen Datenschutz‘ ist in den meisten
Fällen falsch“, so Barbara Thiel, die Landesbeauftragte für den
Datenschutz Niedersachsen. „Entscheider in Politik und Wirt-
schaft sollten nicht der Versuchung erliegen, den Datenschutz
pauschal für Fehlentwicklungen und Probleme verantwortlich
zu machen. Das ist ein Reflex, der selten den Kern des Problems
trifft.“
Angemessener Datenschutz sei und bleibe eine essenzielle Vo-
raussetzung für den Erfolg der Digitalisierung. Denn nur wenn
digitalisierte Datenverarbeitungen transparent und nachvoll-
ziehbar gestaltet seien, würden sie auf nachhaltige Akzeptanz
stoßen. „Auf diesem Weg lassen sich dann auch am besten die
unbestrittenen Chancen der digitalen Datenverarbeitung nutzen,
etwa in der Forschung, in der Früherkennung und Behandlung
von Krankheiten oder im Verhältnis zwischen Bürger und Staat“,
so die Landesdatenschutzbeauftragte von Niedersachsen.
Sicherheit und Budgetierung
IT-Security-Kosten, die gerne

übersehen werden
27.08.2021 AUTOR/RED: DIPL. BETRIEBSWIRT OTTO GEISSLER / PETER SCHMITZ
Erfahrungen haben gelehrt, dass es meist kostengünstiger

ist, eine Hacker-Attacke zu verhindern, als den Schaden
nach einem Angriff beheben zu müssen. Welche wesentli-
chen Budgetposten der IT-Security werden dabei von Con-
trollern häufig übersehen oder nicht realistisch bewertet?
(© H_Ko - stock.adobe.com)
Da die Security-Budgets nicht in dem Maße steigen können, wie sich die Bedrohungen weiterentwickeln,
müssen Unternehmen eine Priorisierung vornehmen.
Jedes Unternehmen, unabhängig von seiner Größe oder Ausrich-

tung am Markt, sollte ein maßgeschneidertes, genaues IT-Secu-
rity-Budget erstellen. Dennoch versehen viele Unternehmen ihre
IT-Security-Budgets mit kritischen Auslassungen, die sie anfällig
für Hacker-Attacken und somit für erhebliche finanzielle Schä-
den machen können.
Da die Budgets natürlich nicht in dem Maße steigen können, wie
Bedrohungen auftreten oder sich weiterentwickeln, ist es un-
möglich, für alle Eventualitäten abgesichert zu sein. Das heißt,
es muss eine Priorisierung erfolgen. Aber welche Budgetposten
sind für die Cybersicherheit eines Unternehmens wichtig oder
werden von Controllern gerne übersehen?
Personalbeschaffung und -bindung

In den vergangenen Jahren hat sich die Kluft zwischen quali-
fizierten Fachkräften und der quasi exponentiell wachsenden
Zahl von IT-Arbeitsplätzen stetig vergrößert. Der unerbittliche
Wettbewerb um hoffnungsvolle Talente geht also unbeirrt wei-
ter. Entgegen diesem langfristigen Trend unterschätzen viele
Unternehmen nach wie vor die Kosten für die Einstellung und
Bindung von qualifizierten IT-Security-Experten.
IT-Security-Schulungen
Viele Unternehmen haben verstanden, dass das Verhalten der
Mitarbeiter eine große Risikoquelle darstellt. Somit schlummern
die größten IT-Security-Risiken im eigenen Unternehmen. Trotz-
dem wird insgesamt viel zu wenig in Mitarbeiterschulungen in-
vestiert. Ein gut aufgestelltes IT-Sicherheitsprogramm schließt
auch alle betroffenen Mitarbeiter ein, die über ihre Pflichten im
Bereich der IT-Security aufgeklärt sind. Nicht zuletzt, um sicher-
zustellen, dass böswillige Akteure schnell entdeckt und gefasst
werden.
IT-Security-Versicherungen
Viele Unternehmen haben die Notwendigkeit von Versicherun-
gen für die IT-Security noch nicht hinreichend erkannt - ein
Versäumnis mit potenziell fatalen Folgen! Dies geschieht insbe-
sondere vor dem Hintergrund wachsender Cyber-Bedrohungen.
Gerade kleinere Unternehmen sind davon überproportional be-
troffen. Abgesehen davon, dass Unternehmen sich vor mögli-
chen finanziellen Schäden schützen, kann schon allein die Be-
antragung einer IT-Security-Versicherung zu einer verstärkten
IT-Security-Infrastruktur führen. Denn der Prozess einer Evalu-
ierung, der nötig ist, um eine Police zu erhalten, kann schon da-
bei helfen, Sicherheitslücken zu identifizieren und Alternativen
zur Verbesserung zu entwickeln.
Analysen durch externe Berater

Unternehmen unterschätzen des Weiteren oft die Bedeutung von
Schwachstellen-Analysen durch externe Dienstleister, die das
Management und Mitarbeiter über potenzielle Cyber-Bedrohun-
gen aufzuklären. Es ist angeraten, hier ein größeres Budget vor-
zuhalten, damit sich Unternehmen gegebenenfalls von mehr als

einem Dienstleister unterweisen zu lassen, um sicherzustellen,
dass man eine sogenannte „360-Grad-Beratung“ erhält.
Nicht wenige Unternehmen glauben, Budgets für externe Mei-
nungen wären unnötig, weil sie mit ihren eigenen Maßnahmen
und den angestammten Beratern bisher nie eine Hacker-Attacke
erlebt haben. Gerade wenn es um etwas sensiblere Daten geht,
gilt Input von verschiedenen Sicherheitsfirmen als angezeigt.
Auf diese Weise können Unternehmen sicherstellen, dass sie ihre
entsprechenden technischen, administrativen und physischen
Sicherheitsvorkehrungen auch umfassend getroffen haben.
Reaktion auf Vorfälle

Insbesondere wenn es um die Planung von Budgets geht, so wer-
den gerne die indirekten Kosten für die Reaktionen auf Vorfälle
(Incident Response, IR) übersehen. Dagegen würde eine sorg-
fältig geplante IR-Strategie die Organisation bei einem Hacker-
Angriff vor finanziellen Verlusten bewahren. Es empfiehlt sich,
eine Stelle dafür zu schaffen oder eine Gruppe von Experten ein-
zustellen und zu schulen, die für die Reaktion auf solche Bedro-
hungen spezialisiert und verantwortlich ist. Im Krisenfall zahlt
sich das weidlich aus.
Obwohl dieses Risiko tagtäglich präsent ist, versäumen es Unter-
nehmen nach wie vor, IR-Ausgaben realistisch zu budgetieren.
Angesichts der Horrormeldungen großer Unternehmen in der
Presse, die offenbar trotz ausgetüftelter Sicherheitsprogrammen
gehackt wurden, ist es nur schwer vorstellbar, warum kleinere
Unternehmen sich nicht besser durch den Erhalt bzw. Aufbau
von IR-Maßnahmen aufstellen.
Denn solche indirekte Kosten sind in der Gesamtbetrachtung
nicht weniger wichtig als die direkten Kosten. Kein Budget für
IR-Services zu haben, könnte dazu führen, dass sich Vorfälle
wie beispielsweise Ransomware unnötig in die Länge ziehen
würden, was zu ungleich größeren Geschäftsunterbrechungen,
Kundenverlusten und Reputationsschäden führen könnten.
Kosten für die Wiederbeschaffung

Bei der Einordnung eines Budgets für die Wiederbeschaffung für
potenziell gefährdete Anlagen nehmen viele Unternehmen eine
ausgesprochen kurzsichtige Sichtweise ein, welche der Syste-

me von einer Sicherheitsverletzung oder Malware betroffen sein
könnten. Oftmals beschränken sie den Austausch nur auf die
am stärksten gefährdeten Systeme. Erfahrungsgemäß entstehen
meist Verluste, die weit über den Prognosen der Unternehmen
liegen.
Die jüngste Verlagerung der Arbeitsplätze in Homeoffices kann
die Wiederbeschaffungskosten deutlich erhöhen und lässt vor-
sichtige Schätzungen aus der Zeit vor der Pandemie weit in den
Hintergrund treten. Denn wer den Austausch oder die Aufrüs-
tung gefährdeter Heimsysteme sträflich vernachlässigt, riskiert
viel. Das bedeutet, wenn Homeoffices angegriffen werden, so
können diese Systeme unbeabsichtigt eine Schwachstelle in das
Unternehmensnetzwerk einschleusen, selbst wenn ein Unter-
nehmen das Problem auf seiner Seite behoben hat.
IT-Security-Status
Wie viel IT-Security tut Not?

22.10.2021 AUTOR / RED: DIPL. BETRIEBSWIRT OTTO GEISSLER / PETER SCHMITZ
Der effektivste Weg, um Bedrohungen durch Hacker ab-

zuwehren, ist ein ausgereiftes und vor allem proaktives
IT-Security-Konzept. Dafür müssen erstmal ein IT-Securi-
ty-Status ermittelt und klare Zielsetzungen festgelegt wer-
den.
© peshkov - stock.adobe.com
Das Modell für einen IT-Security-Status bietet Unternehmen die Möglichkeit, regelmäßig zu bewerten, auf
welcher Stufe der Cyber-Sicherheit es sich gerade befindet.
Viele Unternehmen sind sich nicht sicher, gegen welche Hacker-

Attacken sie sich schützen müssen und ob ihre IT-Security-Maß-
nahmen genügen, um die laufenden Geschäftsprozesse aufrecht
zu erhalten. Des Weiteren existieren Unsicherheiten, ihren IT-Se-
curity-Status einzuschätzen und die richtigen Maßnahmen um-
zusetzen, damit sich das Schutzniveau verbessert.
Dafür ist es zwingend notwendig, einen Ist- und Soll-Zustand zu
identifizieren, der dann den Bedarf an Aktivitäten sowie das ent-
sprechende Budget für Security-Investitionen zielgenau vorgibt.
Um mehr Klarheit zu erhalten, gilt es zuerst, ein erforderliches
Sicherheitslevel als anvisierten Sicherheitszustand zu definieren.
Anschließend kann das aktuelle Schutzniveau, also der Ist-Zu-
stand, dazu ins Verhältnis gestellt und Lücken in der IT-Security
transparent gemacht werden.
Erstellung eines Bewertungsprozessrahmens

Ein zuverlässiges IT-Security-Programm erfordert einen fortlau-
fenden Prozessrahmen zur Bewertung der jeweiligen Maßnah-
men zur Cybersicherheit. Dies ermöglicht es den Unternehmen,
regelmäßig Risiken und Herausforderungen zu erkennen, sodass

entsprechende Maßnahmen angepasst und ergriffen werden
können, um so die gesteckten Ziele zu erreichen.
Da jedes Unternehmen auf einem unterschiedlichen Security-
Status steht, müssen zunächst einmal die verschiedenen Ent-
wicklungsstufen der Sicherheitslevels bewertet und mögliche
Maßnahmen davon abgeleitet werden. Zusätzlich sollten als wei-
tere Kriterien geeignete Vergleichsunternehmen aus der jeweili-
gen Branche als Referenzen dienen.
1. Stufe: Starter
Unternehmen auf diesem Level verfügen über keine formalen Si-
cherheitsrichtlinien oder funktionierende Security-Governance.
Obwohl die meisten Unternehmen über einem solchen Anfangs-
niveau punkten, gibt es nach wie vor Organisationen, die sich
auf diesem Sicherheitslevel befinden.
Eine Bewertung auf dieser Ebene ist für jedes Unternehmen, das
IT-Assets besitzt, verwaltet und gegenüber Aktionären, Investo-
ren, Aufsichtsbehörden oder Steuerzahlern Verpflichtungen hat,
inakzeptabel. Für die Sicherheits-Roadmap als Starter empfeh-
len sich Crash-Programme, um eine starke CISO-Position oder
ähnliches aufzubauen, Sicherheits-Governance-Ausschüsse ein-
zurichten und Personal für Sicherheitsinfrastruktur-Positionen
aufzustocken.
2. Stufe: Fortgeschritten
Ein typisches Unternehmen in dieser Entwicklungsphase hat
bereits ein Security-Programm, einige Security-Prozesse sowie
Infrastruktur-Elemente, die effektiv funktionieren, in der Ent-
wicklung. Solche Unternehmen neigen jedoch dazu, in grund-
legenden Bereichen wie beispielsweise Netzwerk-Segmentierung
bzw. Zonierung Schwächen aufzuweisen. Daher punkten sie
beim allgemeinen Identitäts- und Zugriffsmanagement (IAM) re-
lativ gering.
In dieser Phase findet man auch eher selten ein hohes Maß an
Verantwortlichkeiten sowie Automatisierung hinsichtlich Si-
cherheitsprozesse oder fortschrittlicher Technologien für das
Schwachstellen-Management, Aktivitäten zur Verhinderung von
Datenverlusten (DLP) oder des Sicherheitsinformations- und Er-
eignismanagements (SIEM).
Für die Sicherheits-Roadmap auf dieser Stufe sollten die größten
identifizierten Lücken auch geschlossen werden. Hierzu emp-
fiehlt sich in verschiedenen Schritten vorzugehen, indem erst die

Grundlagen und im Anschluss dazu die erweiterten Funktionen
vollständig bereitgestellt werden. Aus diesem Grunde sollte die
Implementierung anspruchsvoller DLP- und SIEM-Funktionen
oder die umfassende Bereitstellung eines Privileged Access Ma-
nagement (PAM) in der Regel erst dann erfolgen, wenn sich die
Einführung grundlegender IT-Funktionen wie beispielsweise
Service-Ticketing, Asset-Management und IAM bewährt haben.
3. Stufe: Reifegrad
Unternehmen, die sich in der Reifegrad-Phase befinden, haben
bereits eine umfassende Reihe von Sicherheitsprozessen, Richt-
linien und dokumentierten technischen Kontrollen eingeführt.
Allerdings verlassen sie sich meist weiterhin zu sehr auf indivi-
duelle Bemühungen. Prozesse wie Change Management, Audit
und Security der Lieferketten müssen noch verbessert werden.
Darüber hinaus sollten die Unternehmen noch aktiver werden,
um das Wissen und das Bewusstsein für die Sicherheit in den
einzelnen Aufgabenbereichen zu erhöhen sowie die Sicherheits-
überwachung, die Analyse und die Kontrolle der Verwaltung des
privilegierten Zugriffs zu verfeinern.
Für die Sicherheits-Roadmap auf dieser Stufe liegt der Schwer-
punkt auf Audit, Change Management, erweiterte Sicherheits-
überwachung und Instrumentarien, um den Schutz im Hinblick
auf Verifizierung und Verantwortlichkeiten zu verbessern. Mit
einer grundlegenden Prozess- und Technologieinfrastruktur
können Risikomanagement, Schwachstellenmanagement, SIEM
und PAM dann auf Hochtouren laufen.
Unternehmen mit „Reifegrad“ sollten sich noch mehr auf fol-
gende Instrumentarien konzentrieren: Kennzahlen (KPI) und
Risikokennzahlen (KRI), die in der Anfangs- oder Entwicklungs-
phase eingeführt wurden, müssen nun überprüft und erweitert
werden. Denn optimierte Instrumentarien verbessern auch die
Rechenschaftspflicht hinsichtlich einer Risiko- bzw. Finanzper-
spektive.
4. Stufe: Administrierter Reifegrad

