Identität - der neue Perimeter

Was ist ITDR? Wie man Identitätsbedrohungen vorbeugt und sie erkennt

Angreifer nutzen zahlreiche Techniken, mit denen sie sich Zugang zu Anmeldeinformationen verschaffen



Von Mark Jaffe, Illusive

ITDR steht für Identity Threat Detection and Response, eine neue Klasse von Cybersicherheitslösungen speziell zum Schutz von Identitäten, die für alle modernen IT-Systeme von zentraler Bedeutung sind. ITDR folgt einer ähnlichen Namenskonvention wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR). Allerdings erfordern viele Funktionen ein differenzierteres Verständnis davon, warum Identität eine eigene Kategorie von Detection & Response Lösungen verdient.

In einer Pressemitteilung unter dem Titel "Gartner Identifies Top Security and Risk Management Trends for 2022", heißt es: "Gartner hat den Begriff "Identity Threat Detection and Response" (ITDR) eingeführt, um die Sammlung von Tools und Best Practices zum Schutz von Identitätssystemen zu beschreiben."

Peter Firstbrook, Vizepräsident von Gartner Research, argumentiert darin: "Organisationen haben erhebliche Anstrengungen unternommen, um IAM-Funktionalitäten zu verbessern, aber ein Großteil davon konzentriert sich auf Technologien zur Verbesserung der Benutzerauthentifizierung, was die Angriffsfläche für einen grundlegenden Teil der Cybersicherheitsinfrastruktur vergrößert. ITDR-Tools tragen dazu bei, Identitätssysteme zu schützen, zu erkennen, wenn sie kompromittiert wurden und effiziente Gegenmaßnahmen einzuleiten."

Einige ITDR-Funktionen unterscheiden sich unserer Ansicht nach trotz der gemeinsamen Nomenklatur deutlich von den zuvor entwickelten EDR- und XDR-Lösungen.

Inzwischen gehen wir davon aus, dass Active Directory Threat Detection and Response (AD TDR) am ehesten mit ITDR vergleichbar ist.

Laut Gartner unterstützen AD TDR-Tools normalerweise eine Kombination folgender Elemente:

>> Analyse von Konfigurations-, Richtlinien- und Identitätsdaten, um den Sicherheitsstatus einer Active Directory-Umgebung eines Unternehmens zu bewerten

>> Überwachung von Angriffswegen und Analyse der Auswirkungen

>> Risikobewertung und Priorisierung

>> Überwachung des Laufzeitverhaltens in Echtzeit hinsichtlich gängiger Indikatoren für eine Kompromittierung

>> Maschinelles Lernen oder Analyse von anomalen Verhaltensweisen und Events

>> Automatisierte Gegenmaßnahmen und Vorfallsreaktion

>> Dashboards, Warnungen, Berichte, Suche und Vorfallsmanagement

>> Integration mit SIEM (Security Information and Event Management) und SOAR (Security Orchestration Automation and Response) Tools

>> Integration mit MFA-Lösungen für eine erweiterte Authentifizierung als Antwort auf Risikoereignisse

>> Austausch von Risikosignalen mit zusätzlichen Modulen (für Suite-Anbieter) und Tools von Drittanbietern. (Gartner "Implement IAM Best Practices for Your Active Directory” von Paul Rabinovich, 14. März 2022.)

Die Einführung von AD TDR und ITDR weist mit ziemlicher Sicherheit darauf hin, dass Identitäten das gleiche Maß an Management und Kontrolle brauchen, das Unternehmen auf Hosts, Netzwerke, Systeme und Software verwenden - wenn nicht sogar mehr. Umso wichtiger, weil Identitäten inzwischen zum vorherrschenden Angriffsvektor geworden sind. Wie bei allen anderen Aspekten von IT-Risiken sollte auch das Identitätsrisiko mittels präventiver und aufdeckender Kontrollen verwaltet werden.

