- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Von IT-Sicherheitsexperten lernen


Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen
Alles, was in den Bereichen Datenschutz und Datensicherheit schief läuft, findet man prompt im Internet der Dinge

- Anzeigen -





Autor: Varonis

Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen.

Die Weltformel
Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

2016 hatten wir die Gelegenheit, uns mit dem IoT-Penetrationstester Ken Munro zu unterhalten. Seinen Anmerkungen zu Entwicklungen wie funkgesteuerten Türklingeln, Kaffeemaschinen und Kameras kann man kaum widersprechen:

"Dass Hersteller auch nur einen einzigen Gedanken an potenzielle Hackerangriffe verschwendet haben, halte ich für eine gewagte These. Eines der größten Probleme ist meiner Ansicht nach, dass viele Hersteller übereilt neue Produkte auf den Markt werfen ..."

Privacy by Design (PbD) ist offensichtlich nicht gerade ein Grundprinzip von IoT-Geräten im Consumer-Umfeld.

Gerade in den letzten Monaten konnten Verbraucher am eigenen Leib erfahren wie anfällig solche Geräte selbst für einfach gestrickte Angriffe sind. Dabei machen Hacker sich Backdoors, Standardpasswörter und sogar nicht vorhandene Anmeldeinformationen zunutze.

Nicht selten werden öffentlich zugängliche Router-Ports während der Geräteinstallation einfach offen gelassen. Und zwar ohne, dass der ahnungslose Nutzer einen Warnhinweis erhält. Für Angreifer ist es dann aufgrund von unsignierter Firmware möglich, Geräte vollständig zu kontrollieren.

Alles, was in den Bereichen Datenschutz und Datensicherheit schief läuft, findet man prompt im Internet der Dinge. Es gibt aber durchaus hilfreiche und vergleichsweise einfache Schutzmaßnahmen.

Alle Macht den Passwörtern
Geht es beim Thema Sicherheit immer um Passwörter? Nein, sicher nicht. Aber es kristallisiert sich mehr und mehr heraus, dass unsichere Passwörter oder nicht geänderte Standardpasswörter zu den Hauptursachen vieler Sicherheitsvorfälle gehören.

Die Sicherheitsexperten, mit denen wir gesprochen haben, brachten oft ohne Nachfrage den fahrlässigen Umgang mit Passwörtern zur Sprache. Einer von ihnen, der Passwortexperte Per Thorsheim , erinnert daran, dass die Zwei-Faktor-Authentifizierung (2FA) in Anbetracht dessen eine mögliche Sicherheitsmaßnahme ist:

"Im Hinblick auf die Sicherheit ist die Zwei-Faktor-Authentifizierung die Lösung schlechthin. Sie ist so sicher, dass man, nur als Beispiel, im Grunde sogar das Passwort seines Facebook-Kontos verraten könnte – aufgrund der Zwei-Faktor-Authentifizierung kann sich trotzdem niemand anders anmelden. Sobald jemand meinen Nutzernamen und mein Passwort eingibt, sendet mir Facebook per SMS einen Code auf mein Telefon, auf das nur ich zugreifen kann."

Menschen stellen erfahrungsgemäß beim Umgang mit Passwörtern wenig geschickt an. Zwei-Faktor-Authentifizierung sowie biometrische Erkennung werden in Zukunft zur Passwortsicherheit beitragen.

Bis es so weit ist, hat Professor Justin Cappos einen einfachen Trick für diejenigen parat, die sich noch immer am liebsten selbst Passwörter ausdenken:

"Um als Mensch ein sicheres Passwort zu erstellen, kann man nach dem Zufallsprinzip vier Wörter aus einem Wörterbuch auswählen und dann eine Geschichte erfinden, in der sie vorkommen. Diesen Ansatz bezeichnet man als ‚Correct Horse Battery Staple‘-Methode ."

Bei der "Correct Horse Battery Staple"-Methode dient die Geschichte als Gedächtnisstütze. Der Ansatz ist nicht neu, hilft aber, gute Passwörter zu finden, die nicht so leicht zu knacken sind.

Ein wichtiger Tipp der Experten lautet: Ändern Sie umgehend das Administratorpasswort des heimischen Routers (nach der "Correct Horse Battery Staple"-Methode). IT-Administratoren sollten ihre Passwörter ebenfalls genauer unter die Lupe nehmen, um nicht ungewollt zum Helfershelfer eines Angreifers zu werden.