Unternehmen in dieser Entwicklungsphase verfügen bereits
über umfassende Maßnahmen an Personen-, Prozess- und Tech-
nologie-Kontrollen. Sie sind jedoch nach wie vor auf manuelle
Prozesse angewiesen und stehen angesichts der ständigen Ver-
änderungen der Bedrohungs-, Regulierungs-, Technologie- und
Geschäftssituation vor neuen Herausforderungen, um das Secu-

rity-Programm am Laufen zu halten.
Daher müssen sich Sicherheits-Roadmaps auf dieser Stufe darauf
konzentrieren, den Automatisierungsgrad der Infrastruktur und
der Prozesse zu erhöhen, durch die das Security-Programm kos-
tengünstiger bzw. skalierbarer werden soll. So könnten beispiels-
weise komplexe Funktionen wie beispielsweise ein Schwachstel-
len-Management oder eine Sicherheitsüberwachung zunehmend
über hybride Public/Private-Cloud-Umgebungen hinweg orches-
triert werden.
5. Stufe: Optimierter Reifegrad
Auf dieser Stufe sind die implementierten Security-Programme
bereits sehr umfassend ausgestattet. Jedoch sind solche Unter-
nehmen meist auch sehr saturiert und neigen zu einem trüge-
rischen Sicherheitsdenken. Dabei wird gerne missachtet, dass
die Aufrechterhaltung vieler, wenn nicht sogar der meisten op-
timierten Security-Programme eine kontinuierliche Risiko-, Ge-
schäfts-, Technologie- und Finanzanalyse im Hinblick der stän-
digen Veränderungen erfordern.
Die Sicherheits-Roadmap für ein Unternehmen der 5. Stufe kon-
zentriert sich auf Nachhaltigkeit und Anpassungsfähigkeit durch
kontinuierliche Arbeit an zukunftsfähigen Prozess- und Techno-
logie-Schnittstellen. Ziel ist es, eine Organisation zu etablieren,
die eine kontinuierliche Optimierung des Security-Programms
unterstützt.
Aktuelle Pläne zur Vorratsdatenspeicherung
Ist die Vorratsdatenspeicherung

am Ende?
25.02.2022 | VON DIPL.-PHYS. OLIVER SCHONSCHEK
Kritiker erinnern die Pläne zur Vorratsdatenspeicherung

(VDS) an einen Zombie, der tot geglaubt wird und dann
wiederkommt. Befürworter verweisen auf die Bedeutung
zum Beispiel bei der Bekämpfung von Kinderpornografie.
Die neue Bundesregierung könnte die VDS nun beerdigen,
doch in der EU gibt es auch andere Vorstellungen. Ein Über-
blick zu Positionen und Entwicklungen zur VDS.
(Bild: BillionPhotos.com - stock.adobe.com)
Die neue Bundesregierung könnte die Vorratsdatenspeicherung endlgültig beerdigen, aber in der EU gibt es
auch andere Pläne.
Tausende Hinweise auf Kinderpornografie führten nicht zur Er-

mittlung der Täter, weil die vom Provider mitgelieferten IP-Adres-
sen mangels in Deutschland praktizierter Vorratsdatenspeiche-
rung bereits gelöscht waren, eine Identifizierung der Täter damit
nicht möglich war, so das Bundeskriminalamt (BKA). Wie um-
fangreich die Ermittlungsprobleme dadurch gewesen sind, stellt
das BKA so dar: „2020 betraf dies rund 2.600 Fälle. Andere Er-
mittlungsansätze (etwa E-Mail-Adressen oder Telefonnummern)
waren in diesen Fällen nicht mehr vorhanden, die Ermittlungen
mussten eingestellt werden. Die 2.600 in Deutschland nachweis-
lich begangenen, aber wegen fehlender Vorratsdatenspeiche-
rung nicht aufgeklärten Fälle bezieht das BKA für ein klares Bild
über die tatsächlich begangenen Straftaten mit ein.“
Der frühere Bundesinnenminister Seehofer erklärte auf der BKA-

Herbsttagung 2021: „Die besten Strafgesetze nützen nichts, wenn
die Polizei keine ausreichenden Ermittlungsinstrumente hat und
sie deshalb mit den Ermittlungen nicht hinterherkommt. Ich den-
ke hier selbstverständlich auch an die Vorratsdatenspeicherung.
Hier sehe ich eine große Aufgabe für die nächste Zeit.“
Seehofer machte seine Position ganz klar: „Wir brauchen auch
die Vorratsdatenspeicherung. Wenn der Europäische Gerichtshof
hoffentlich bald die rechtlichen Möglichkeiten für das Instru-
ment der Vorratsdatenspeicherung endgültig klarstellt, müssen
wir sie auch endlich nutzen. Ich habe nie verstanden, welch‘ ge-
radezu hysterische Abwehrreaktionen der Begriff "Vorratsdaten-
speicherung" hervorruft. Dabei steht hier realen Aufklärungs-
möglichkeiten, deren Nutzen sich unmittelbar erschließt, nur die
diffuse Angst vor einem vermeintlichen "Überwachungsstaat"
gegenüber.“
Der neue Bundesjustizminister hat jedoch eine andere Sicht auf
die Vorratsdatenspeicherung.
Neue Bundesregierung sieht VDS anders als vorherige

Bundesjustizminister Dr. Marco Buschmann erklärte im Dezem-
ber 2021: „Ich lehne die anlasslose Vorratsdatenspeicherung ab
und möchte sie endgültig aus dem Gesetz streichen. Sie verstößt
gegen die Grundrechte. Wenn jeder damit rechnen muss, dass
vieles über seine Kommunikation ohne Anlass gespeichert wird,
dann fühlt sich niemand mehr frei.“
Im Januar 2022 unterstrich Buschmann seine Position zur VDS:
„Wir werden die Bürgerrechte stärken und so für eine neue Ba-
lance von Sicherheit und Freiheit sorgen. Das gilt beispielhaft für
die Vorratsdatenspeicherung - einem millionenfachen Eingriff in
die informationelle Selbstbestimmung. Die Vorratsdatenspeiche-
rung wird gestrichen.“
Im Bundestag erläuterte Buschmann die aktuelle Situation bei
der Vorratsdatenspeicherung: „Wir haben hier heute eine ab-
surde Situation: Die Vorratsdatenspeicherung steht formal im
Gesetz, Gerichte haben sie aber gestoppt. Sie findet kaum An-
wendung, weil die Bundesnetzagentur sie nicht durchsetzt. Die
Vorratsdatenspeicherung trägt also kaum etwas zur Sicherheit
bei.“
Anstelle der VDS soll ein anderes Verfahren treten, so Busch-
mann: „Stattdessen geben wir den Ermittlungsbehörden das
Quick-Freeze-Instrument in die Hand. Das heißt, wenn es einen
Anlass gibt, also den Verdacht eines schweren Verbrechens,

dann ordnet ein Richter die Speicherung von Telekommunikati-
onsdaten an, und Ermittler können sie dann auswerten. Das ist
rechtsstaatlich sauber und grundrechtsschonend.“
Auf Bundesebene scheinen die Vorhaben zur anlasslosen VDS
damit ihrem Ende entgegen zu gehen. Doch wie sieht es auf EU-
Ebene aus?
Urteil des EuGH steht an
Wenn es nach dem Generalanwalt beim Europäischen Gerichts-
hof (EuGH) geht, bleibt es bei den roten Linien, die das Gericht
in Sachen VDS bisher gezogen hat, berichtet der Deutsche An-
waltverein. In seinen Schlussanträgen zur deutschen Regelung
stellte der Generalanwalt beim EuGH fest, dass diese nicht EU-
rechtskonform sei. Der Deutsche Anwaltverein (DAV) warnt seit
langem vor einer Wiederbelebung der VDS: „Der DAV lehnt die
Vorratsdatenspeicherung aufgrund ihres erheblichen Eingriffs
in die Grundrechte und in das anwaltliche Berufsgeheimnis wei-
ter entschieden ab. Die anlasslose Totalüberwachung unbeschol-
tener Bürgerinnen und Bürger muss ein Tabu bleiben.“
Der DAV verweist aber auf andere Bestrebungen in der EU: „Wie
beharrlich die EU-Kommission und etliche Mitgliedstaaten den-
noch die Vorratsdatenspeicherung nutzen wollen, zeigt sich an
der Häufigkeit, mit der diese Bestrebungen vor dem EuGH landen
– und abgeschmettert werden.“
Die deutschen Regelungen der Vorratsdatenspeicherung sind
nicht mit dem EU-Recht vereinbar, so auch der Verband der
Internetwirtschaft eco. Diese Auffassung vertritt der Gene-
ralanwalt im Verfahren BRD/SpaceNet AG, C-793/19. Die an-
lasslose und generelle Speicherung von Verkehrsdaten stehe
nicht im Einklang mit dem Gebot, dass die Speicherung nur
die Ausnahme sein dürfe.
Dazu sagte eco Vorstandsvorsitzender Oliver Süme: „Für eco und
SpaceNet sind die Schlussanträge des Generalanwalts eine über-
deutliche Bestätigung für das Eintreten gegen die Vorratsdaten-
speicherung. Wir erwarten, dass der Gerichtshof sich in seinem
Urteil den Schlussanträgen des Generalanwalts anschließt.“
Der EuGH wird erst in wenigen Monaten sein Urteil in der Sa-
che fällen. Die anlasslose VDS ist also noch nicht ganz an ihrem
Ende angelangt, auch wenn viele Datenschützer dieses Ende her-
beisehnen.
Argumente für den Datenschutz
Wie wäre eine Welt ohne Daten-

schutz?
22.04.2022 / VON DIPL.-PHYS. OLIVER SCHONSCHEK
Der Datenschutz setzt Unternehmen unter Dauerdruck,

sagt zum Beispiel der Digitalverband Bitkom. Der Aufwand
zur Umsetzung der Datenschutz-Grundverordnung (DS-
GVO) gilt als zu hoch. Ist der Datenschutz zu streng und re-
alitätsfremd? Hemmt er den Geschäftserfolg, kostet er gar
Leben? Wer Argumente für den Datenschutz sucht, sollte
überlegen, was ohne Datenschutz passieren würde.
Bild: peterschreiber.media - stock.adobe.com
Der Datenschutz schützt nicht einfach nur Daten, sondern schützt Menschen. Er ist kein Verhinderer, sondern
ein wichtiger Regulator und Steuerungsfaktor und trägt zu Akzeptanz und Vertrauen in der Bevölkerung bei.
So manches Missverständnis ließe sich vermeiden, wenn die

verwendeten Begriffe nicht in die falsche Richtung weisen wür-
den. Der Datenschutz ist ein Beispiel dafür. Nicht erst in Zeiten
der Corona-Pandemie konnte und kann man lesen, dass der Da-
tenschutz Menschenleben kosten würde.
Der Gedanke dahinter ist: Wäre der Datenschutz nicht so streng
oder gar nicht gefordert, könnte man die Verbreitung von Infek-
tionen besser nachvollziehen. Dann könnten die Menschen sich
und andere gezielter vor einer Ansteckung schützen.
Doch verhindert der Datenschutz wirklich den Schutz von Men-
schenleben? Werden also Daten geschützt, aber die Menschen
nicht?
Der Bundesbeauftragte für den Datenschutz erklärt: „Wir schüt-

zen Menschen, nicht Daten!“. Eigentlich sollte dies bereits dafür
ausreichend sein, viel Kritik am Datenschutz verstummen zu las-
sen. Datenschutz ist Menschenschutz, und sollte der Aufwand,
der für den Datenschutz erbracht werden soll, nicht alleine da-
durch schon gerechtfertigt sein?
Aber Kritiker des Datenschutzes werden sagen, man könne die
Menschen auch anders schützen, diesen Datenschutz brauche
man nicht. Die Aufsichtsbehörden für den Datenschutz und
letztlich jede Datenschützerin und jeder Datenschützer wer-
den mit solcher Kritik konfrontiert, die sagt, ein solcher Daten-
schutz sei unnötig. Was also wäre, wenn es keinen Datenschutz
geben würde?
Können mehr Menschenleben gerettet werden, wenn es

keinen Datenschutz gäbe?
„Die Pandemie zeigt, wie der Datenschutz als Sündenbock her-
halten muss, wenn Dinge schief gehen. Es vergeht kein Tag, an
dem nicht behauptet wird, dass die Pandemie leicht in den Griff
zu bekommen sei, wenn wir nur den Datenschutz zurechtstutzen
würden", so die Datenschutzbeauftragten von Berlin und Rhein-
land-Pfalz.
„Datenschutz verhindert nicht die Pandemiebekämpfung! Da-
tenschutz ist gerade in Krisenzeiten wichtig“, erklärte Marit Han-
sen, die Landesbeauftragte für Datenschutz Schleswig-Holstein.
„In der andauernden Pandemiesituation ist es sogar besonders
relevant, dass Datenschutz nicht als lästiges und verzichtbares
Anhängsel wahrgenommen, sondern von Anfang an mitgedacht
und eingebaut wird. Wer darauf verzichtet, riskiert nicht nur
Pannen oder Datenmissbrauch, sondern setzt jegliches Vertrau-
en aufs Spiel.“
Der Hessische Beauftragte für Datenschutz und Informationsfrei-
heit Professor Dr. Alexander Roßnagel stellte ebenfalls klar, dass
der Datenschutz die effektive Bekämpfung der Pandemie nicht
behindert, in Wirklichkeit erlaubt das Datenschutzrecht die Da-
tenverarbeitung zur Pandemiebekämpfung.
Die Verarbeitung personenbezogener Daten ist nach der Daten-
schutz-Grundverordnung insbesondere zulässig, wenn sie er-
forderlich ist, um „lebenswichtige Interessen“ zu schützen. Als
ein Beispiel für ein solches Interesse nennt die Datenschutz-
Grundverordnung ausdrücklich die „Überwachung von Epide-
mien“. Wenn Impfen, Testen und Kontaktverfolgung nicht wie

gewünscht funktionieren, ist dies also nicht die Schuld des Da-
tenschutzes, wie Prof. Roßnagel klarstellte.
Sein Resümee: „Wir benötigen kein Zurückschrauben des Daten-
schutzrechts. Im Gegenteil – die Einschränkung des Grundrechts
auf Datenschutz wäre kontraproduktiv. In der Krise hat der Da-
tenschutz Flexibilität und Schutzwirkung gleichzeitig erwiesen.“
Prof. Kugelmann, der rheinland-pfälzische Landesbeauftragte
für den Datenschutz und die Informationsfreiheit, sieht dies ge-
nauso: „Der Datenschutz ist kein Verhinderer, sondern ein wich-
tiger Regulator und Steuerungsfaktor. Er trägt zu Akzeptanz und
Vertrauen in der Bevölkerung bei.“
Nicht nur die Pandemie liefert viele Beispiel, warum Daten-
schutz nicht Menschenleben gefährdet, sondern den Menschen
helfen soll und kann. Prof. Kugelmann berichtete zum Beispiel:
„In Italien ist Anfang dieses Jahres bekannt geworden, dass ein
zehnjähriges Mädchen gestorben ist, vermutlich weil sie sich an
einer Tiktok-Mutprobe beteiligt hat. Nach den Nutzungsbedin-
gungen der Plattform hätte das Mädchen aufgrund ihres Alters
selbst nicht ein Tiktok-Profil eingerichtet haben dürfen. Die itali-
enische Datenschutzaufsichtsbehörde ist daraufhin gegen Tiktok
vorgegangen.
Prof. Kugelmann stellte klar: „Die aktuellen Fälle zeigen zum Teil
auf dramatische Weise, welchen Stellenwert Datenschutz und
Datensicherheit in digitalen Zeiten haben müssen. Wenn nicht
auf allen Seiten mehr für den Datenschutz getan wird, könnten
immer mehr Bürgerinnen und Bürger Opfer von Betrugsversu-
chen, Cyber-Attacken und Mobbing werden.“
Wäre die Digitalisierung erfolgreicher, wenn der Daten-

schutz nicht mehr da wäre?
Nicht Daten, sondern Vertrauen sind der Rohstoff des 21. Jahr-
hunderts, betont der Bundesdatenschutzbeauftragte. „So reiz-
voll die neuen Möglichkeiten von Big Data, Künstlicher Intelli-
genz und neuen datengetriebenen Geschäftsmodellen auch sein
mögen: Im Mittelpunkt muss immer der Mensch stehen“, erklärt
Prof. Kelber als Datenschutzbeauftragter des Bundes. „Nicht als
Objekt, sondern als selbstbestimmtes Individuum, das stets die
Kontrolle über seine Daten behält. Wir Datenschützer werden
uns weiter dafür einsetzen, dass diese Kontrolle und damit auch
das Vertrauen in die Datenverarbeitung zurückgewonnen wird.“