Identität wird als der neue Perimeter beschrieben. Denn selbst wenn ein Netzwerk, ein Endpunkt und alle anderen Geräte gesichert sind, braucht ein Angreifer nur Zugriff auf ein privilegiertes Konto, um Unternehmensressourcen zu kompromittieren.

Mehr als ein Jahrzehnt mobiler Geräte, Cloud Computing, Outsourcing und remote arbeitender Mitarbeiter, beschleunigt durch die COVID-19-Pandemie, haben den traditionellen Perimeter der Netzwerksicherheit ausgehöhlt. Wenn Mitarbeiter von persönlichen Geräten und privaten Netzwerken auf Dienste von Drittanbietern zugreifen, müssen Firmen zwangsläufig überdenken, wie sie den Zugriff absichern.

Identität - die neue Schwachstelle

Wenn Identität der neue Perimeter ist, dann ist Identität zugleich eine neue Schwachstelle.

Laut NIST ist eine Schwachstelle eine "Schwäche in einem Informationssystem, in Verfahren zur Systemsicherheit, bei internen Kontrollen oder einer Implementierung, die von einer Bedrohungsquelle ausgenutzt oder ausgelöst werden können". Dies beschreibt ziemlich genau, wie Bedrohungsakteure häufig nicht verwaltete, falsch konfigurierte und exponierte Identitäten ausnutzen - Schwachstellen in der Identitätssicherheit sind mithin zum größten Risiko geworden.

Identity- und Access-Management-Systeme wurden entwickelt, um das Least-Privilege-Prinzip (Prinzip der geringsten Rechtevergabe) durchzusetzen, aber auch, um Probleme zu minimieren, wenn ein Benutzer authentifiziert wurde. Diese eher unterschiedlichen Zielvorgaben erschweren es, zu erkennen, wenn ein Angreifer erfolgreich die Anmeldeinformationen eines gültigen Benutzers kompromittiert hat und verwendet. Als Folge davon sind sogenannte Account-Takeover-Angriffe (ATO) zum wichtigsten Angriffsvektor geworden.

Und obwohl Firmen Privileged Account Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Lösungen für das Identity und Access Management (IAM) zum Schutz von Identitäten einsetzen, zeigen Untersuchungen, dass auf einem von sechs Unternehmensendpunkten ausnutzbare Identitätsrisiken existieren.

Angreifer nutzen zahlreiche Techniken, mit denen sie sich Zugang zu Anmeldeinformationen verschaffen. Häufig kommen dabei Open-Source-Angriffstools zum Einsatz. So lassen sich laufende Aktivitäten leichter verbergen und die einzelnen Phasen eines Angriffs schneller durchlaufen, bevor die endgültige Aktion abgeschlossen wird.

Typische Ransomware-Angriffe nutzen oft Zugangsdaten, die bei einem Phishing-Angriff erbeutet oder im Darknet erworben wurden, um einen ersten Zugang zu erlangen. Anschließend kommt eine Reihe von Tools zum Einsatz, wie z.B. Mimikatz, um Privilegien auszuweiten und privilegierte Anmeldeinformationen abzuziehen. Tatsächlich ist nach Angaben der Enterprise Strategy Group der Diebstahl von Anmeldeinformationen aus dem Systemspeicher die am häufigsten eingesetzte Identitätstechnik bei Angriffen.

Identitätsschwachstellen verstehen

Untersuchungen von Illusive haben ergeben, dass auf einem von sechs Endgeräten, in jeder untersuchten Organisation, ausnutzbare Identitätsrisiken vorliegen. Die Ursachen für anfällige Identitäten fächern sich in drei unterschiedliche Kategorien auf: nicht gemanagte/verwaltete, falsch konfigurierte und exponierteIdentitäten. Dazu einige Beispiele.

Nicht gemanagte/verwaltete Identitäten

>> Service-Konten – Maschinenidentitäten werden nicht innerhalb einer PAM-Lösung verwaltet, zum einen, weil sie bei der Implementierung nicht erkannt wurden und zum anderen, weil nicht alle Anwendungen mit PAM kompatibel sind, z. B. traditionelle Anwendungen, deren Modernisierungskosten das Budget sprengen würden.

