- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Von IT-Sicherheitsexperten lernen


Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen
Alles, was in den Bereichen Datenschutz und Datensicherheit schief läuft, findet man prompt im Internet der Dinge



Autor: Varonis

Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen.

Die Weltformel
Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

2016 hatten wir die Gelegenheit, uns mit dem IoT-Penetrationstester Ken Munro zu unterhalten. Seinen Anmerkungen zu Entwicklungen wie funkgesteuerten Türklingeln, Kaffeemaschinen und Kameras kann man kaum widersprechen:

"Dass Hersteller auch nur einen einzigen Gedanken an potenzielle Hackerangriffe verschwendet haben, halte ich für eine gewagte These. Eines der größten Probleme ist meiner Ansicht nach, dass viele Hersteller übereilt neue Produkte auf den Markt werfen ..."

Privacy by Design (PbD) ist offensichtlich nicht gerade ein Grundprinzip von IoT-Geräten im Consumer-Umfeld.

Gerade in den letzten Monaten konnten Verbraucher am eigenen Leib erfahren wie anfällig solche Geräte selbst für einfach gestrickte Angriffe sind. Dabei machen Hacker sich Backdoors, Standardpasswörter und sogar nicht vorhandene Anmeldeinformationen zunutze.

Nicht selten werden öffentlich zugängliche Router-Ports während der Geräteinstallation einfach offen gelassen. Und zwar ohne, dass der ahnungslose Nutzer einen Warnhinweis erhält. Für Angreifer ist es dann aufgrund von unsignierter Firmware möglich, Geräte vollständig zu kontrollieren.

Alles, was in den Bereichen Datenschutz und Datensicherheit schief läuft, findet man prompt im Internet der Dinge. Es gibt aber durchaus hilfreiche und vergleichsweise einfache Schutzmaßnahmen.

Alle Macht den Passwörtern
Geht es beim Thema Sicherheit immer um Passwörter? Nein, sicher nicht. Aber es kristallisiert sich mehr und mehr heraus, dass unsichere Passwörter oder nicht geänderte Standardpasswörter zu den Hauptursachen vieler Sicherheitsvorfälle gehören.

Die Sicherheitsexperten, mit denen wir gesprochen haben, brachten oft ohne Nachfrage den fahrlässigen Umgang mit Passwörtern zur Sprache. Einer von ihnen, der Passwortexperte Per Thorsheim , erinnert daran, dass die Zwei-Faktor-Authentifizierung (2FA) in Anbetracht dessen eine mögliche Sicherheitsmaßnahme ist:

"Im Hinblick auf die Sicherheit ist die Zwei-Faktor-Authentifizierung die Lösung schlechthin. Sie ist so sicher, dass man, nur als Beispiel, im Grunde sogar das Passwort seines Facebook-Kontos verraten könnte – aufgrund der Zwei-Faktor-Authentifizierung kann sich trotzdem niemand anders anmelden. Sobald jemand meinen Nutzernamen und mein Passwort eingibt, sendet mir Facebook per SMS einen Code auf mein Telefon, auf das nur ich zugreifen kann."

Menschen stellen erfahrungsgemäß beim Umgang mit Passwörtern wenig geschickt an. Zwei-Faktor-Authentifizierung sowie biometrische Erkennung werden in Zukunft zur Passwortsicherheit beitragen.

Bis es so weit ist, hat Professor Justin Cappos einen einfachen Trick für diejenigen parat, die sich noch immer am liebsten selbst Passwörter ausdenken:

"Um als Mensch ein sicheres Passwort zu erstellen, kann man nach dem Zufallsprinzip vier Wörter aus einem Wörterbuch auswählen und dann eine Geschichte erfinden, in der sie vorkommen. Diesen Ansatz bezeichnet man als ‚Correct Horse Battery Staple‘-Methode ."

Bei der "Correct Horse Battery Staple"-Methode dient die Geschichte als Gedächtnisstütze. Der Ansatz ist nicht neu, hilft aber, gute Passwörter zu finden, die nicht so leicht zu knacken sind.

Ein wichtiger Tipp der Experten lautet: Ändern Sie umgehend das Administratorpasswort des heimischen Routers (nach der "Correct Horse Battery Staple"-Methode). IT-Administratoren sollten ihre Passwörter ebenfalls genauer unter die Lupe nehmen, um nicht ungewollt zum Helfershelfer eines Angreifers zu werden.