Professor Wolf-Dieter Lukas, zu dieser Zeit Staatssekretär im
Bundesministerium für Bildung und Forschung, argumentiert
die Bedeutung des Datenschutzes so: „Ich halte die verantwor-
tungsvolle Nutzung digitaler Daten für eine der Kernvorausset-
zung für ein Leben in Freiheit und Wohlstand in Deutschland
wie Europa. Gerade forschungsintensive Unternehmen und For-
schungseinrichtungen benötigen einen verlässlichen Zugang zu
digitalen Daten. Digitale, oft hochgradig personalisierte Daten
sind ein äußerst sensibles Gut, das es in einer freiheitlich-de-
mokratischen Grundordnung zu schützen gilt. Hierfür brauchen
wir mehr Lösungen, die sowohl die Nutzung digitaler Daten für
innovative Anwendungen ermöglichen als auch die Datensou-
veränität eines jeden Einzelnen wahrt und etwaigen negativen
gesellschaftlichen Begleiterscheinungen entgegenwirkt.“
Nehmen wir nun einmal an, es gäbe diesen Datenschutz nicht.
Dann könnten die Daten zu jedem Zweck, von jedem und für
eine beliebige Zeit genutzt werden. Die Inhaber der Daten hätten
keine Möglichkeit, sich dagegen zu wehren, eine Löschung zu
verlangen oder zu erfahren, was denn mit ihren Daten gesche-
hen soll.
Wenn die Daten der Personen besonders sensibel sind, also zum
Beispiel mit der Gesundheit zu tun haben, könnte ohne Daten-
schutz also zum Beispiel eine Versicherung entstehen, die bei
neuen Mitgliedsanträgen die Gesundheitsdaten auswertet, den
einen Kunden annimmt, dem anderen den dreifachen Betrag ab-
verlangt und den nächsten gar nicht aufnimmt.
Diese Versicherung könnte womöglich für sich bestimmte Ri-
siken ausschließen, denn Kunden, die teuer werden können,
nimmt sie erst gar nicht an. Entsprechend wäre sie vielleicht
wirtschaftlich erfolgreich, aber nur auf den ersten Blick. Würde
man denn eine solche Versicherung für gut finden, würde man
ihr vertrauen?
Aus gutem Grund sagt man, dass der Datenschutz die Digitali-
sierung erfolgreich macht, denn Datenschutz ist eine Bedingung
für Vertrauen, und nur wer Vertrauen bei seinen Kundinnen und
Kunden hat, kann auf Dauer auch Erfolg haben.
Man kann also sagen, Datenschutz ist auch Vertrauensschutz.
Dies sollte in Zeiten, in denen „Digital Trust“ als zentraler Un-
ternehmenswert gesehen wird, ein weiteres, gutes Argument für
den Datenschutz sein.
Ratgeber Security-Konsolidierung
Stolpersteine bei der Konsolidie-

rung der IT-Sicherheit
04.11.2022 VON DIPL.-PHYS. OLIVER SCHONSCHEK
Die Security leidet unter Komplexität. Viele Unternehmen

planen, die Zahl der Security-Anbieter und Lösungen zu
reduzieren. Doch die Konsolidierung der IT-Sicherheit ist
kein Selbstläufer. Wer nicht aufpasst, verringert nicht die
Komplexität, sondern die Security selbst. Wir geben Tipps,
damit sich durch die Reduzierung der Lösungen und An-
bieter keine Sicherheitslücken auftun.
(Bild: adam121 - stock.adobe.com)
Wir zeigen, wie Unternehmen die Security-Konsolidierung auch ohne großes Projekt schaffen und
dabei die typischen Stolpersteine vermeiden.
Laut Gartner planen 75 Prozent der Unternehmen eine Konsoli-

dierung der Sicherheitsanbieter bis Ende 2022. Im Jahr 2020 lag
dieser Wert noch bei 29 Prozent.
Diese Entwicklung hin zu einer Security-Konsolidierung sehen
auch andere Marktforscher. So ergab eine Umfrage von IDC, dass
die Komplexität der Security noch häufiger als größte IT-Sicher-
heitsherausforderung gesehen wird als zum Beispiel Ransomwa-
re-Attacken.
Dabei ist Konsolidierung nicht nur in der Security ein zentra-
les Thema, viele Bereiche der IT sind davon erfasst. Als Beispiel
sei das „Programm Dienstekonsolidierung Bund“ genannt. Ziel
des Programms Dienstekonsolidierung (https://www.cio.bund.
de/Webs/CIO/DE/digitale-loesungen/it-konsolidierung/it-kon-
solidierung-node.html) ist es, einheitliche, leistungsstarke und
sichere IT-Lösungen für die Bundesverwaltung zu entwickeln.

Bis 2025 will der Bund für gleichartigen Anwendungen nur noch
maximal zwei IT-Lösungen je Funktionalität anbieten. Hierfür
werden bestehende IT-Lösungen konsolidiert sowie fehlende neu
geschaffen und bereitgestellt.
Wie aber schafft ein Unternehmen die gewünschte Security-Kon-
solidierung, auch ohne ein großes Programm und Projekt dazu
zur Verfügung zu haben? Das Wichtigste ist erst einmal, die typi-
schen Stolpersteine dabei zu vermeiden.
Schnittstellen und einheitliche Dashboards sind nicht

alles
Das Ziel einer Konsolidierung der IT-Sicherheit lautet letztlich,
möglichst alles aus einer Hand oder in einem Dashboards zu ha-
ben, wodurch die Komplexität und die Aufwände sinken, gleich-
zeitig das IT-Sicherheitsniveau ansteigen soll. Dafür reichen aber
keine offene Schnittstellen und Security-Management-Plattfor-
men, überhaupt reicht die technische Umsetzung nicht.
Die Konsolidierung muss weitaus früher ansetzen. Es beginnt
damit, dass man erst einmal in Erfahrung bringen muss, welche
Hersteller und Lösungen für Security überhaupt gegenwärtig ge-
nutzt werden.
Dieser Überblick ist nicht so einfach zu bekommen, wie man
denkt. Das liegt zum einen an der heterogenen, verteilten IT, die
geschützt werden muss, von der Cloud bis ins Homeoffice. Zum
anderen liegt es daran, dass die Security-Lösungen nicht immer
über den Weg der Freigabe ins Unternehmen gekommen sind, es
gibt durchaus eine Schatten-Security, wie bei anderen Anwen-
dungen auch.
Entweder braucht man also ein Tool für die notwendige Visibi-
lität und Transparenz der Security oder aber einen erfahrenen
Dritten, der sich aus externer Position einmal die Security an-
sieht, im Sinne eines Security-Audits. Wenn man dazu ein Bera-
tungshaus nutzen will, sollte es jedoch eines sein, das sich mit
Security auch auskennt. Das zeigt das folgende Beispiel.
Notwendig ist der Durchblick bei der Security

Wenn es zum Beispiel darum geht, ob man im Bereich Endpoint
Security nicht konsolidieren kann, sollte nicht der Fehler gemacht
werden, Endpoints mit PCs, Notebooks, Tablets und Smartpho-
nes gleichzusetzen. Auch Server sind Endpoints, es gibt virtuelle

Endpoints, und hinter einer Cloud stecken auch Endpoints, auf
denen Software läuft.
Wenn man also prüft, ob eine Endpoint-Lösung alle anderen er-
setzen kann, muss man den richtigen Funktionsumfang voraus-
setzen. Überspitzt gesagt, kann eine Smartphone-App nicht den
Serverschutz übernehmen.
Ein weiterer Stolperstein ist, dass Unklarheiten herrschen, wel-
che Funktionen eine Lösung besitzt, welche tatsächlich aktiv im
Einsatz sind, und ebenfalls wichtig, welche davon überhaupt be-
nötigt werden. So sind zum Beispiel Next Generation Firewalls
(NGFW) im Einsatz, die viel mehr könnten, als bisher genutzt
wird. Oder aber es sind Funktionen aktiv, die bereits eine andere
Lösung abdeckt, und es gibt Überschneidungen.
Bitte keine Schuldzuweisungen

Eine erfolgreiche Konsolidierung in der Security hat auch viel
mit Psychologie zu tun. So kann es sein, dass ein aufwändiges
SIEM-Projekt durch eine neue XDR-Installation ersetzt wird.
Dann ist es aber wichtig, nicht die frühere Anschaffung zu kriti-
sieren, sondern die damalige Entscheidung zu akzeptieren und
nun Neues dazuzulernen. Alles in der IT ist im Fluss und damit
auch in der Security.
Immer an die Prozesse denken, nicht nur an die Installati-

onen
Wenn es dann in Richtung Konsolidierung geht, sollte man nicht
den Fehler machen, die Deinstallation der einen Software und
die Installation der neuen als den kompletten Wechsel zu verste-
hen.
Mit Security-Lösungen sind ganze Prozesse verknüpft, was zum
Beispiel wann an wen gemeldet wird und dann ausgelöst wer-
den soll. Hier stehen oftmals Anpassungen an. Werden diese ver-
gessen, bilden sich Löcher in den Security-Prozessen und damit
IT-Sicherheitslücken.
Den Faktor Mensch auch hier nicht vergessen

Wie in der Security insgesamt, spielen auch wir Menschen eine
zentrale Rolle bei der Konsolidierung. Zum einen erfordern Ver-
änderungen bei den Lösungen immer wieder Schulungen auf

Seiten der Anwendenden und Administratoren. Auch der Weg-
fall einer Lösung durch Konsolidierung ist eine solche Verände-
rung, denn nun soll ja eine andere Security-Lösung genutzt und
verwaltet werden.
Nicht vergessen werden sollte auch, dass sich die Ansprech-
partner bei den Security-Anbietern verändern werden, wenn
bestimmte Hersteller und Produkte aus dem eigenen Security-
Programm genommen werden.
Gerade bei Security-Services wie MDR (Mangaed Detection and
Response) gibt es definierte Abläufe zwischen Dienstleister und
Unternehmen, diese müssen überprüft und angepasst werden.
Dabei wird so manches Team auseinander gerissen werden, das
bisher gut unternehmensübergreifend zusammengearbeitet hat.
Hier müssen also neue Allianzen geschmiedet werden.
Security-Konsolidierung hat also viele Facetten, die bedacht wer-
den müssen, damit nicht die Security reduziert wird, anstatt sie
zu vereinfachen.
Status Quo Zertifizierung nach DSGVO
Endlich Bewegung in der Daten-

schutz-Zertifizierung
25.10.2022 VON DIPL.-PHYS. OLIVER SCHONSCHEK
Das Warten hat langsam ein Ende: Es gibt erste

Zertifizierungskriterien nach Datenschutz-Grundverord-
nung (DSGVO). Nicht nur Unternehmen waren schon unge-
duldig, selbst den Aufsichtsbehörden dauerte es zu lange.
Wir zeigen, was nun im Bereich der DSGVO-Zertifizierun-
gen verfügbar ist und warum dies ein Meilenstein für den
Datenschutz werden kann.
(Bild: mixmagic - stock.adobe.com)
Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und
begehrt.
Was tut man, wenn ein Kunde wissen will, ob man bei der Verar-
beitung von Kundendaten auch einem hohen Datenschutzstan-
dard einhält? Gegenwärtig bestätigt man dies entweder selbst,
zum Beispiel im Rahmen eines Vertrages, oder man verweist
auf ein Datenschutzzertifikat, das man vor Jahren einmal erhal-
ten hat, vielleicht sogar noch auf Basis des alten Bundesdaten-
schutzgesetzes.
Ähnlich ist es, wenn man mit seinem hohen Datenschutzniveau
werben will. Man schreibt auf der eigenen Website, dass man die
DSGVO einhält. Das ist aber eigentlich kein Wettbewerbsvorteil
und Kundenversprechen, das ist die gesetzliche Pflicht für jedes
Unternehmen in der EU. Was wirklich hilfreich wäre, ist eine un-
abhängige Bestätigung durch Dritte, eine Zertifizierung.
Umgekehrt ist es schwierig, eine datenschutzkonforme IT-Lö-
sung auszuwählen, denn ein Zertifikat, wie es die Datenschutz-

Grundverordnung vorsieht, kann man noch nicht von dem An-
bieter erwarten. Was also verlangt man als Nachweis für den
Datenschutz? Einen solchen Nachweis muss man sich ja geben
lassen, wenn man zum Beispiel eine Auftragsverarbeitung im
Bereich Cloud nutzen will.
Wenn also in der Bitkom-Umfrage zum Datenschutz ausgesagt
wird, nur die wenigsten Unternehmen hätten Wettbewerbsvor-
teile durch die DSGVO, dann kann dies auch daran liegen, dass
es immer noch keine DSGVO-Zertifizierung gibt.
Darum ist eine DSGVO-Zertifizierung so wichtig und begehrt
Wer sich jetzt fragt, warum denn viele Unternehmen ungedul-
dig auf eine Zertifizierung nach DSGVO warten, der findet in der
Datenschutz-Grundverordnung dafür viele gute Gründe.
So kann eine Zertifizierung für den Nachweis der Einhaltung der
DSGVO mit herangezogen werden in Bereichen wie die Erfüllung
der Pflichten des Verantwortlichen, die Erfüllung der Anforde-
rungen an Technikgestaltung und datenschutzfreundliche Vor-
einstellungen, Garantien des Auftragsverarbeiters, Sicherheit der
Verarbeitung, Datenübermittlung an ein Drittland und Daten-
schutz-Folgeabschätzung.
Bislang war die Antwort auf den Stand bei den DSGVO-Zertifi-
zierungen: Die Aufsichtsbehörden des Bundes und der Länder
arbeiten derzeit intensiv an der Entwicklung abgestimmter, län-
derübergreifend geltender Kriterien, damit auch im Vollzug der
Aufsichtsbehörden eine einheitliche Bewertung im Sinne der DS-
GVO ermöglicht wird. Ein Wildwuchs zahlreicher unterschied-
licher Zertifizierungsverfahren sollte gerade mit Blick auf ein
einheitliches europäisches Datenschutzniveau im Interesse aller
Beteiligten vermieden werden.
Eine neue Entwicklung bei der DSGVO-Zertifizierung