>> Lokale Administratoren – Die Privilegien lokaler Administratoren erleichtern eine Vielzahl von IT-Supportanfragen. Einmal eingerichtet, bleiben sie aber oft unerkannt oder werden ganz vergessen – ergo, nicht verwaltet.

>> Privilegierte Konten – Viele andere privilegierte Konten werden nicht über eine PAM- oder MFA-Lösung gemanagt, weil sie bei der Einrichtung nicht erkannt wurden.

Falsch konfigurierte Identitäten

>> Schattenadministratoren – Die Komplexität verschachtelter Identitätsgruppierungen macht es extrem schwierig, die vollständigen Rechte und Berechtigungen aller Identitäten zu überblicken. Dies führt regelmäßig dazu, dass Konten unbeabsichtigt übermäßige Privilegien gewährt werden.

>> Schwache Verschlüsselung und Passwörter – Identitäten, die so konfiguriert sind, dass sie eine schwache oder gar keine Verschlüsselung nutzen oder darauf verzichten, strenge Passwort-Richtlinien zu erzwingen.

>> Service-Konten – Maschinenidentitäten mit privilegierten Zugriffsrechten können so konfiguriert sein, dass sie fälschlicherweise ein interaktives Login durch einen Menschen ermöglichen.

Exponierte Identitäten

>> Zwischengespeicherte Anmeldeinformationen – Konto- und Anmeldeinformationen, die in der Regel im Speicher, in der Registry und auf der Festplatte von Endgeräten gespeichert werden, wo sie mittels gängiger Angriffs-Tools leicht ausgenutzt werden können.

>> Cloud-Zugangs-Token – Auf Endgeräten gespeicherte Cloud-Zugangs-Token sind für Angreifer ein übliches Mittel, um sich Zugriff auf Cloud-Ressourcen zu verschaffen.

>> Offene RDP-Sitzung – Remote Application Sessions werden nicht sachgemäß geschlossen, so dass Angreifer eine geöffnete Session und die zugehörigen Privilegien ausnutzen können, und zwar weitgehend ohne Risiko, entdeckt zu werden.

Es ist wichtig zu wissen, dass jede Identität auf vielfältige Weise und in allen drei Schwachstellen-Kategorien angreifbar sein kann. Für Unternehmen ein nicht zu unterschätzendes Risiko.

Eine einzelne Identität kann beispielsweise falsch konfiguriert sein, so dass sie unbeabsichtigt über Schatten-Admin-Rechte verfügt. Dies führt dazu, dass diese Identität aus Mangel an entsprechenden IT-Kenntnissen nicht gemanagt wird – und der zusätzliche Access-Management-Schutz, der für Konten mit den entsprechenden Rechten vorgesehen ist (PAM, MFA usw.), nicht ausgelöst wird. In der Folge kann es dazu kommen, dass über dieselbe Identität Anmeldeinformationen exponiert werden.

Wie sich vor etwas schützen, von dem man nicht weiß, dass es existiert?

Das Management von Identitätsrisiken setzt voraus, dass Unternehmen einen kontinuierlichen Einblick in ihre Identitätssituation gewinnen, und zwar aus der Perspektive von Cyberbedrohungen. Zu IT-Best-Practices zählen heute Asset Discovery und Schwachstellenmanagement, um Risiken rund um Assets und Systeme kontinuierlich nachzuverfolgen und zu messen. Eine kontinuierliche Aufdeckung von Identitätsrisiken zählt nicht dazu.

Der mangelnde Einblick in diese Art von Risiken hat dazu geführt, dass Identitäten immer anfälliger geworden sind. Dies ist der Grund, warum Cyberkriminelle und Red Teams gleichermaßen ihre Angriffstaktiken und -techniken verändert haben. Bislang war es für IT- und Sicherheitsteams kostspielig, und mit manuellen, zeitaufwändigen Prozessen verbunden, sich den nötigen, und ohnehin begrenzten, Einblick über Identitätsschwachstellen zu verschaffen.

