- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Von IT-Sicherheitsexperten lernen


Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen
Alles, was in den Bereichen Datenschutz und Datensicherheit schief läuft, findet man prompt im Internet der Dinge

- Anzeigen -





Autor: Varonis

Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen.

Die Weltformel
Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

2016 hatten wir die Gelegenheit, uns mit dem IoT-Penetrationstester Ken Munro zu unterhalten. Seinen Anmerkungen zu Entwicklungen wie funkgesteuerten Türklingeln, Kaffeemaschinen und Kameras kann man kaum widersprechen:

"Dass Hersteller auch nur einen einzigen Gedanken an potenzielle Hackerangriffe verschwendet haben, halte ich für eine gewagte These. Eines der größten Probleme ist meiner Ansicht nach, dass viele Hersteller übereilt neue Produkte auf den Markt werfen ..."

Privacy by Design (PbD) ist offensichtlich nicht gerade ein Grundprinzip von IoT-Geräten im Consumer-Umfeld.

Gerade in den letzten Monaten konnten Verbraucher am eigenen Leib erfahren wie anfällig solche Geräte selbst für einfach gestrickte Angriffe sind. Dabei machen Hacker sich Backdoors, Standardpasswörter und sogar nicht vorhandene Anmeldeinformationen zunutze.

Nicht selten werden öffentlich zugängliche Router-Ports während der Geräteinstallation einfach offen gelassen. Und zwar ohne, dass der ahnungslose Nutzer einen Warnhinweis erhält. Für Angreifer ist es dann aufgrund von unsignierter Firmware möglich, Geräte vollständig zu kontrollieren.

Alles, was in den Bereichen Datenschutz und Datensicherheit schief läuft, findet man prompt im Internet der Dinge. Es gibt aber durchaus hilfreiche und vergleichsweise einfache Schutzmaßnahmen.

Alle Macht den Passwörtern
Geht es beim Thema Sicherheit immer um Passwörter? Nein, sicher nicht. Aber es kristallisiert sich mehr und mehr heraus, dass unsichere Passwörter oder nicht geänderte Standardpasswörter zu den Hauptursachen vieler Sicherheitsvorfälle gehören.

Die Sicherheitsexperten, mit denen wir gesprochen haben, brachten oft ohne Nachfrage den fahrlässigen Umgang mit Passwörtern zur Sprache. Einer von ihnen, der Passwortexperte Per Thorsheim , erinnert daran, dass die Zwei-Faktor-Authentifizierung (2FA) in Anbetracht dessen eine mögliche Sicherheitsmaßnahme ist:

"Im Hinblick auf die Sicherheit ist die Zwei-Faktor-Authentifizierung die Lösung schlechthin. Sie ist so sicher, dass man, nur als Beispiel, im Grunde sogar das Passwort seines Facebook-Kontos verraten könnte – aufgrund der Zwei-Faktor-Authentifizierung kann sich trotzdem niemand anders anmelden. Sobald jemand meinen Nutzernamen und mein Passwort eingibt, sendet mir Facebook per SMS einen Code auf mein Telefon, auf das nur ich zugreifen kann."

Menschen stellen erfahrungsgemäß beim Umgang mit Passwörtern wenig geschickt an. Zwei-Faktor-Authentifizierung sowie biometrische Erkennung werden in Zukunft zur Passwortsicherheit beitragen.

Bis es so weit ist, hat Professor Justin Cappos einen einfachen Trick für diejenigen parat, die sich noch immer am liebsten selbst Passwörter ausdenken:

"Um als Mensch ein sicheres Passwort zu erstellen, kann man nach dem Zufallsprinzip vier Wörter aus einem Wörterbuch auswählen und dann eine Geschichte erfinden, in der sie vorkommen. Diesen Ansatz bezeichnet man als ‚Correct Horse Battery Staple‘-Methode ."

Bei der "Correct Horse Battery Staple"-Methode dient die Geschichte als Gedächtnisstütze. Der Ansatz ist nicht neu, hilft aber, gute Passwörter zu finden, die nicht so leicht zu knacken sind.

Ein wichtiger Tipp der Experten lautet: Ändern Sie umgehend das Administratorpasswort des heimischen Routers (nach der "Correct Horse Battery Staple"-Methode). IT-Administratoren sollten ihre Passwörter ebenfalls genauer unter die Lupe nehmen, um nicht ungewollt zum Helfershelfer eines Angreifers zu werden.