Nun hat die Landesbeauftragte für Datenschutz und Informati-
onsfreiheit NRW (LDI NRW) erstmals Kriterien für die Zertifizie-
rung von Auftragsverarbeitern genehmigt. Damit kann sich das
Unternehmen, das die Genehmigung erhalten hat, als Zertifizie-
rungsstelle akkreditieren lassen.
Das Zertifikat „European Privacy Seal“ (EuroPriSe) soll anderen
Unternehmen künftig attestieren, dass ihre Auftragsverarbeitun-
gen den Anforderungen des europäischen Datenschutzrechts
entsprechen.
„Insgesamt haben wir in Europa erst zwei Verfahren mit nati-

onalen Zertifizierungskriterien abgeschlossen. Unsere Geneh-
migung der Kriterien für die EuroPriSe GmbH ist die erste in
Deutschland und europaweit, die die Zertifizierungen durch Un-
ternehmen betrifft“, erklärte Bettina Gayk, die Landesbeauftrag-
te für Datenschutz in NRW.
Die Aufsichtsbehörde stellt klar: Eine Zertifizierung bedeutet –
ganz allgemein – eine Begutachtung durch unabhängige Fach-
leute, die den Verarbeitungsvorgang personenbezogener Daten
analysieren und auf Normgerechtigkeit prüfen. In einem „Kon-
formitätsbewertungsprogramm“ sind Kriterien und Methoden
für die Begutachtung festgelegt. Dieses Programm muss – so
sieht es die Datenschutz-Grundverordnung (DSGVO) vor – der
Aufsichtsbehörde zur Beurteilung und Genehmigung vorgelegt
werden.
Dazu Bettina Gayk, die Landesbeauftragte für Datenschutz in
NRW: „Wir haben gemäß dem europäischen Datenschutzrecht
geprüft, ob die Kriterien, nach denen die Zertifikate an Auftrags-
verarbeiter erteilt werden sollen, tatsächlich die Einhaltung der
DSGVO bei der Verarbeitung personenbezogener Daten sicher-
stellen – und damit die Persönlichkeitsrechte wahren.“
Die Aufsichtsbehörde betont: Zertifikate sind ein bewährtes Ins-
trument, um den Marktteilnehmerinnen und Marktteilnehmern
eine Orientierung zu datenschutzkonformen Produkten zu ver-
schaffen.
„Zertifikate bedeuten für alle, deren Daten verarbeitet werden,
mehr Transparenz. Sie liefern einen raschen Überblick über das
Datenschutzniveau einschlägiger Produkte und Dienstleistun-
gen“, erklärt die NRW-Datenschutzbeauftragte.
Auch der EDSA hat Neuigkeiten zur Zertifizierung

Neben der Entwicklung in Deutschland hatte sich zuvor auch in
Luxemburg etwas getan. Der Europäische Datenschutzausschuss
(EDSA) hat eine Stellungnahme zur Genehmigung der von der
luxemburgischen Datenschutzbehörde (DPA) vorgelegten Euro-
privacy-Zertifizierungskriterien durch den Vorstand angenom-
men. Diese Stellungnahme markiert die Genehmigung des aller-
ersten europäischen Datenschutzsiegels durch den EDSA gemäß
DSGVO.
Der Europrivacy-Zertifizierungsmechanismus ist demnach ein
allgemeines System, das auf eine Vielzahl unterschiedlicher Ver-
arbeitungsvorgänge abzielt, die sowohl von Verantwortlichen
als auch von Auftragsverarbeitern aus verschiedenen Sektoren
durchgeführt werden. Das System enthält spezifische Kriterien,

die es skalierbar und auf bestimmte Verarbeitungsvorgänge oder
Tätigkeitsbereiche anwendbar machen. Die Genehmigung durch
den EDSA ist ein weiterer Schritt in Richtung einer besseren DS-
GVO-Konformität.
Dabei ist wichtig zu betonen: Die Zertifizierung nach dem Da-
tenschutzsiegel gilt in allen EU-Mitgliedstaaten. Es ermöglicht
verschiedenen Verantwortlichen und Auftragsverarbeitern in
verschiedenen Ländern, das gleiche Maß an Konformität für ähn-
liche Verarbeitungsvorgänge zu erreichen. Offensichtlich kommt
der Datenschutz nach DSGVO nun einen guten Schritt weiter.
Security-Neuerungen bei neuem Windows Server

2022
Mehr Sicherheit in Windows Ser-

ver 2022
12.10.2021AUTOR / REDAKTEUR: THOMAS JOOS / PETER SCHMITZ
Mit Windows Server 2022 bringt Microsoft neue Sicher-

heitsfunktionen für sein Server-Betriebssystem. Neben
Secured-Core, DNS-over-Http und TLS 1.3 gibt es weitere
Neuerungen, die Admins kennen und verstehen sollten.
© monsitj - stock.adobe.com
Beim Windows Server 2022 erhöht Microsoft mit DNS-over-Http, Secured Core und TLS 1.3 die Sys-
temsicherheit deutlich
Windows Server 2022 bringt einige Neuerungen im Bereich der

Security mit. Wir stellen in diesem Beitrag einige Möglichkeiten
vor und zeigen was Admins im Bereich der Sicherheit bei Win-
dows Server 2022 kennen sollten.
Natürlich hat Microsoft auch bei der unterstützten Hardware
einiges verändert. Windows Server 2022 kann bis zu 48 TB Ar-
beitsspeicher verwalten. Das gilt auch für Windows Server 2022
Essentials und natürlich auch für Datacenter. Insgesamt lassen
sich bis zu 64-CPUs und 2.048 logische Prozessoren mit Windows
Server 2022 nutzen, und zwar in allen Editionen, also Datacen-
ter, Standard und Essentials.+
Secured-Core in Windows Server 2022

Mit Windows Server 2022 führt Microsoft den Secured-Core-
Server ein. Dabei handelt es sich, einfach ausgedrückt, um den

Sicherheitsstandard eines Windows-Servers. Damit dieser ein-
gehalten werden kann, muss die Server-Hardware die Funktio-
nen unterstützen. Secured Core nutzt die Sicherheitsfunktionen
HVCI, Boot DMA Protection, System Guard, Secure Boot, VBS und
TPM 2.0. Diese Technologien müssen auf dem Server vorhanden
und auch aktiviert sein. Wenn Windows Server 2022 noch nicht
für die Unterstützung der Funktionen in Secured-Core konfigu-
riert ist, lassen sich die Funktionen zentral im Windows Admin
Center steuern.
Um Secured-Core für Hardware zu steuern ist die neue Erweite-
rung „Security“ für das Windows Admin Center notwendig. Ak-
tuelle Versionen dieser Erweiterung haben einen neuen Menü-
punkt mit der Bezeichnung „Secured Core“. Hier ist zu sehen,
ob die Hardware die einzelnen Funktionen unterstützt, und ob
diese auch in Windows Server 2022 aktiviert sind. Es ist auch
möglich die Funktionen an dieser Stelle zu aktivieren. Damit die
Erweiterung angezeigt wird, muss in den Einstellungen des Win-
dows Admin Centers bei „Erweiterungen“ und „Feeds“ der Feed
mit der Adresse https://aka.ms/wac-insiders-feed eingetragen
werden. Danach sollten die Erweiterungen aktualisiert und die
neue Version von „Security“ verwendet werden.
Unterstützt die Hardware des Servers einzelne Bereiche nicht,
oder sind diese im UEFI/BIOS nicht aktiviert, zeigt das WAC die
Meldung „Not supported“ an. Wenn die Hardware die jeweilige
Funktion für Secured-Core unterstützt, ist hier „Not configured“
zu sehen. Im WAC lassen sich diese Funktionen anschließend
mit „Enable“ aktivieren und konfigurieren, wenn das notwendig
ist. Ist ein Neustart notwendig, zeigt das WAC das ebenfalls an.
DNS-over-HTTPs - Mehr Sicherheit in DNS

Eine weitere Neuerung in Windows Server 2022 ist die Unterstüt-
zung von DNS-over-HTTPs (DoH). Damit Clients und Server die
Kommunikation des DNS-Datenverkehrs über HTTPS abwickeln
können, müssen Server und Client die Funktion unterstützen.
Windows Server 2022 ist dazu in der Lage. Die Einstellungen
dazu sind in der Einstellungs-App von Windows Server 2022 im
Bereich „Netzwerk und Internet“ bei „Ethernet“ zu finden. In
den Einstellungen des Netzwerkadapters sind die Optionen bei
„DNS-Einstellungen“ und „Bearbeiten“ zu finden. Die Einstel-
lungen lassen sich auch über Gruppenrichtlinien definieren. Die
Anpassungen dazu sind bei „Computerkonfiguration\Adminis-
trative Vorlagen\Netzwerk\DNS-Client“ mit „Namensauflösung
von DNS über HTTP (DoH) konfigurieren“ konfigurierbar. Wenn

Admins DoH in Windows Server 2022 über Gruppenrichtlinien
aktivieren, aber die verwendeten DNS-Server kein DoH unter-
stützen, funktioniert die Namensauflösung nicht mehr. Hier soll-
te also sorgfältig vorgegangen werden.
Mehr Verschlüsselung in Windows Server 2022: Sicheres
SMB
Natürlich liegen die Sicherheitsverbesserungen von Windows
Server 2022 auch im Detail. Die neue Version unterstützt die
SMB-Verschlüsselung mit AES-256-GCM und AES-256-CCM. Die
Verwendung von HTTPS und TLS 1.3 sind Standard in Windows
Server 2022. Bauen Clients eine Verbindung mit Windows Server
2022 auf, versucht der Server möglichst HTTPS und TLS 1.3 zu
verwenden.
Clusterknoten unterstützen in Windows Server 2022 auch für die
interne Kommunikation Verschlüsselung. Das gilt auch für den
Zugriff auf Cluster Shared Volumes (CSV) und bei der Kommuni-
kation in Storage Spaces Direct. Auch beim Einsatz von RDMA
und SMB Direct kommen jetzt umfassende Verschlüsselungs-
technologien zum Einsatz. Dabei setzt Windows Server 2022 aquf
AES-128 und AES-256.
Windows Server 2022 Datacenter: Azure Edition

Windows Server 2022 Datacenter: Azure Edition ist eine neue
Edition, die nur in Microsoft Azure und in Azure Stack HCI zum
Einsatz kommen kann. Die Edition unterstützt Hotpatching. Bei
dieser Technologie muss nicht der ganze Server nach der Aktua-
lisierung starten, sondern er kann einzelne Bereiche des Kernels
und des Betriebssystems gesondert starten.
Das macht die Installation von Updates einfacher und der Server
steht dauerhaft den Anwendern zur Verfügung. Das Neustarten
einzelner Bereiche des Betriebssystems führt nicht zu Ausfällen
von Workloads und Anwender bemerken davon kaum etwas.
SMB über QUIC ist ebenfalls eine Funktion, die nur in Windows
Server 2022 Datacenter: Azure Edition zur Verfügung steht. Da-
bei nutzen die Clients das QUIC-Protokoll für die Kommunikati-
on und nicht TCP. Zusammen mit TLS 1.3 können Anwendungen
wesentlich sicherer auf Daten zugreifen, vor allem wenn die Ser-
ver in Edge-Netzwerken positioniert sind.
Weitere Neuerungen: Microsoft Edge ersetzt Internet Ex-

plorer
Bezüglich der Sicherheit auf Windows-Servern spielt auch das
Ersetzen des betagten Internet Explorers auf Servern eine Rolle.
Windows Server 2022 kommt auch in der Core-Installation mit
dem modernen Edge Browser, der standardmäßig vorinstalliert
ist.
Windows Server 2022 bietet neue Group Managed Service Ac-
counts (gMSA) für Windows-Container, ohne den Host in die Do-
mäne aufnehmen zu müssen. Damit sollen sich Container-Host
wesentlich sicherer betreiben lassen.
Wer Windows Server 2022 in Microsoft Azure bereitstellt, kann
Images auswählen, auf denen Azure-Sicherheitsrichtlinien au-
tomatisch aktiviert sind. Das ermöglicht die Optimierung einer
Windows Server 2022-Installation für Microsoft Azure.
Best Practices der API-Sicherheit
API-Angriffe abwehren
05.10.2021Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz
Der zunehmende Einsatz von mobilen Endgeräten, IoT-
Netzwerken und Cloud-Systemen krempelte die Anwen-
dungsarchitekturen mit ihren Application Programming
Interfaces (APIs) komplett um. Massiv zugenommene au-
tomatisierte Angriffe auf schlecht geschützte APIs bedro-
hen seither vor allem personenbezogene Daten wie zum
Beispiel Zahlungskartendaten oder geschäftskritische
Dienste.
© Sergey Nivens - stock.adobe.com
APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu.
Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv.
Da es mit Application Programming Interfaces (APIs) sehr leicht

möglich ist, zwischen einzelnen Architekturen zu kommunizie-
ren, hat ihre Nutzung in der vergangenen Zeit explosionsartig
zugenommen. So macht die API-Kommunikation mittlerweile
mehr als 80 Prozent des gesamten Internetverkehrs aus. Gleich-
zeitig können sie auch die Ursache für eine Vielzahl von Sicher-
heitsproblemen sein.
Wobei die meisten Angriffe im Wesentlichen auf Authentifizie-
rungsprobleme, Bots, Sicherheitslücken oder Denial-of-Service
(DoS) zurückgehen. Rund ein Viertel der Unternehmen betrei-
ben immer noch kritische API-basierte Anwendungen ohne
jedwede Sicherheitsstrategien, die in der Lage wären, Hacker-
Angriffe effektiv zu verhindern.
Kein Wunder, dass Angriffe auf der API-Ebene immer beliebter
werden. Nicht zuletzt deshalb, weil sie anonymer ist und APIs
in der Regel nicht so gut geschützt sind wie vergleichsweise

Websites oder mobile Apps. Im schlimmsten Fall sind nicht nur
die Daten potenziell gefährdet, sondern auch die gesamte Inf-
rastruktur. Durch die Ausnutzung einer anfälligen API können
Hacker mit nur einer einzigen Attacke Zugriff auf ein gesamtes
Netzwerk erhalten.
Wenn es dann noch gelingt, Berechtigungen auszuweiten, kön-
nen weitere Arten von Angriffen erfolgen und sich Malware im
gesamten Netzwerk verbreiten. Bestimmte Attacken, oft mehr-
stufige Angriffe, können potenziell dazu führen, dass die sen-
sibelsten Daten eines Unternehmens kompromittiert werden,
seien es personenbezogene Daten (PII) oder geistiges Eigentum
(IP).
Häufige Angrifftypen auf Web-APIs