Was gehört zu einem vollständigen ITDR-System?

Vollständige ITDR-Lösungen sollten über präventive Funktionen verfügen, die Lücken in der Identitätsstrategie erkennen und beheben. Dazu sollten erkennende/aufdeckende Funktionen kommen, die bei auftretenden Indikatoren für eine Kompromittierung sofort anschlagen.

Präventive ITDR-Kontrollen

Präventive ITDR-Kontrollen erkennen und beheben Identitätsschwachstellen, bevor Angreifer versuchen können, sie auszunutzen. Ähnlich wie bei traditionellen Schwachstellen- und Risikomanagement-Programmen erlauben ITDR-Funktionen eine Bestandsaufnahme der Risiken ihrer Identitäts-"Assets". Die effektivsten dieser Lösungen erlauben eine automatisierte, kontinuierliche und umfassende Identitätserkennung, die Einblick in nicht verwaltete, falsch konfigurierte und exponierte privilegierte Konten gestattet.

Auf Basis dieser Transparenz erst kann man effektive Entscheidungen treffen, die für das Management von IT- und Infosec-Prozessen erforderlich sind. Und so lassen sich Risiken in großen, mehrstufigen Implementierungen von unterschiedlichen Identitätsmanagementsystemen wie IGA, PAM, MFA, SSO und anderen senken. Tatsächlich wissen wir, dass dieses kontinuierliche Scannen für das Management jedes komplexen Systems erforderlich ist. Das Identitätsmanagement bildet da keine Ausnahme.

Erkennende/Aufdeckende ITDR-Kontrollen

Erkennende/Aufdeckende ITDR-Kontrollen schlagen in dem Moment Alarm, wenn es einen Hinweis darauf gibt, dass ein externer Angreifer oder Insider versucht, eine Identität zu kompromittieren oder auf eine Art und Weise zu nutzen, die ein Risiko darstellt. Solche Kontrollen dienen dazu, die Art von Risiken zu senken, die sie sich nicht verhindern lassen. Parallel dazu werden die zuständigen Fachleute alarmiert, um im Falle eines Angriffs schnell reagieren zu können.

Identitätsbedrohungen präzise und vor Abschluss eines Angriffs zu erkennen, hat sich allerdings aus einer Reihe von Gründen als schwierig erwiesen:

>> Weniger Zeit, um Angriffe zu erkennen: Die Verweildauer der Angreifer hat sich bei etlichen Angriffsarten, wie z.B. Ransomware, in vielen Fällen von Monaten auf Tage verkürzt. Indem sie ihren Fokus auf die Kompromittierung von Identitäten verlagert haben, bewegen sich Angreifer viel schneller durch die einzelnen Phasen einer Attacke. Das gilt auch für die typische laterale Sondierung des Netzwerks, das Sammeln von Daten und den erfolgreichen Abschluss des Angriffs.

>> Vorhandene Sicherheitskontrollen sind weniger wirksam: Da sich der Fokus auf das Ausnutzen von Identitäten als einem der wichtigsten Ziele verlagert hat, haben Angreifer frühere Techniken nahezu aufgegeben, und so die betreffenden Sicherheitstools obsolet gemacht. Cyberkriminelle beweisen zudem regelmäßig, dass sie, sobald sie ihre Privilegien erweitert haben, in der Lage sind, Sicherheitskontrollen, wie Endpunkt-Agenten zu deaktivieren.

>> Das Unvermögen, schädliche von akzeptablen Aktivitäten rund um privilegierte Konten genau zu unterscheiden: Die signatur- und verhaltensbasierte Analyse privilegierter Benutzer hat sich als unwirksam erwiesen, wenn es darum geht, schädliche Privilegienerweiterungen und Fortbewegungen von Angreifern genau zu erkennen. Das zeigt die deutliche Zunahme erfolgreicher Angriffe. Hier fehlt die Konsistenz bei den als legitim akzeptierten Verhaltensweisen privilegierter Administratorkonten (von Datenwissenschaftler als hohe Datenentropie bezeichnet). Dies führt zu Schwierigkeiten beim Aufbau effektiver Grundregeln. Die aber sind nötig, um die Zahl der falsch-positiven und falsch-negativen Alarme zu minimieren.