Das Bewusstsein für Datenschutz schärfen
Wenn Sie für Ihre Konten die Zwei-Faktor-Authentifizierung aktivieren und bessere Passwörter erstellen, haben Sie schon viel für mehr Sicherheit getan. Es schadet allerdings trotzdem nicht, einen Schritt zurückzutreten und das eigene Datenschutzbewusstsein in Sachen Online-Transaktionen zu überprüfen.

Alexandra Ross, Anwältin und Datenschutz-Guru , erläutert die Vorteile der Datenminimierung sowohl für die Unternehmen, die Daten erfassen, als auch für Verbraucher, die sie zur Verfügung stellen:

"Es ist sehr wichtig, einen Moment lang innezuhalten und sich bewusst zu machen, was gerade passiert. Welche Daten werden abgefragt, wenn ich mich bei einem Social-Media-Dienst registriere? Und wozu dienen sie? Es lohnt sich, die Datenschutzrichtlinien von Apps und Online-Diensten oder die Kundenmeinungen zu lesen."

Und: "Marketing-Teams von IT-Unternehmen wollen oft kategorisch alle Daten sammeln. Das Motto lautet: ‚Lasst uns umfassende Nutzerprofile anlegen, die alle Bereiche abdecken, damit möglichst viele nützliche Daten zur Verfügung stehen‘. Wenn man aber etwas genauer nachfragt und die wichtigen Punkte klärt, findet man heraus, welche Daten wirklich notwendig sind."

Auch der Datenwissenschaftler Kaiser Fung weist darauf hin, dass die Sammelwut häufig völlig unbegründet ist:

"Es geht nicht nur um die Menge der Daten, sondern auch darum, dass Daten heutzutage ohne jeden Sinn und Zweck gesammelt werden. Diejenigen, die sie erheben, wissen oft gar nichts über die Probleme, die sich im Geschäftsalltag stellen."

Von daher unsere Botschaft an alle IT- und Marketing-Experten: Überlegen Sie gut, was Sie tun, bevor Sie das nächste Kontaktformular absenden!

Ross und andere Verfechter des Privacy-by-Design-Konzepts predigen schon lange den Grundsatz der Datenminimierung: Je weniger Daten gespeichert sind, umso geringer ist das Sicherheitsrisiko bei einem Angriff. Als Datenschutz-Guru erinnert Ross daran, dass in den Filesystemen diverser Unternehmen noch immer jede Menge Daten über uns herumschwirren. Scott Schober , Sicherheitsexperte und Autor von "Hacked Again", kommt aus eigener Erfahrung zum selben Schluss:

"Ich habe bei einer Veranstaltung einen Vortrag gehalten. Jemand fragte, ob er mir zeigen dürfte, wie leicht er meine Daten herausfinden und meine Identität missbrauchen könne. Ich zögerte, erklärte mich dann aber zu diesem Experiment bereit. Alles andere ist sowieso bekannt und ich weiß, wie einfach man an die Daten der Leute kommt. Ich war also das Versuchskaninchen. Kevin Mitnick, einer der bekanntesten Hacker der Welt, gab den Dieb. Innerhalb von 30 Sekunden hatte er meine Sozialversicherungsnummer herausgefunden. Kostenpunkt: 1 Dollar."

Grundsätzlich ist nichts dagegen einzuwenden, dass Unternehmen personenbezogene Daten speichern. Es geht vielmehr darum, sich gut zu überlegen, welche Daten man preisgibt, und zu bedenken, dass Sicherheitsvorfälle in Unternehmen inzwischen zum Alltag gehören. Kreditkarten können ersetzt, Passwörter geändert werden. Doch Angaben zu persönlichen Vorlieben und Sozialversicherungsnummern ändern sich nicht und sind ein beliebtes Social Engineering-Ziel.