APIs sind vor allem für nachfolgende Angriffstypen anfällig.
Keine davon sind neu. Auf Grund fehlender Maßnahmen sind
sie leider häufig sehr effektiv.
Injection-Angriffe: Ein Injection-Angriff liegt vor, wenn es einem
Hacker gelingt, bösartige Codes oder Befehle in ein Programm
einzufügen. In der Regel dort, wo übliche Benutzereingaben
(Benutzername oder Passwort) erwartet werden. Schadensbe-
grenzung durch Validierung und Bereinigung aller Daten in
API-Anfragen sowie Begrenzung der Antwortdaten, um ein un-
beabsichtigtes Durchsickern sensibler Daten zu vermeiden.
Cross-Site-Scripting (XSS): Dabei handelt es sich um eine Art
von Injection-Angriff, der auftritt, wenn eine Sicherheitsan-
fälligkeit es einem Hacker ermöglicht, ein bösartiges Skript
(häufig JavaScript) in den Code einer Web-App oder Webseite
einzufügen. Schadensbegrenzung durch Validierungen der
Eingaben und Verwendung von Escape- und Filterfunktionen
für Zeichen.
Distributed-Denial-of-Service-Angriffe (DDoS): Angriffe dieser
Art führen dazu, dass ein Netzwerk, ein System oder eine Web-
site für Nutzer nicht mehr zur Verfügung steht. Dies geschieht,
indem beispielweise eine Website mit mehr Datenverkehr über-
flutet wird, als sie verarbeiten kann. Gerade API-Endpunkte
sind für Hacker äußerst attraktive DDoS-Ziele. Schadensbe-
grenzung durch Raten- und Nutzlastlimitierungen.
Man-in-the-Middle-Angriffe (MitM): Diese Attacken treten auf,
wenn ein Angreifer den Datenverkehr zwischen zwei kommu-
nizierenden Systemen abfängt. Bei APIs können MitM-Angriffe
zwischen Client (App) und API oder zwischen API und dem
Endpunkt auftreten. Schadensbegrenzung durch Verschlüsse-

lung des Datenverkehrs während der Übertragung.
Credential Stuffing: Hacker verwenden gestohlene Anmelde-
informationen an API-Authentifizierungsendpunkten, um sich
unbefugten Zugriff zu verschaffen. Schadensbegrenzung durch
Verwenden von Intelligence-Feeds, um Credential Stuffing zu
identifizieren und Ratenbegrenzungen zu implementieren und
Brute-Force-Angriffe zu kontrollieren.
Einhaltung bewährter Sicherheitspraktiken
Neben diesen Aktivitäten zur Risikominderung ist es wichtig,
dass Unternehmen einige weitere grundlegende Maßnahmen
ergreifen und bewährte Sicherheitskontrollen ausführen, wenn
sie beabsichtigen, ihre APIs öffentlich zu teilen. Dafür müssen
Unternehmen der IT-Security einen höheren Stellenwert ein-
räumen. Denn Unternehmen haben mit ungesicherten APIs viel
zu verlieren.
Zu diesem Zweck sollten APIs inventarisiert und verwaltet wer-
den. Unabhängig davon, ob eine Organisation über ein Dut-
zend oder Hunderte öffentlich verfügbarer APIs verfügt, muss
sie diese zuerst kennen, um sie zu sichern und zu verwalten.
Dafür sollten Perimeter-Scans durchgeführt werden. Die Ver-
waltung könnte dann gemeinsam mit DevOps-Teams erfolgen.
Es sollten immer starke Authentifizierungs- und Autorisie-
rungslösungen zum Einsatz kommen. Eine fehlerhafte Authen-
tifizierung tritt dann auf, wenn APIs keine Authentifizierung
erzwingen. Da APIs einen Einstiegspunkt in die Datenbanken
einer Unternehmung eröffnen, ist es besonders wichtig, dass
die Organisation den Zugriff auf sie streng kontrolliert.
Maßnahmen zur Riskiominderung

Unternehmen sollten sich stets an dem Prinzip der geringsten
Privilegien orientieren. Dieses grundlegende Sicherheitsprin-
zip besagt, dass Subjekten (Benutzer, Prozesse, Programme,
Systeme, Geräte) nur der minimal notwendige Zugriff gewährt
wird, um eine bestimmte Funktion auszuführen. Dies sollte
gleichermaßen auf APIs Anwendung finden.
Ein weiterer Punkt ist die Verschlüsselung des Datenverkehrs
mit TLS. Einige Unternehmen entscheiden sich dafür, API-
Nutzlastdaten, die als nicht sensibel gelten (zum Beispiel Wet-
terdienstdaten), nicht zu verschlüsseln. Wenn aber die APIs
routinemäßig sensible Daten austauschen, muss jedoch eine
TLS-Verschlüsselung in Erwägung gezogen werden.
Daten, die nicht geteilt werden sollen, müssen entfernt werden.

Da APIs im Wesentlichen ein Entwicklertool sind, enthalten sie
häufig Schlüssel, Passwörter und andere Informationen. Diese
dürfen einer Öffentlichkeit nicht zugänglich gemacht werden.
Manchmal wird dieser Schritt leichtfertig übersehen. Dafür
sollten Scan-Tools in DevSecOps-Prozesse integriert werden,
um eine versehentliche Offenlegung geheimer Informationen
zu verhindern.
Manche APIs geben viel zu viele Informationen preis. Zum Bei-
spiel die Menge an Fremddaten, die über die API zurückgege-
ben werden, oder Informationen, die zu viel über den API-End-
punkt aussagen. Daher sollten APIs nur so viele Informationen
zurückgeben, wie für die Erfüllung ihrer Funktion erforderlich
sind.
GlassWire, Windows 10 Firewall Control und

Firewall App Blocker nutzen
Windows-Firewall mit Freeware

im Griff behalten
16.11.2021AUTOR / REDAKTEUR: THOMAS JOOS / PETER SCHMITZ
Mit Freeware-Tools wie GlassWire, Windows 10 Firewall

Control und Firewall App Blocker können Anwender und
Administratoren Computer mit Windows 10/11 zusätzlich
besser absichern, als mit den Bordmitteln möglich ist. Wir
zeigen in diesem Beitrag Tools, die auch für Profis interes-
sant sind.
(© wutzkoh - stock.adobe.com)
Mit Tools wie GlassWire, Windows 10 Firewall Control und Firewall App Blocker können Admins ihre Win-
dows Firewall besser verwalten.
Tools wie GlassWire, Windows 10 Firewall Control und Firewall

App Blocker helfen dabei die Windows-Firewall besser im Griff
zu behalten. Zwar schützt Microsoft Defender-Firewall, so der
neue Name für die Windows-Firewall, Windows 10/11 relativ zu-
verlässig vor Angriffen, bietet aber wenig Möglichkeiten für das
Überwachen und Eingreifen in Echtzeit.
Die Tools in diesem Beitrag haben wir auch mit Windows 11 ge-
testet. Es ist möglich mit GlassWire, Windows 10 Firewall Control
und Firewall App Blocker den Zugriff von Anwendungen in das
Internet zu steuern. Auch Zugriffe aus dem Netzwerk auf den ei-
genen Rechner können dadurch gesteuert werden.
Überwachung von Firewall und Netzwerkverkehr mit

GlassWire
GlassWire steht kostenlos zur Verfügung. Das Tool hilft bei der
Überwachung des eigenen PCs und der Daten, die ein PC ins
Netzwerk sendet. Mit dem Tool ist schnell ersichtlich, welche
Netzwerkverbindungen ein PC aufbaut und welche Programme
von außerhalb mit dem PC kommunizieren. Auch eine histori-
sche Liste ist verfügbar.
Das Tool hilft nicht nur dabei Spyware und andere Malware zu
erkennen, sondern erkennt auch verdächtige Anwendungen und
Bandbreitenfresse. Solche Programme können Sie außerdem
auch gleich blockieren. Neben den Daten des eigenen PCs, er-
kennt GlassWire natürlich den Netzwerkverkehr von benachbar-
ten Computern.
Nach der Installation und dem Start von GlassWire sehen Sie
zunächst über den Menüpunkt „Graph“ den aktuellen Status
des Netzwerkverkehrs. Sie können hier die Ansicht auch heran-
zoomen, indem Sie einen Bereich markieren. Gibt es zu einem
Netzwerkverkehr Warnungen, blendet das GlassWire ein und Sie
können mit einem Mausklick erkennen, welche Anwendung das
Problem verursacht hat. Wenn eine Anwendung das erste Mal
Datenverkehr in das Internet sendet, erhalten Sie eine Informati-
on im Traybereich der Taskleiste eingeblendet.
Über den Menüpunkt „Usage“ sehen Sie welche Datenmengen
in das Internet verschickt wurden und von welchen Anwendun-
gen der Datenverkehr verursacht wurde. Über „Things“ erhal-
ten Anwender wiederum einen Überblick zu den benachbarten
Netzwerkgeräten. Hier versucht GlassWire auch den Namen des
Gerätes und auch den Hersteller anzuzeigen, wenn aus dem Da-
tenverkehr das ersichtlich ist. Mit „Firewall“ und „Alerts“ lassen
sich Einstellungen bezüglich der Firewallregeln durchführen.
Bei „Alerts“ ist zu sehen, ob Anwendungen verdächtig sind, bei
„Firewall“ ist es wiederum möglich Datenverkehr zu blockieren.
Die generellen Einstellungen von GlassWire sind über den Menü-
punkt „Einstellungen“ zu finden. Außerdem lässt sich hier die
Steuerung von GlassWire übernehmen, zum Beispiel das Pausie-
ren der Anzeige von Alarmen. Über „Language“ können Anwen-
der die Sprache auch auf „Deutsch“ umstellen.
Auch nach dem Beenden von GlassWire bleibt das Tool gestartet
und ist über den Traybereich verfügbar. Über das Kontextmenü
stehen die verschiedenen Optionen von GlassWire zur Verfü-
gung. Soll GlassWire komplett beendet werden, ist das ebenfalls
über das Trayicon möglich.
Windows 10 Firewall Control - Microsoft Defender-

Firewall konfigurieren
Windows 10 Firewall Control steht ebenfalls kostenlos zur Verfü-
gung und funktioniert auch mit der Firewall in Windows 11. Das
Tool bringt keine eigene Firewall für Windows mit, sondern hilft
nur bei der Steuerung der Windows 10/11-Firewall. Das Tool wur-
de mittlerweile auch von Malwarebytes übernommen. In diesem
Zug wurde die Software an das eigene Design von Malwarebytes
angepasst.
Der Name ist daher etwas irreführend. Nach der Installation ist
Windows 10 Firewall Control automatisch aktiv. Sobald ein Pro-
gramm auf dem PC eine Verbindung mit dem Internet aufbauen
will, erscheint ein Fenster von Windows 10 Firewall Control. Sie
können den Zugriff gestatten, auch temporär, oder den Zugriff
blockieren.
Nach dem Aufrufen des Steuerungsprogrammes von Windows
10 Firewall Control sind die einzelnen Zugriffe ebenfalls zu se-
hen. Über die Menüpunkt „Programs“, „Events“, „Connections“
sind die einzelnen Verbindungen zu sehen. Das Tool zeigt auch
Statistiken zur Nutzung an und unterstützt auch den IPv6-Da-
tenverkehr. Über „Settings“ sind die Einstellungen von Windows
10 Firewall Control zu finden.
Über das Kontextmenü des Trayicons lässt sich auch das Stan-
dardverhalten des Tools festlegen. Hier ist es zum Beispiel mög-
lich den kompletten Datenverkehr zu blockieren, oder generell zu
gestatten, wenn zu viele Meldungen erscheinen. Die Fenster zum
Blockieren und Freigeben bietet zahlreiche Einstellungsmöglich-
keiten, die sich vor allem an erfahrene Anwender richten.
Firewall App Blocker

Firewall App Blocker ist ein kleines Tool von Sordum, mit dem
sich die Microsoft-Defender-Firewall in Windows 10/11 ebenfalls
steuern lässt. Im Fokus des Tools steht das Blockieren und Frei-
schalten von Anwendungen, die einen Zugriff auf das Internet
brauchen. Nach der Installation von Firewall App Blocker steht
auch dieses Tool über den Traybereich der Taskleiste zur Verfü-
gung und ermöglicht die Steuerung der Windows-Firewall.
Der Vorteil von Firewall App Blocker besteht im Vergleich zu

Windows 10 Firewall Control oder GlassWire auch darin, dass
das Tool ohne Installation gestartet werden kann. Nach dem

Start des Tools lassen sich über das Plus-Zeichen zusätzliche
Programme hinzufügen. In der Oberfläche ist es danach möglich
einzelne Programme zu sperren oder zuzulassen. Über Firewall
App Blocker lassen sich auch die Einstellungen der Windows-
Firewall aufrufen und anpassen. Unten können Sie zwischen
den ein- und ausgehenden Regeln hin und her wechseln.
Privileged Access Management aus Windows

Server 2022 richtig nutzen
Admin auf Zeit in Active Direc-

tory
30.11.2021 VON THOMAS JOOS
Mit Privileged Access Management ist es möglich privi-

legierte Benutzer- und Administratorkonten in Active Di-
rectory besser zu schützen und Missbrauch von Rechten
zu verhindern. Wir zeigen nachfolgend die Möglichkeiten
und die Einrichtung.
©NicoElNino - stock.adobe.com
Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active
Directory vor Angriffen zu schützen.
Privileged Access Management ist eine Funktion in Windows

Server 2016/2019 und auch in Windows Server 2022 um Admi-
nistratorkonten in Active Directory vor Angriffen zu schützen.
Das optionale Feature schränkt die Rechte von Administratoren
so ein, dass diese nur zu bestimmten Zeiten festgelegte Aufga-
ben erledigen können. Privileged Access Management (PAM) ist
eine einfachere Variante von Just-In-Time (JIT) Administration
und auch für kleinere Umgebungen sinnvoll einsetzbar, um den
Missbrauch von Administratorrechten zu verhindern.
PAM hat die Aufgabe Benutzerkonten für eine bestimmte Zeit zu
einer Gruppe zuzuordnen. Dabei muss es sich nicht unbedingt
um eine Admin-Gruppe handeln. Auch andere Gruppen lassen
sich damit zeitbasiert steuern. Admin-Rechte können damit
zum Beispiel über temporäre Gruppenmitgliedschaften in den
AD-Gruppen gesteuert werden. Andere Rechte lassen sich dann
wiederum flexibel über die Mitgliedschaft in anderen Gruppen
festlegen.
PAM ist einfacher als JIT einzurichten

Die Einrichtung von PAM ist einfacher als die Konfiguration
von JIT, da keine verschiedenen AD-Strukturen und auch keine
zusätzlichen Server zum Einsatz kommen müssen. Damit PAM
genutzt werden kann, müssen Gesamtstruktur und Domäne im
Betriebsmodus „Windows Server 2016“ betrieben werden. Dieser
Modus ist auch in Windows Server 2019/2022 noch der aktuelle
Wert.
Der Wert kann in der PowerShell mit dem Cmdlet „(Get-ADForest).
ForestMode“ abgefragt werden. Die Informationen dazu, und
auch die Möglichkeit zum Heraufstufen ist auch im Verwaltungs-
programm „Active Directoy-Domänen und -Vertrauensstellun-
gen“ zu finden. Über das Kontextmenü des oberen Menüpunktes
lässt sich über „Gesamtstrukturfunktionsebene heraufstufen“
herausfinden, welche Funktionsebene die Gesamtstruktur hat.
Über das Kontextmenü der einzelnen Domänen steht „Domänen
funktionsebene heraufstufen“ zur Verfügung.
PAM in der PowerShell überprüfen und aktivieren