Das Bewusstsein für Datenschutz schärfen
Wenn Sie für Ihre Konten die Zwei-Faktor-Authentifizierung aktivieren und bessere Passwörter erstellen, haben Sie schon viel für mehr Sicherheit getan. Es schadet allerdings trotzdem nicht, einen Schritt zurückzutreten und das eigene Datenschutzbewusstsein in Sachen Online-Transaktionen zu überprüfen.

Alexandra Ross, Anwältin und Datenschutz-Guru , erläutert die Vorteile der Datenminimierung sowohl für die Unternehmen, die Daten erfassen, als auch für Verbraucher, die sie zur Verfügung stellen:

"Es ist sehr wichtig, einen Moment lang innezuhalten und sich bewusst zu machen, was gerade passiert. Welche Daten werden abgefragt, wenn ich mich bei einem Social-Media-Dienst registriere? Und wozu dienen sie? Es lohnt sich, die Datenschutzrichtlinien von Apps und Online-Diensten oder die Kundenmeinungen zu lesen."

Und: "Marketing-Teams von IT-Unternehmen wollen oft kategorisch alle Daten sammeln. Das Motto lautet: ‚Lasst uns umfassende Nutzerprofile anlegen, die alle Bereiche abdecken, damit möglichst viele nützliche Daten zur Verfügung stehen‘. Wenn man aber etwas genauer nachfragt und die wichtigen Punkte klärt, findet man heraus, welche Daten wirklich notwendig sind."

Auch der Datenwissenschaftler Kaiser Fung weist darauf hin, dass die Sammelwut häufig völlig unbegründet ist:

"Es geht nicht nur um die Menge der Daten, sondern auch darum, dass Daten heutzutage ohne jeden Sinn und Zweck gesammelt werden. Diejenigen, die sie erheben, wissen oft gar nichts über die Probleme, die sich im Geschäftsalltag stellen."

Von daher unsere Botschaft an alle IT- und Marketing-Experten: Überlegen Sie gut, was Sie tun, bevor Sie das nächste Kontaktformular absenden!

Ross und andere Verfechter des Privacy-by-Design-Konzepts predigen schon lange den Grundsatz der Datenminimierung: Je weniger Daten gespeichert sind, umso geringer ist das Sicherheitsrisiko bei einem Angriff. Als Datenschutz-Guru erinnert Ross daran, dass in den Filesystemen diverser Unternehmen noch immer jede Menge Daten über uns herumschwirren. Scott Schober , Sicherheitsexperte und Autor von "Hacked Again", kommt aus eigener Erfahrung zum selben Schluss:

"Ich habe bei einer Veranstaltung einen Vortrag gehalten. Jemand fragte, ob er mir zeigen dürfte, wie leicht er meine Daten herausfinden und meine Identität missbrauchen könne. Ich zögerte, erklärte mich dann aber zu diesem Experiment bereit. Alles andere ist sowieso bekannt und ich weiß, wie einfach man an die Daten der Leute kommt. Ich war also das Versuchskaninchen. Kevin Mitnick, einer der bekanntesten Hacker der Welt, gab den Dieb. Innerhalb von 30 Sekunden hatte er meine Sozialversicherungsnummer herausgefunden. Kostenpunkt: 1 Dollar."

Grundsätzlich ist nichts dagegen einzuwenden, dass Unternehmen personenbezogene Daten speichern. Es geht vielmehr darum, sich gut zu überlegen, welche Daten man preisgibt, und zu bedenken, dass Sicherheitsvorfälle in Unternehmen inzwischen zum Alltag gehören. Kreditkarten können ersetzt, Passwörter geändert werden. Doch Angaben zu persönlichen Vorlieben und Sozialversicherungsnummern ändern sich nicht und sind ein beliebtes Social Engineering-Ziel.

Daten sind wertvoll
Wir haben uns mit zahlreichen Anwälten und Datenwissenschaftlern unterhalten. Bennett Borden ist beides in einer Person. Sein beruflicher Hintergrund ist bemerkenswert: Er ist nicht nur Prozessanwalt bei der Kanzlei Drinker Biddle, sondern darüber hinaus auch noch Datenwissenschaftler. Borden hat Artikel in juristischen Fachzeitschriften über die Anwendungsfelder des maschinellen Lernens, die Dokumentenanalyse, E-Discovery und andere juristische Themen verfasst.