Daten sind wertvoll
Wir haben uns mit zahlreichen Anwälten und Datenwissenschaftlern unterhalten. Bennett Borden ist beides in einer Person. Sein beruflicher Hintergrund ist bemerkenswert: Er ist nicht nur Prozessanwalt bei der Kanzlei Drinker Biddle, sondern darüber hinaus auch noch Datenwissenschaftler. Borden hat Artikel in juristischen Fachzeitschriften über die Anwendungsfelder des maschinellen Lernens, die Dokumentenanalyse, E-Discovery und andere juristische Themen verfasst.

Borden erläutert, wie wir als Angestellte in Form von E-Mails und Dokumenten alle eine digitale Spur hinterlassen, die sehr aufschlussreich sein kann. Er weist darauf hin, dass solche Daten für Anwälte nützlich sein können, die den fairen Wert eines Unternehmens bei einer potenziellen Übernahme ermitteln wollen. Er selbst sollte einmal eine Datenanalyse für einen Kunden durchführen und konnte aufzeigen, dass der Kaufpreis des Unternehmens laut internen Diskussionen zu hoch war:

"Der Preis verringerte sich daraufhin um mehrere Millionen Dollar. Und da wir heutzutage viel schneller an solche Daten gelangen, weil sie in elektronischer Form vorliegen, konnten wir dasselbe Prozedere seither viele Male wiederholen."

Informationen sind also auch rein in geschäftlicher Hinsicht wertvoll. Für Varonis ist das nichts Neues, doch es ist trotzdem immer wieder aufschlussreich, es von jemandem zu hören, der sich beruflich mit Unternehmensdaten beschäftigt.

Zusammenfassend lässt sich sagen, dass wir als Verbraucher und als Mitarbeiter von Unternehmen mit sozialer Verantwortung alle sorgfältiger mit dem wertvollen Gut Daten umgehen sollten: Daten und Informationen nicht leichtfertig preisgeben und sie schützen, wenn sie sich in unserem Besitz befinden.

Mehr als nur ein gut gemeinter Rat
Das Thema Privacy by Design kam in einigen unserer Expertengespräche auf. Einer der Grundsätze, datenschutzfreundliche Standardeinstellungen, ist für Unternehmen besonders schwer zu akzeptieren. Und das, obwohl der Datenschutz im Rahmen des PbD-Konzepts eben kein Nullsummenspiel ist: Es ist durchaus möglich, umfassende Datenschutzmaßnahmen zu ergreifen und dabei weiterhin Gewinne zu erzielen.

Für Unternehmen, die in der EU tätig sind, ist Privacy by Design ohnehin ab 2018 gesetzlich vorgeschrieben. Das Konzept wird in Artikel 25, "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen", explizit dargelegt.

Wir thematisieren die Datenschutz-Grundverordnung (DS-GVO) und ihre zahlreichen Auswirkungen seit zwei Jahren. Doch eine Auswirkung, die häufig übersehen wird, ist, dass die DSGVO auch für Unternehmen außerhalb der EU gelten wird.

Die Expertin für Compliance im Bereich Datensicherheit Sheila Fitzpatrick hat diesen Aspekt im Gespräch mit uns besonders hervorgehoben:

"Der andere Punkt, an dem sich die DSGVO stark von anderen Rechtsakten unterscheidet (und das ist ein Konzept, das noch nicht oft umgesetzt worden ist): Sie gilt nicht nur für Unternehmen innerhalb der EU. Jedes Unternehmen, das Zugriff auf personenbezogene Daten von EU-Bürgern hat, muss die Bestimmungen der DSGVO einhalten, ganz gleich, wo die Standorte sind und ob das Unternehmen über Niederlassungen in der EU verfügt. Das ist eine bedeutsame Änderung."

Dieses Rechtsprinzip wird auch als "Extraterritorialität" bezeichnet. Insbesondere E-Commerce-Unternehmen und Anbieter von Webdiensten in den USA sind von der DSGVO betroffen, wenn sie mit EU-Bürgern zu tun haben. Damit werden Best Practices in der IT, die Experten für ratsam halten, zu gesetzlichen Vorgaben. Unternehmen und Verbraucher sollten vorausschauend handeln und sich darauf vorbereiten PbD-Konzepte, den Grundsatz der Datenminimierung, die Einwilligung betroffener Personen und des Datenschutzes umzusetzen. (Varonis: ra)

eingetragen: 14.03.17
Home & Newsletterlauf: 13.04.17


Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.