In der PowerShell lässt sich auch überprüfen, ob PAM in der Ge-
samtstruktur bereits aktiviert ist:
Get-ADOptionalFeature "Privileged Access Management Fea-

ture" | fl Name,EnabledScopes
Wenn bei „EnabledScopes“ kein Wert eingetragen ist, dann ist

die Funktion auch nicht aktiv. Um PAM für eine Gesamtstruktur
zu aktivieren, kann der folgende Befehl verwendet werden. Als
Beispieldomäne wird „joos.int“ verwendet:
Enable-ADOptionalFeature -Identity "Privileged Access Ma-

nagement Feature" -Scope ForestOrConfigurationSet -Target
"joos.int"
Ob die Funktion erfolgreich aktiviert ist, kann wiederum mit

dem oberen Befehl überprüft werden. Hier muss auch darauf ge-
achtet werden, dass sich PAM in der Umgebung nicht mehr deak-
tivieren lässt. Einmal aktiv, ist das PAM-Feature dauerhaft aktiv,
lässt sich aber anpassen.
Sicherheit der Admin-Gruppen in AD mit PAM steuern

Nur durch die Aktivierung von PAM wird die Sicherheit in AD
noch nicht erhöht. Es müssen erst Einstellungen vorgenommen,
Gruppen erstellt und Benutzer zugewiesen werden, die unter die-
sen Schutz fallen. Die Konfiguration dazu kann ebenfalls in der
PowerShell vorgenommen werden.
PAM kann zeitweise Benutzerkonten zu Gruppen zuordnen.
Neben der Absicherung von Freigaben über benutzerdefinierte
Gruppen, spielen natürlich vor allem die Admin-Gruppen von
Windows-Server in Netzwerken eine Rolle.
In Active Directory gibt es verschiedene Administratorengrup-
pen, die über unterschiedliche Berechtigungen verfügen. Diese
Gruppen befinden sich in der OU „Users“:
> Domänen-Admins: Enthalten die Administratoren, welche
die lokale Domäne verwalten und umfassende Rechte in die-
ser Domäne haben. Domänen-Admins haben in einer Domäne
umfassendere Rechte als Organisations-Admins, aber dafür
auch nur Rechte in ihrer eigenen Domäne.
> Organisations-Admins: Sind Administratoren, die Berechti-
gungen für alle Domänen in Active Directory besitzen. Organi-
sations-Admins gibt es nur in der Rootdomäne.
> Schema-Admins: Mitglieder dieser Gruppe dürfen Verände-
rungen am Schema von Active Directory vornehmen. Produk-
te, die das Schema von Active Directory erweitern, wie zum
Beispiel Exchange, können nur installiert werden, wenn der
installierende Administrator in dieser Gruppe Mitglied ist.
Darüber hinaus gibt es in Windows weitere Administrator-Grup-
pen, deren Mitglieder unterschiedliche Rechte haben:
> DHCP-Administratoren: Dürfen DHCP-Server in der Domäne
verwalten.
> DHCP-Benutzer: Enthält Benutzerkonten, die lesend auf die
Informationen des DHCP-Diensts zugreifen, aber keine Ände-
rungen vornehmen dürfen.
> DnsAdmins: Die Gruppe kann verwendet werden, um die Ad-
ministration von DNS-Servern zu delegieren.
> DnsUpdateProxy: In dieser Gruppe befinden sich Computer,
die als Proxy für die dynamische Aktualisierung von DNS-Ein-
trägen fungieren können.
Richtlinien-Ersteller-Besitzer: Diese Gruppe enthält Anwender,

die Gruppenrichtlinien für die Domäne erstellen.
PAM nach der Aktivierung konfigurieren

Mit PAM lassen sich Benutzerkoten über einen bestimmten Zeit-
raum Gruppenmitgliedschaften und damit Rechte zuweisen. Soll
zum Beispiel der Benutzer „Paula Joos“ mit dem Anmeldenamen
„joosp“ für 8 Stunden Admin-Rechte in der Domäne erhalten,
kann in der PowerShell die entsprechende Konfiguration dazu
vorgenommen werden.
Im ersten Schritt wird die Zeitspanne definiert, in welcher das
Benutzerkonto Mitglied der jeweiligen Gruppe ist. Dazu wird der
Wert am besten als Variablen gespeichert. Neben Minuten und
Stunden lassen sich Rechte auch für mehrere Tage definieren,
zum Beispiel mit:
$timespan = New-TimeSpan -Days 5
$timespan = New-TimeSpan -Hours 8
Neben Stunden und Tagen kann auch ein Enddatum definiert

werden. In diesem Fall kommt der Parameter „-End“ zum Ein-
satz. Der Befehl umfasst folgende Parameter:
New-TimeSpan -<Minutes|Hours|Days|End> <Count|End-Date>
Ein Enddatum lässt sich zum Beispiel mit dem folgenden Befehl
definieren:
New-TimeSpan -End 10.10.2022
Es lassen sich auch Zeitspannen definieren:

New-TimeSpan -Start 09.10.2022 -End 10.10.2022
Anschließend kann ein Benutzer eine gewisse Zeit einer Gruppe

zugeordnet werden. Im folgenden Beispiel verwenden wir den
Benutzer „Paula Joos“ mit dem Anmeldenamen „joosp“ der für 8
Stunden Mitglied der Gruppe „Domänen-Admins“ sein soll:
Get-ADGroup Domänen-Admins | Add-ADGroupMember -Members
joosp -MemberTimeToLive $timespan
Die Vorgänge lassen sich auch mit Variablen speichern, zum Bei-
spiel mit:
$timespan = New-TimeSpan -Hours 8
$pamuser = Get-ADUser -Identity joosp
$pamgroup = Get-ADGroup -Identity 'Domain Admins'
Add-ADGroupMember -Identity $pamgroup -Members $pamuser

-MemberTimeToLive $timespan
Die Konfiguration lässt sich anschließend auch in der PowerS-

hell überprüfen:
Get-ADGroup "<Name der Gruppe >" -Properties Member -Show-
MemberTimeToLive
In diesem Beispiel:
Get-ADGroup "Domänen-Admins" -Properties Member -ShowMem-
berTimeToLive
Das Benutzerkonto ist in allen Konsolen zur Verwaltung von AD

zu sehen, auch im Active Directory-Verwaltungscenter und Acti-
ve Directory-Benutzer und -Computer. Wie lange das Benutzer-
konto Mitglied der Gruppe ist zeigen die Konsolen nicht an. Hier
kommt aber die PowerShell zum Einsatz, zum Beispiel mit:
Get-ADGroup Domänen-Admins -Property member -ShowMem-
berTimeToLive
Best Practice für die SaaS-Absicherung
Sicherheitslücken der SaaS-

Systeme erkennen
02.11.2021 | AUTOR / REDAKTEUR: DIPL. BW. O. GEISSLER / P. SCHMITZ
Wer sich für einen Software-as-a-Service-Anbieter (SaaS)

entscheiden sollte, muss bedenken, dass er ein gewisses
Maß an Kontrolle seiner Sicherheit aufgibt. Daher ist eine
sorgfältige Überprüfung der SaaS-Sicherheit für eine An-
bieterbewertung von entscheidender Bedeutung.
(© Amgun - stock.adobe.com)
Unternehmen müssen das Risiko einkalkulieren, wenn sie wichtige Daten in einem Cloud-Dienst speichern.
Eine zunehmende Zahl von Unternehmen entdecken Software-

as-a-Service (SaaS) als eine praktische Möglichkeit für den Zu-
griff auf wichtige Geschäftsanwendungen. Aufgrund der zahlrei-
chen Vorteile ist diese Strategie aus ökonomischer Sicht durchaus
sinnvoll: Kosteneinsparungen, erhöhte Agilität und einfachere
Skalierbarkeit, um nur ein paar schlagende Argumente zu nen-
nen.
Allerdings birgt jedes Cloud-basierte Serviceangebot eine Reihe
von Sicherheitsrisiken. Die Frage lautet also: Wie kann ein SaaS-
Kunde sicher sein, ob die Vorkehrungen für IT-Security der SaaS-
Anbieter den eigenen Standards entsprechen? Nicht wenigen
Nutzern scheint es bewusst zu sein, dass SaaS-Anbieter für viele
der Malware- und Hacking-Angriffe genau so anfällig sind wie
jedes andere Unternehmen. In de rfolge können sich diese Bedro-
hungen auch auf die SaaS-Kunden auswirken.
Maßnahmen zur Datensicherung

Nur mal vorab: Es existiert natürlich keine verbindliche Secu-
rity-Checkliste für SaaS-User, die für alle gleichermaßen gültig
sind, da sich Unternehmen, Geschäftsprozesse, Arbeitsweisen
und Anforderungen unterscheiden. Dennoch gibt es Ansätze,
an denen sich der User orientieren kann, um SaaS-Produkte ab-
zusichern. Wer also den SaaS-Anbieterbewertungsprozess auf
nachfolgende Bereiche konzentriert, wird dieses Risiko deutlich
minimieren.
SaaS und interne IT-Security-Kontrollen abstimmen

Die Sicherheitsteams der SaaS-Kunden sollten sich auf die
Schnittstelle zwischen der Sicherheitsumgebung ihres Unter-
nehmens und der des SaaS-Anbieters fokussieren. Dabei ist es
angezeigt, dass genau in Erfahrung gebracht werden muss, wie
die Sicherheitsfunktionen des Anbieters mit den jeweiligen Un-
ternehmensrichtlinien zur IT-Security übereinstimmen. Jede Lü-
cke sollte möglichst frühzeitig im Prozess geschlossen werden.
Hierzu sind drei wesentliche Schlüsselbereiche zu beachten: die
Identitäts- und Zugriffsverwaltung (IAM), Verschlüsselung und
Schlüsselverwaltung sowie Sicherheitsüberwachung.
Zu den Problemen der Identitäts- und Zugriffsverwaltung (IAM)
könnte das Problem oder die Unmöglichkeit gehören, eine vor-
handene IAM-Plattform des Unternehmens in das Angebot des
SaaS-Anbieters zu integrieren. Dazu sind unter anderem wider-
sprüchliche Authentifizierungsrichtlinien, die aus Sicht der Be-
nutzerfreundlichkeit zu Verwirrung und technischen Problemen
führen können, zu zählen als auch eine fehlende Unterstützung
des SaaS-Anbieters für Single Sign-On (SSO).
Im Hinblick auf das Thema Verschlüsselung können Probleme
entstehen, wenn der SaaS-Anbieter auf folgende Punkte beharrt:
Kontrolle über die Verschlüsselung der Daten sowie Gewährung
der Zugriffe auf die Informationen des Kunden, um sie dann au-
ßerhalb des Sicherheitsbereichs des Unternehmens zu speichern.
Was die Sicherheitsüberwachung angeht, empfiehlt es sich, dass
Unternehmen Zugriffe auf Sicherheitsereignisprotokolldaten aus
der SaaS-Umgebung erhalten. Wichtig ist dabei, dass die Proto-
kolle nicht manipuliert werden. Daher sollte der SaaS-User über
eine angemessene digitale Verbindung mit dem SaaS-Anbieter
verfügen, um Protokolldaten in Echtzeit in die IT-Security-Abtei-
lung einspeisen zu können. Dies fördert eine ganzheitliche Per-
spektive und ermöglicht es dem Kunden, seine lokalen Sicher-

heitsfunktionen auch in die Cloud auszudehnen.
SaaS-Patching-Richtlinien überprüfen
Sicherheits-Patchings erfolgen nicht selten mit einer gewissen
zeitlichen Verzögerung. SaaS-User sollten daher die vertragli-
chen SaaS-Patching-Richtlinien genau überprüfen.
Eigentumsrechte, Speicherort und Verlust der Daten klä-
ren
Damit keine personenbezogenen Daten weitergegeben werden,
müssen SaaS-Kunden die Datenschutzrichtlinien bzw. Servi-
cebedingungen der SaaS-Anbieter genau prüfen. Des Weiteren
sollten Kunden es als einen Weckruf verstehen, wenn der Zusatz
fehlt, dass Geschäftsdaten oder pseudonymisierte aggregierte
Daten über die SaaS-Nutzung für Marktforschung oder ähnliche
Zwecke „nicht anderweitig genutzt“ werden. Ein weiterer Grund
zur Besorgnis wäre, wenn die Datenschutzrichtlinie keine Erklä-
rung zur Einhaltung bestimmter Vorschriften wie die der Daten-
schutz-Grundverordnung (DSGVO) enthält.
Im Prinzip geht es doch darum, zu verstehen, welche Art von Da-
ten durch das SaaS-Angebot gespeichert oder transportiert wer-
den, wer Zugriff auf die Daten hat, wem die Daten gehören, wie
die Daten geschützt werden und wer im Falle einer Sicherheits-
verletzung haftet. Das ist absolut nicht selbstverständlich. Man-
che Unternehmen wissen nicht einmal, welche sensiblen Daten
(versehentlich) in SaaS-Lösungen gespeichert werden oder wer
darauf Zugriff hat. Ferner ist es nicht selten den Unternehmen
bekannt, dass bei einer Einrichtung der SaaS-Lösung eine soge-
nannte „Standard-Click-Through-Vereinbarung“ abgeschlossen
wurde und dieser Anbieter oft Eigentumsrechte an den Daten
erhält.
Aus Datenschutzsicht ist manchen Unternehmen oftmals auch
nicht klar, dass ein SaaS-Vertrag zwar Bestimmungen zur Not-
fallwiederherstellung enthalten kann, diese Regeln jedoch einen
Datenverlust oder auch Korruption nicht zwingend abdecken.
IT-Security in den SaaS-Beschaffungsprozess einbeziehen
Zur Vermeidung von Fehlern und Missverständnissen sollte ein
Mitarbeiter der IT-Security-Abteilung während des Beschaffungs-
prozesses immer mit dem jeweiligen Einkaufsteam kooperieren.
Unterdienste der SaaS-Anbieter prüfen