Man braucht also zwangsläufig eine genauere Erkennung kompromittierter privilegierter Konten. Deception-Technologien und der damit verbunden deterministische Ansatz (bei dem irreführende Inhalte platziert werden, um Angreifer anzulocken) bieten eine praktikable und bewährte Alternative zur Verhaltensanalyse und um zu erkennen, wenn Privilegien erweitert wurden und Angreifer sich im Netz bewegen.

Wenn dieser Ansatz gut umgesetzt ist, werden Köder platziert, mit denen NUR ein Angreifer interagieren würde, basierend auf dem Verständnis seiner Techniken und Tools. Und die Köder hinterlassen keine Anhaltspunkte, die den Angreifer glauben lassen, dass er in eine Falle gelockt wird (z. B. ein Dienst oder Agent, der auf dem Host läuft). (Illusive: ra)

eingetragen: 21.10.22
Newsletterlauf: 30.01.23

Illusive: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Grundlagen

Verstärkter Angriff auf Backup-Infrastrukturen

Ransomware-Angriffe nutzen Schwachstellen aus, um in Unternehmen einzudringen. Sie verschlüsseln Business-Daten und versuchen damit hohe Lösegeldzahlungen zu erpressen. Eine besonders stark betroffene Branche ist das Gesundheitswesen. Hier verzeichnete man im Jahr 2021 einen erschreckenden Anstieg der Ransomware-Angriffe um 755 Prozent.

Wie "grün" ist Tape?

Die aktuellen Zeiten des Klimawandels verbunden mit zahlreichen Umweltproblemen stellen Unternehmen jeder Art vor die Herausforderung umweltfreundlicher zu werden. Altmodisch nannte man dies Umweltschutz, heute spricht man von "Nachhaltigkeit" oder "ESG", kurz für Environmental Social and Governance. Gemeint ist im Prinzip dasselbe. Auch die IT muss sich der Frage stellen, wie nachhaltig sie ist. Kann sie etwaige negative Einflüsse auf die Umwelt verringern? Ein Faktor, an dem der Einfluss der IT messbar gemacht werden kann, ist die seit Beginn der digitalen Revolution in den 1980er Jahren exponentiell steigende Datenmenge – und natürlich deren Speicherung. Um dies mit einer Zahl zu verdeutlichen, wir steuern derzeit auf eine globale Datenmenge von 175 Zettabyte im Jahr 2025 zu. Es ist schwer zu beschreiben, was 175 Zettabyte tatsächlich darstellen. Mathematisch ausgedrückt sind ein Zettabyte jedenfalls 1,000,000,000,000,000,000,000 (1021) Bytes.

Präventiver Schutz alleine reicht nicht

In Zeiten von Ransomware, Insider Threats und Advanced Persistant Threats sind viele Unternehmen in puncto Security in der Defensive. Neben der eigentlichen Abwehr geht es im Kern darum, lange IT-Ausfallzeiten und Datenverluste zu vermeiden. Backups bieten bei der Wiederherstellung weniger wichtiger Daten eine einfache und praktikable Lösung. Kritische Daten und Workloads benötigen allerdings eine ausgereiftere Wiederherstellungstechnologie.

Erpressung durch Ransomware-Kriminelle

Moderne Datensicherung, bestehend aus zuverlässigem Backup und fehlerfreier Wiederherstellung, ist für viele Unternehmen und Institutionen kein unbekanntes Thema. Ein Bereich, den man nicht sofort auf dem Radar hat, ist jedoch die Finanzdienstleistungsbranche (FSI). Gerade hier sind sehr sensible – und damit für Hacker attraktive – Daten unterwegs, die dringend gesichert werden müssen, um die gesetzlichen Vorgaben zu erfüllen und den möglichen Schaden gering zu halten.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>


Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.