Borden erläutert, wie wir als Angestellte in Form von E-Mails und Dokumenten alle eine digitale Spur hinterlassen, die sehr aufschlussreich sein kann. Er weist darauf hin, dass solche Daten für Anwälte nützlich sein können, die den fairen Wert eines Unternehmens bei einer potenziellen Übernahme ermitteln wollen. Er selbst sollte einmal eine Datenanalyse für einen Kunden durchführen und konnte aufzeigen, dass der Kaufpreis des Unternehmens laut internen Diskussionen zu hoch war:

"Der Preis verringerte sich daraufhin um mehrere Millionen Dollar. Und da wir heutzutage viel schneller an solche Daten gelangen, weil sie in elektronischer Form vorliegen, konnten wir dasselbe Prozedere seither viele Male wiederholen."

Informationen sind also auch rein in geschäftlicher Hinsicht wertvoll. Für Varonis ist das nichts Neues, doch es ist trotzdem immer wieder aufschlussreich, es von jemandem zu hören, der sich beruflich mit Unternehmensdaten beschäftigt.

Zusammenfassend lässt sich sagen, dass wir als Verbraucher und als Mitarbeiter von Unternehmen mit sozialer Verantwortung alle sorgfältiger mit dem wertvollen Gut Daten umgehen sollten: Daten und Informationen nicht leichtfertig preisgeben und sie schützen, wenn sie sich in unserem Besitz befinden.

Mehr als nur ein gut gemeinter Rat
Das Thema Privacy by Design kam in einigen unserer Expertengespräche auf. Einer der Grundsätze, datenschutzfreundliche Standardeinstellungen, ist für Unternehmen besonders schwer zu akzeptieren. Und das, obwohl der Datenschutz im Rahmen des PbD-Konzepts eben kein Nullsummenspiel ist: Es ist durchaus möglich, umfassende Datenschutzmaßnahmen zu ergreifen und dabei weiterhin Gewinne zu erzielen.

Für Unternehmen, die in der EU tätig sind, ist Privacy by Design ohnehin ab 2018 gesetzlich vorgeschrieben. Das Konzept wird in Artikel 25, "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen", explizit dargelegt.

Wir thematisieren die Datenschutz-Grundverordnung (DS-GVO) und ihre zahlreichen Auswirkungen seit zwei Jahren. Doch eine Auswirkung, die häufig übersehen wird, ist, dass die DSGVO auch für Unternehmen außerhalb der EU gelten wird.

Die Expertin für Compliance im Bereich Datensicherheit Sheila Fitzpatrick hat diesen Aspekt im Gespräch mit uns besonders hervorgehoben:

"Der andere Punkt, an dem sich die DSGVO stark von anderen Rechtsakten unterscheidet (und das ist ein Konzept, das noch nicht oft umgesetzt worden ist): Sie gilt nicht nur für Unternehmen innerhalb der EU. Jedes Unternehmen, das Zugriff auf personenbezogene Daten von EU-Bürgern hat, muss die Bestimmungen der DSGVO einhalten, ganz gleich, wo die Standorte sind und ob das Unternehmen über Niederlassungen in der EU verfügt. Das ist eine bedeutsame Änderung."

Dieses Rechtsprinzip wird auch als "Extraterritorialität" bezeichnet. Insbesondere E-Commerce-Unternehmen und Anbieter von Webdiensten in den USA sind von der DSGVO betroffen, wenn sie mit EU-Bürgern zu tun haben. Damit werden Best Practices in der IT, die Experten für ratsam halten, zu gesetzlichen Vorgaben. Unternehmen und Verbraucher sollten vorausschauend handeln und sich darauf vorbereiten PbD-Konzepte, den Grundsatz der Datenminimierung, die Einwilligung betroffener Personen und des Datenschutzes umzusetzen. (Varonis: ra)

eingetragen: 14.03.17
Home & Newsletterlauf: 13.04.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert. Die IoT-Entwicklung durchdringt mittlerweile alle Facetten unseres Lebens. Entsprechend rasant ist das Innovationstempo in diesem Bereich. Es existieren viele Anwendungen, die klug und ausgereift sind, aber leider auch solche, die das genaue Gegenteil davon sind. Dessen ungeachtet sind die weitaus meisten Anwendungen sehr wirkungsvoll etwa in der Landwirtschaft oder im Gesundheitswesen. Das IoT ist also nicht mehr weg zu denken. Trotzdem mutet die Entwicklung bisweilen so an, als versuche jemand zu rennen bevor er noch überhaupt laufen gelernt hat. Übersetzt heißt das, IoT-Entwickler vernachlässigen eine Kernkomponente unserer vernetzten Welt, die Sicherheit.