Bei der Auswertung der SaaS-Sicherheitsberichte ist es entschei-
dend zu überprüfen, ob der Berichtsumfang auch alle Standorte
und Unterdienste umfasst und damit Teil des SaaS-Vertrags ist.
Kostenlose SaaS-Testversionen gründlich testen
Die IT- und Security-Abteilungen sollten während einer kosten-
losen SaaS-Testversion die Möglichkeit nutzen, um zu bewerten,
ob die wichtigsten Sicherheitsprozesse in die Lösung des SaaS-
Anbieters zu integrieren sind. Dies wird dazu beitragen, den er-
forderlichen Aufwand und die Kostenprognosen zu bestimmen,
um nach der Implementierung der Lösung einen angemessenen
IT-Security-Status zu gewährleisten
Ein Minimum an IT-Security
Security-Best-Practices für Digi-

talisierungsprojekte
04.02.2022 / VON DIPL. BETRIEBSWIRT OTTO GEISSLER
Die aktuelle Situation der Bedrohung durch Hacker-An-

griffe gilt als „angespannt bis kritisch“. In manchen Berei-
chen herrsche schon „Alarmstufe Rot“. Jeder Netzwerk-Ad-
ministrator kann seine Sicherheitslage verbessern, indem
er sich auf grundlegende Bereiche konzentriert. Welche
Security-Maßnahmen müssen jetzt wenigstens ergriffen
werden?
(©sdecoret - stock.adobe.com)
Der Branchenverband Bitkom e. V. hat das Borderstep Institut mit der Untersuchung des deutschen Rechen-
zentrumsmarkts beauftragt. Die Marktstudie weist Wachstum, Standortfragen und Umweltansprüche aus.
Multi-Faktor-Authentifizierung (MFA)
Eine MFA ist im Grunde ein unverzichtbarer Schutz, bei dem je-
des Unternehmen entscheiden muss, wie und wo er eingesetzt
werden soll. Traditionell erfolgt eine Authentifizierung mit einem
Benutzernamen und Passwort. Das ist leider heute keine sehr si-
chere Methode mehr. Benutzernamen sind oft leicht zu knacken.
Manchmal ist es nur die jeweilige E-Mail-Adresse des Nutzers. Da
sich die User Passwörter nur schwer merken können, neigen sie
dazu, einfache Passwörter auszuwählen oder dasselbe Passwort
für viele verschiedene Zugänge zu verwenden.
Aus diesem Grund bieten heute fast alle Online-Dienste wie bei-
spielsweise Banken, soziale Medien, Online-Händler bis hin zu
Microsoft 365 eine Möglichkeit, die User-Konten mit einer Mul-
tifaktor-Authentifizierung sicherer zu machen. Alle MFA funk-

tionieren nach dem gleichen Prinzip: Wenn der User sich zum
ersten Mal auf einem neuen Gerät oder einer neuen Anwendung
(wie bzw. auf einem Webbrowser) anmeldet, benötigt er mehr als
nur den Benutzernamen und das Passwort. Er braucht mindes-
tens einen zweiten Faktor, um zu beweisen, wer er ist.
Patching und Priorisierung von Sicherheitslücken

Wiederholte Sicherheitslücken in Softwarepakten haben gezeigt,
wie wichtig die Priorisierung von Updates in einem Netzwerk ist.
Allzu oft werden Patches für Workstations vor Patches für das
Netzwerk installiert, weil Probleme auf Workstations schneller
behoben werden können als auf Servern. Daher sollte bei der
Patch-Auswahl die Möglichkeiten zur Ausnutzung von Schwach-
stellen geprüft werden und die Priorität auf alle Techniken gelegt
werden, die für die Öffentlichkeit zugänglich sind.
Der CVSS-Wert (Common Vulnerability Scoring System) hilft da-
bei, den Schweregrad der Schwachstellen zu verstehen. Wobei
der Exploitability Subscore auf den Eigenschaften der verwund-
baren Komponente basiert. Je höher diese Scores sind, desto wei-
ter entfernt könnte ein Angreifer sein. Der Angriffsvektor (AV) ist
höher, wenn der Angreifer ferngesteuert sein kann, und nied-
riger, wenn der Angreifer physisch anwesend sein muss. Diese
Parameter müssen für die Installation von Sicherheitsupdates
überprüft werden. Dafür muss der User entsprechend dem Risi-
ko für das Netzwerk Prioritäten setzen.
Für diesen Zweck ist sicher zu stellen, dass die Updates nicht nur
für die Betriebssysteme im Netzwerk überprüfen werden, son-
dern auch für alle Edge-Geräte bzw. Firewalls oder VPN-Geräte,
die sich dazu korrumpieren lassen, um in das Netzwerk einzu-
dringen. Fernen müssen alle öffentlich zugänglichen Anwen-
dungen, die dem Unternehmen einem höheren Risiko ausgesetzt
sind, durchgesehen werden. Nicht zuletzt empfiehlt sich eine
Inspektion des Netzwerks nach potenziellen Software-Schwach-
stellen und Risiken, die auf Webanwendungen basieren.
Protokollerfassung und Überwachung

Der User sollte Ereignisprotokolle von wichtigen Servern und
Workstations sammeln, von denen er glaubt, dass sie in gezielte
Angriffe einbezogen werden könnten. Unabhängig davon, ob er
Splunk oder die Sentinel-Produkte von Microsoft verwendet, ist
es ratsam, das SYSMON-Modul von Sysinternals zu installieren.
Es ist ein wichtiges Tool zur Überwachung von Protokollen auf
Angriffe.
Firewall-Regeln auf dem neuesten Stand halten

Selbst im Zeitalter der Cloud darf der User seine Firewall nicht
außer Acht lassen. Sie kann oft einen großen Teil der Arbeit über-
nehmen, indem sie Datenverkehr blockiert, der das Netzwerk
nicht verlassen sollte. Idealerweise sollten nur für bekannten
und erlaubten Datenverkehr Regeln des Datenexports aufgestellt
werden. Damit der Anwender versteht, wohin der Datenverkehr
tatsächlich geht und wie die Firewall-Regeln zu definieren sind,
muss die Firewall für viele der Anwendungen im Audit-Modus
betrieben werden.
Microsoft Office-Makros und Skripting-Kontrollen

Phishing ist eine der am weitesten verbreiteten Arten von Hacker-
Angriffen. Damit Phishing erfolgreich sein kann, gibt es einen
wichtigen Einstiegspunkt: Office-Makros. Der User kann sich vor
diesem Einfallstor schützen, indem er die Verwendung von Of-
fice-Makros einschränkt oder blockiert. Denn die meisten Nutzer
kommen für den täglichen Gebrauch auch mit einer abgespeck-
ten Version von Word oder Excel recht gut zurecht.
Als Nächstes sollten die Optionen zur Kontrolle von PowerShell
und anderen Skripttechniken geprüft werden. Dafür sind Richt-
linien einzurichten, die es im Unternehmen nur signierten Pow-
erShell-Skripten erlauben, ausgeführt zu werden. Außerdem ist
es angezeigt, sie mindestens bis auf PowerShell 5.1 zu aktualisie-
ren, um die Sicherheit und Protokollierung zu verbessern, und
zu prüfen, ob PowerShell Version 2 deaktiviert werden kann. Al-
ternative: Ein Upgrade auf PowerShell 7 oder 7.1. Darüber hinaus
empfiehlt es sich die Remoteverwaltung über Windows PowerS-
hell Remoting zu implementieren.
Da Unternehmen von heute Daten in jeder Größenordnung und
an jedem Standort auf Abruf benötigen, sollten sie von jeder
Edge-Umgebung bis hin zu mehreren Clouds auf eine sichere Art
und Weise zusammengeführt, verarbeitet und analysiert wer-
den können. Daher muss der User prüfen, ob er als eine über
die Minimum-IT-Security hinausgehende Maßnahme, in einen
eingeschränkten Sprachmodus per Applocker oder Device Guard
investieren möchte.
Die Protokollierung ist eine weitere wichtige Voraussetzung,
nicht nur um zu verstehen, wie sich ein Hacker Zugang zu einem
Netzwerk verschafft hat, sondern auch um forensische Informa-
tionen zu erhalten. Dazu muss der User die Protokollierung auf

Skript-Block-Ebene aktivieren und die Weiterleitung der Proto-
kolle an ein zentrales Protokoll-Repository einrichten. Dazu wird
eine moderne Plattform benötigt.
Des Weiteren sollte der User prüfen, ob im Netzwerk noch älte-
re Server und Betriebssysteme laufen. Wenn ja, entfernen. Eine
Windows-10-Version muss das Mindestmaß für ein Betriebssys-
tem sein, zusammen mit der entsprechenden Server-Plattform.
Rechte sollten nur an diejenigen User vergeben werden, die sie
auch benötigen. Tipp: Privilegierten Zugriff durch die Verwen-
dung von Local Administrator Password Solution (LAPS) etc. zur
Minimierung der Privilegien sichern, einschließlich Just in Time
(JIT) und Just Enough Administration (JEA).
Simulation von Hacker-Angriffen
Pentests ja, aber bitte richtig!

18.10.2022 VON DIPL. BETRIEBSWIRT OTTO GEISSLER
Penetrationstests sind wichtig, aber tun sie das auch, was

sie tun sollen? Ohne eine gründliche Planung und profes-
sionelle Realisierung führen minderwertige Pentests zu
unentdeckten Schwachstellen und setzen Unternehmen
unnötigen Angriffsmöglichkeiten aus.
(Bild: Urupong - stock.adobe.com)
Unabhängige Pentest-Partner imitieren böswillige Hacker und suchen unvoreingenommen nach

Schwachstellen.
Eine der effektivsten Methoden, um Schwachstellen in einem

Sicherheitskonzept aufzudecken, ist die Durchführung von ge-
planten Hacker-Angriffen auf das System durch Dritte. Bei Penet-
rationstests, auch Pentests genannt, geht es also darum, Lücken
in der IT-Security aufzudecken, damit sie geschlossen werden
können, bevor jemand mit böswilligen Absichten daraus Nutzen
ziehen kann. Es gibt verschiedene Arten von Pentests, die auf
unterschiedliche Aspekte eines Unternehmens abzielen.
Von der Netzwerk-Infrastruktur über Anwendungen und Geräte
bis hin zu den Mitarbeitern gibt es viele potenzielle Angriffsmög-
lichkeiten für einen Hacker, der es auf ein Unternehmen abge-
sehen hat. Der Vorteil eines erfahrenen unabhängigen Pentest-
Partners liegt darin, dass er unvoreingenommen an das Problem
herangeht und versucht, einen böswilligen Hacker nachzuah-
men, indem er nach Schwachstellen sucht und verschiedene
Techniken und Tools ausprobiert, um in ein Netzwerk einzudrin-
gen.
In der Folge sind häufige Fehler und hilfreiche Tipps aufgeführt,

die den Anwender dabei unterstützen können, Bedrohungen zu
vermeiden:
Unzureichendes Risk-Management
Eines der ersten Dinge, die der Anwender tun kann, um die Si-
cherheitslage zu verbessern, ist, die möglichen Risiken zu be-
werten. Dadurch weiß das Unternehmen, wo die größten Risiken
schlummern. Diese Informationen müssen als Grundlage für die
Ziele der Pentests dienen. Das heißt, eine solche Priorisierung
von Risiken hilft dem Anwender dabei, die Sicherheitsanstren-
gungen auf die Bereiche zu konzentrieren, in denen sie den größ-
ten Nutzen bringen können.
Tipp: Die Pentests sollten stets an das schlimmstmögliche Sze-
nario für das Unternehmen ausgerichtet werden. Es ist sicher
einfach, kleinere potenzielle Probleme aufzudecken, aber eine
große Ablenkung bedeuten, wenn es um die Bedrohungen geht,
die essenziell gefährlich sind.
Falsche Tools im Einsatz

Es gibt eine Vielzahl von Pentest-Tools, aber es erfordert erheb-
liches Fachwissen, um zu wissen, welche Tools wo eingesetzt
und wie sie richtig konfiguriert werden müssen. Wer glaubt, er
könnte Pentest-Tools von der Stange kaufen und sie von der in-
ternen IT-Abteilung ausführen lassen, wird womöglich ein böses
Erwachen erleben. Ohne erfahrene Experten im Haus, ist gut be-
raten, einen Dritten mit echtem Fachwissen zu engagieren. Das
BSI stellt dafür zum Beispiel eine Liste zertifizierter IT-Sicher-
heitsdienstleister in den Geltungsbereichen IS-Revision und IS-
Penetrationstests zur Verfügung.
Pentester können zwar teuer sein, aber sie werden wahrschein-
lich nur für einen kurzen Zeitraum benötigt, so dass sich Auto-
matisierungstools lohnen. Eine automatisierte Pentesting-Platt-
form kann eine gute Möglichkeit sein, Schutzmaßnahmen zu
validieren und einen gewissen kontinuierlichen Schutz zu erhal-
ten. Diese sollten jedoch sorgfältig ausgewählt werden. Pentest-
Partner bieten dazu Beratungen an.
Unklare Evaluierungen
Die externen Pentester müssen im Anschluss verständliche Be-
richte erstellen, damit die entdeckten Schwachstellen und ihre
potenziellen Auswirkungen auf das Unternehmen richtig einge-

ordnet werden können. Dafür sind leicht verdauliche Informati-
onen notwendig, die gut erklären, worum es sich bei dem einen
oder anderen Sicherheitsproblem handelt, welche Folgen es ha-
ben kann, wenn es nicht behoben wird, und wie genau die Be-
hebung erfolgen soll.
Ohne klare Ziele kann der Bericht auch nicht zielführend dem
Unternehmen eine klare Richtung weisen, da es dann schwierig
sein könnte, die wirklich kritischen Angriffsvektoren zu erken-
nen, die strategische Werte bedrohen. Daher sind Drittanbieter
oder automatisierte Tools zu vernachlässigen, die einfach nur
Tausende von Schwachstellen aufzeigen, ohne eine Richtung
vorzugeben. Gute Berichte filtern das Rauschen und die Fehla-
larme heraus und heben hervor, was für das Unternehmen wich-
tig ist.
Vorsicht vor Checklisten!

Wenn Drittanbieter beim Pentesting fast ausschließlich nur mit
Checklisten hantieren, dann läuft der Anwender Gefahr, etwas
zu übersehen. Die Einhaltung von Vorschriften ist zwar wich-
tig und richtig, aber nicht der einzige Grund, warum Pentests
durchgeführt werden sollen. Wenn der Fokus auf dem Abha-
ken von Punkten liegt, erhält der Anwender das falsche Gefühl
von Sicherheit. Nicht zuletzt, weil Cyberkriminelle nicht nach
Checklisten arbeiten.
Unterbrechung des Geschäftsbetriebs

Pentests müssen richtig geplant werden, um die möglichen
Auswirkungen auf wichtige Geschäftssysteme berücksichtigt
zu können. Erfolgreiche Hacker nutzen oft Schwachstellen aus,
ohne den Betrieb zu unterbrechen, und das sollten auch die be-
auftragten Pentester tun. Für Drittanbieter muss also vorab klar
sein, dass die Tests in einer Produktionsumgebung stattfinden.
In einem Blackbox-Szenario, in dem der Pentester keinen Über-
blick über die Infrastruktur hat, ist das Risiko einer Unterbre-
chung natürlich ungleich größer.
Veraltete Technik vermeiden

Jeder Pentest-Plan, der sich nicht weiterentwickelt, ist im Grunde
wertlos. Ständig werden neue Techniken, neue Tools und neue
Schwachstellen entwickelt. Ein guter Pentesting-Partner hat die
neuesten Hacking-Techniken in seiner Strategie integriert.
Unregelmäßige Pentests
Jährliche Pentests mögen zwar üblich sein, geben jedoch wenig
Gewissheit. Das heißt, unregelmäßige Tests leisten nur eine Mo-
mentaufnahme des Schutzes zum Zeitpunkt der Durchführung
des Tests. Besser ist es, die Verteidigungsmaßnahmen kontinu-
ierlich zu überprüfen und erneut zu testen, um zu gewährleis-
ten, dass die Schwachstellen ordnungsgemäß behoben wurden.
Dies ist ein weiteres Argument für automatisierte und geeignete
Pentest-Plattformen.
Versäumnisse des Managements
Es ist sicherzustellen, dass jemand für die Reaktion auf die Pen-
test-Ergebnisse und der automatisierten Tools verantwortlich
ist. Diese Personalie muss den gefundenen Problemen Priorität
einräumen und sie zeitnah beheben. Denn kostspielige Daten-
diebstähle sind oft das Ergebnis bekannter Schwachstellen, die
Unternehmen nicht behoben haben. Tests, die sicherstellen, dass
erkannte Schwachstellen ordnungsgemäß beseitigt wurden, soll-
ten Teil der laufenden Pentests sein. Unzureichend geplante und
durchgeführte Pentests bergen dagegen mitunter hohe Gefahren
für Unternehmen.
Netzwerksicherheit
Was macht diese Netzwerk-

Ports so riskant?
29.11.2022 VON DIPL. BETRIEBSWIRT OTTO GEISSLER
Netzwerk-Ports sind potenziell angriffsgefährdet. Kein

Port ist automatisch gesichert. Während einige Netzwerk-
Ports ideale Einstiegspunkte für Angreifer bieten, eignen
sich andere wiederum gut als Fluchtwege. Wie können
sich Anwender absichern?
(Bild: xiaoliangge - stock.adobe.com)
Die Sicherheit aller Netzwerk-Ports basiert auf einem umfassenden und durchdachten Verteidi-
gungskonzept.
Datenpakete werden über nummerierte Netzwerk-Ports, die be-

stimmten IP-Adressen und Endpunkten zugeordnet sind, un-
ter Verwendung der Transport-Schichtprotokolle TCP oder UDP
übertragen. So viel ist sicher: Im Prinzip können alle Ports ein
Ziel von Hacker-Angriffen werden. Denn jeder Port und jeder zu-
grundeliegende Service birgt Risiken.
Das Risiko ergibt sich im Wesentlichen aus der Version und Kon-
figuration des Services sowie der Sicherheit der Passwörter für
den Service. Weitere Risikofaktoren könnten sein: Ob es sich um
einen Port handelt, den Hacker speziell ausgewählt haben, um
ihre Angriffe und Malware durchzuschleusen, und ob der Port
vom Anwender offen gelassen wurde.
Gefährliche Ports der FTP-Server

Über den TCP-Port 21 werden FTP-Server mit dem Web verbun-
den. FTP-Server weisen zahlreiche Schwachstellen auf. Dazu

zählen beispielsweise anonyme Authentifizierungsfunktionen,
Directory Traversals und Cross-Site Scripting, was den Port 21 zu
einem idealen Ziel für Hacker macht. So sind zum Beispiel auch
ältere Services wie Telnet am TCP-Port 23 grundsätzlich unsicher.
Obwohl die Bandbreite mit jeweils nur wenigen Bytes sehr ge-
ring ist, sendet Telnet Daten völlig unmaskiert im Klartext. Ha-
cker können quasi mithören, sich nach Anmeldeinformationen
umsehen, Befehle über Man-in-the-Middle-Attacken einschleu-
sen und schließlich Remote Code Executions (RCE) ausführen.
Während einige Netzwerk-Ports gute Einstiegspunkte für Angrei-
fer sind, eignen sich andere wiederum gut als Exit-Strategien.
Der TCP/UDP-Port 53 für DNS bietet dafür beste Ansatzpunkte.
Wenn Hacker innerhalb des Netzwerks erfolgreich waren, brau-
chen sie nur noch eine leicht erhältliche Software zu verwenden,
die Daten in DNS-Verkehr umwandelt, um sie nach draußen zu
schaffen. Denn DNS wird selten überwacht und noch seltener ge-
filtert.
Hacker fokussieren einzelne Ports

Je häufiger ein Port verwendet wird, desto leichter lassen sich
Angriffe mit allen anderen Paketen durchschleusen. Der TCP-
Port 80 für HTTP unterstützt den Webverkehr, der von einem
Webbrowser empfangen wird. Zu den Hacker-Attacken auf Web-
Clients, die über Port 80 laufen, gehören SQL-Injections, Cross-
Site Request Forgeries, Cross-Site Scripting und Buffer Overruns.
Hacker richten ihre Services gerne auf einzelnen Ports ein. Sie
bevorzugen dafür unter anderem den TCP-Port 1080, den die
Industrie für sockelsichere SOCKS-Proxys vorgesehen hat, zur
Unterstützung ihrer bösartigen Aktivitäten. Trojaner und Wür-
mer wie Mydoom und Bugbear liefen beispielsweise über den
Port 1080 für die erfolgten Angriffe. Wenn ein Administrator den
SOCKS-Proxy nicht eingerichtet hat, könnte seine Existenz auf
bösartige Aktivitäten verweisen
Der Webverkehr nutzt nicht nur Port 80, sondern auch die TCP-
Ports 8080, 8088 und 8888. Server, die an diese Ports ange-
schlossen sind, sind größtenteils ältere Systeme, die nicht verwal-
tet werden bzw. ungeschützt sind, wodurch sie mit der Zeit immer
anfälliger werden. Bei solchen Servern kann es sich auch um HT-
TP-Proxys handeln, die, wenn Admins sie nicht installiert haben,
ein Sicherheitsproblem innerhalb des Systems sein könnten.
Vorsicht bei Ports mit großen Reichweiten

Mit schwachen Passwörtern werden SSH und Port 22 zu sehr ein-
fachen Zielen. Der Port 22 bzw. Secure Shell-Port, der den Zugriff
auf Remote Shells auf physischer Server-Hardware ermöglicht,
gilt als anfällig, wenn die Anmeldedaten Standard sind oder
leicht zu erratende Benutzernamen und Passwörter enthalten.
Kurze Passwörter mit weniger als acht Zeichen, die eine bekann-
te Phrase zusammen mit einer Zahlenfolge verwenden, sind für
Angreifer viel zu leicht zu knacken.
Nach wie vor greifen Hacker Internet Relay Chats (IRC) an, die
über die Ports 6660 bis 6669 laufen. Dazu gibt es viele IRC-
Schwachstellen wie beispielsweise Unreal IRCD, die eine triviale
Remote-Ausführung durch Angreifer ermöglichen.
Einige Ports und Protokolle können Hackern zudem eine gro-
ße Reichweite bieten. So ist beispielsweise der UDP-Port 161 für
Angreifer sehr interessant, da das SNMP-Protokoll, das für die
Verwaltung von Netzwerkcomputern und die Abfrage von Infor-
mationen nützlich ist, Daten über diesen Port sendet. Mit SNMP
können sie den Server nach Benutzernamen, Netzwerkfreigaben
und anderen Informationen abfragen. SNMP wird oft mit Stan-
dard-Strings ausgeliefert, die wie Passwörter funktionieren.
Wichtige Maßnahmen der Absicherung

Anwender können SSH schützen, indem sie die Authentifizie-
rung mit dem öffentlichen SSH-Schlüssel verwenden, die An-
meldung als Root deaktivieren und SSH auf eine höhere Port-
nummer verschieben, damit Angreifer es nicht so leicht finden
können. Wenn ein Anwender beispielsweise eine Verbindung zu
SSH über eine hohe Portnummer wie 25.000 herstellt, ist es für
den Hacker schwieriger, die Angriffsfläche für den SSH-Service
zu finden.
Wenn das Unternehmen IRC nutzt, sollte es hinter der Firewall
gehalten werden. Es darf kein Datenverkehr zum IRC-Service zu-
gelassen werden, der von außerhalb des Netzwerks kommt. Die
User müssen sich per VPN in das Netzwerk einwählen, um IRC
zu nutzen.
Sich wiederholende Portnummern und vor allem lange Num-
mernfolgen stellen selten eine legitime Verwendung von Ports
dar. Wenn der Anwender entdeckt, dass diese Ports verwendet
werden, sollte er sicherstellen, dass sie echt sind. DNS muss über-
wacht und gefiltert werden, um eine Exfiltration zu vermeiden.

Zudem sollte Telnet eingestellt und Port 23 geschlossen werden.
Ganzheitliches Verteidigungskonzept etablieren

Die Sicherheit aller Netzwerk-Ports sollte auf einem umfassenden
Verteidigungskonzept aufbauen. Dafür sind alle nicht genutzten
Ports zu schließen, hostbasierte Firewalls auf jedem Host sowie
eine moderne netzwerkbasierte Firewall zu installieren. Des Wei-
teren muss der Port-Verkehr regelmäßig überwacht und gefiltert
werden.
Für den Anwender empfiehlt es sich, im Rahmen von Pen-Tests
regelmäßige Port-Scans durchzuführen, um sicherzustellen,
dass es auf keinem Port ungeprüfte Sicherheitslücken gibt. Dabei
ist besonders auf SOCKS-Proxys oder andere Services zu achten,
die nicht von Admins eingerichtet wurden. Grundregel: Jedes
Gerät, jede Software und jeder Service, der mit dem Port verbun-
den ist, ist zu patchen!
Es ist stets die neueste Version jedes unterstützten Services zu
verwenden. Mithilfe von Zugriffs-Kontrolllisten wird bestimmt,
wer eine Verbindung zu Ports und Diensten herstellen darf. Ports
und Services sind regelmäßig zu testen. Gerade bei Services wie
HTTP und HTTPS kann es schnell passieren, dass sie falsch kon-
figuriert und damit versehentlich eine Schwachstelle bieten.
TECHNOLOGY
-UPDATE FÜR
IT-MANAGER
Regelmäßig
kostenlos lesen?
Jetzt eintragen!
security-insider.de/cio
IMPRESSUM
Vogel IT-Medien GmbH
Max-Josef-Metzger-Straße 21
86157 Augsburg
Tel.: +49 (0) 821-2177-0
Fax: +49 (0) 821-2177-150
Email: zentrale@vogel-it.de
Internet: www.vogel-it.de
Handelsregister Augsburg
HRB 1 19 43
Umsatzsteueridentifikationsnummer:
DE 127502716
Geschäftsführer: Werner Nieberle
Inhaltlich Verantwortliche gemäß § 55 Absatz 2

RStV:
Nico Litzel, Florian Karlstetter, Ulrike Ostler, Stephan
Augsten, Andreas Donner, Peter Schmitz,
Dr. Jürgen Ehneß (Anschrift siehe Verlag)
Vogel IT-Medien
Die Vogel IT-Medien GmbH, Augsburg, ist eine 100pro-
zentige Tochtergesellschaft der Vogel Communications
Group, Würzburg. Seit 1991 gibt der Verlag Fachme-
dien für Entscheider heraus, die mit der Produktion,
der Beschaffung oder dem Einsatz von Informati-
onstechnologie beruflich befasst sind. Dabei bietet
er neben Print- und Online-Medien auch ein breites
Veranstaltungsportfolio an. Die wichtigsten Ange-
bote des Verlages sind: IT-BUSINESS, eGovernment
Computing, BigData-Insider, CloudComputing-Insider,
DataCenter-Insider, Dev-Insider, IP-Insider, Security-
Insider, Storage-Insider.
Vogel Communications Group

Das Fachmedienhaus Vogel Communications Group
ist einer der führenden deutschen Fachinformationsan-
bieter mit rund 100 Fachzeitschriften und 60 Webseiten
sowie zahlreichen internationalen Aktivitäten. Hauptsitz
ist Würzburg. Die Print- und Online-Medien bedienen vor
allem die Branchen Industrie, Automobil, Informations-
technologie und Recht/Wirtschaft/Steuern.

Security Insider Best of 2023

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Security Insider Best of 2023

Hochgeladen von

Copyright:

Verfügbare Formate

2023 BEST OF

MANAGEMENT & STRATEGIE

TECHNOLOGIE & ZUKUNFT

Beispiele für Meldepflichten nach DSGVO

Wann eine Ransomware-Atta-

Die Umsetzung der Datenschutz-Grundverordnung (DS-

Kommt es zu einem Angriff mit Ransomware, können personen-

Verstoß gegen die DSGVO, sind dann zum Beispiel Sanktionen

Datenschutzausschuss liefert Leitlinien zu Meldepflichten

Es kommt auf den Ransomware-Vorfall an

So beschreibt der EDSA zum einen Ransomware-Attacken auf

Wie die Meldepflicht jeweils geprüft wird

che Fragen gilt es zu klären, wobei sicherlich die Unterstützung

Diese Überlegungen zeigen beispielhaft, dass es weiterhin an-

Mehr Unterstützung bei der DSGVO

Was die Datenschutzaufsichts-

Wirtschaftsverbände üben viel Kritik an den Aufsichtsbe-

Kritik an den Aufsichtsbehörden für den Datenschutz ist immer

mals Susanne Dehmel, Geschäftsleiterin Bitkom, zitiert: „Unter-

Die Initiative DSK 2.0

Fortschritte in Richtung DSGVO-Zertifizierungen

Landesbeauftragte für Datenschutz Schleswig-Holstein (ULD)

Es liegt ein ausführliches Papier der Datenschutzaufsichtsbehör-

Überarbeitung zahlreicher Hinweise der Aufsichtsbehör-

derem durch Gerichtsurteile Veränderungen ergeben, überarbei-

Sicherheit und Budgetierung

IT-Security-Kosten, die gerne

Erfahrungen haben gelehrt, dass es meist kostengünstiger

Jedes Unternehmen, unabhängig von seiner Größe oder Ausrich-

Personalbeschaffung und -bindung

Analysen durch externe Berater

zuhalten, damit sich Unternehmen gegebenenfalls von mehr als

Reaktion auf Vorfälle

Kosten für die Wiederbeschaffung

ausgesprochen kurzsichtige Sichtweise ein, welche der Syste-

Wie viel IT-Security tut Not?

Der effektivste Weg, um Bedrohungen durch Hacker ab-

Viele Unternehmen sind sich nicht sicher, gegen welche Hacker-

Erstellung eines Bewertungsprozessrahmens

regelmäßig Risiken und Herausforderungen zu erkennen, sodass

fiehlt sich in verschiedenen Schritten vorzugehen, indem erst die

4. Stufe: Administrierter Reifegrad

Geschäftssituation vor neuen Herausforderungen, um das Secu-

Aktuelle Pläne zur Vorratsdatenspeicherung

Ist die Vorrats­daten­speicherung

Kritiker erinnern die Pläne zur Vorratsdatenspeicherung

Tausende Hinweise auf Kinderpornografie führten nicht zur Er-

Der frühere Bundesinnenminister Seehofer erklärte auf der BKA-

Neue Bundesregierung sieht VDS anders als vorherige

Anlass gibt, also den Verdacht eines schweren Verbrechens,

Argumente für den Datenschutz

Wie wäre eine Welt ohne Daten-

Der Datenschutz setzt Unternehmen unter Dauerdruck,

So manches Missverständnis ließe sich vermeiden, wenn die

Der Bundesbeauftragte für den Datenschutz erklärt: „Wir schüt-

Können mehr Menschenleben gerettet werden, wenn es

mien“. Wenn Impfen, Testen und Kontaktverfolgung nicht wie

Wäre die Digitalisierung erfolgreicher, wenn der Daten-

das Vertrauen in die Datenverarbeitung zurückgewonnen wird.“

Stolpersteine bei der Konsolidie-

Die Security leidet unter Komplexität. Viele Unternehmen

Laut Gartner planen 75 Prozent der Unternehmen eine Konsoli-

sichere IT-Lösungen für die Bundesverwaltung zu entwickeln.

Ist die Vorratsdatenspeicherung