Das Bewusstsein für Datenschutz schärfen
Wenn Sie für Ihre Konten die Zwei-Faktor-Authentifizierung aktivieren und bessere Passwörter erstellen, haben Sie schon viel für mehr Sicherheit getan. Es schadet allerdings trotzdem nicht, einen Schritt zurückzutreten und das eigene Datenschutzbewusstsein in Sachen Online-Transaktionen zu überprüfen.

Alexandra Ross, Anwältin und Datenschutz-Guru , erläutert die Vorteile der Datenminimierung sowohl für die Unternehmen, die Daten erfassen, als auch für Verbraucher, die sie zur Verfügung stellen:

"Es ist sehr wichtig, einen Moment lang innezuhalten und sich bewusst zu machen, was gerade passiert. Welche Daten werden abgefragt, wenn ich mich bei einem Social-Media-Dienst registriere? Und wozu dienen sie? Es lohnt sich, die Datenschutzrichtlinien von Apps und Online-Diensten oder die Kundenmeinungen zu lesen."

Und: "Marketing-Teams von IT-Unternehmen wollen oft kategorisch alle Daten sammeln. Das Motto lautet: ‚Lasst uns umfassende Nutzerprofile anlegen, die alle Bereiche abdecken, damit möglichst viele nützliche Daten zur Verfügung stehen‘. Wenn man aber etwas genauer nachfragt und die wichtigen Punkte klärt, findet man heraus, welche Daten wirklich notwendig sind."

Auch der Datenwissenschaftler Kaiser Fung weist darauf hin, dass die Sammelwut häufig völlig unbegründet ist:

"Es geht nicht nur um die Menge der Daten, sondern auch darum, dass Daten heutzutage ohne jeden Sinn und Zweck gesammelt werden. Diejenigen, die sie erheben, wissen oft gar nichts über die Probleme, die sich im Geschäftsalltag stellen."

Von daher unsere Botschaft an alle IT- und Marketing-Experten: Überlegen Sie gut, was Sie tun, bevor Sie das nächste Kontaktformular absenden!

Ross und andere Verfechter des Privacy-by-Design-Konzepts predigen schon lange den Grundsatz der Datenminimierung: Je weniger Daten gespeichert sind, umso geringer ist das Sicherheitsrisiko bei einem Angriff. Als Datenschutz-Guru erinnert Ross daran, dass in den Filesystemen diverser Unternehmen noch immer jede Menge Daten über uns herumschwirren. Scott Schober , Sicherheitsexperte und Autor von "Hacked Again", kommt aus eigener Erfahrung zum selben Schluss:

"Ich habe bei einer Veranstaltung einen Vortrag gehalten. Jemand fragte, ob er mir zeigen dürfte, wie leicht er meine Daten herausfinden und meine Identität missbrauchen könne. Ich zögerte, erklärte mich dann aber zu diesem Experiment bereit. Alles andere ist sowieso bekannt und ich weiß, wie einfach man an die Daten der Leute kommt. Ich war also das Versuchskaninchen. Kevin Mitnick, einer der bekanntesten Hacker der Welt, gab den Dieb. Innerhalb von 30 Sekunden hatte er meine Sozialversicherungsnummer herausgefunden. Kostenpunkt: 1 Dollar."

Grundsätzlich ist nichts dagegen einzuwenden, dass Unternehmen personenbezogene Daten speichern. Es geht vielmehr darum, sich gut zu überlegen, welche Daten man preisgibt, und zu bedenken, dass Sicherheitsvorfälle in Unternehmen inzwischen zum Alltag gehören. Kreditkarten können ersetzt, Passwörter geändert werden. Doch Angaben zu persönlichen Vorlieben und Sozialversicherungsnummern ändern sich nicht und sind ein beliebtes Social Engineering-Ziel.

Daten sind wertvoll
Wir haben uns mit zahlreichen Anwälten und Datenwissenschaftlern unterhalten. Bennett Borden ist beides in einer Person. Sein beruflicher Hintergrund ist bemerkenswert: Er ist nicht nur Prozessanwalt bei der Kanzlei Drinker Biddle, sondern darüber hinaus auch noch Datenwissenschaftler. Borden hat Artikel in juristischen Fachzeitschriften über die Anwendungsfelder des maschinellen Lernens, die Dokumentenanalyse, E-Discovery und andere juristische Themen verfasst.

Borden erläutert, wie wir als Angestellte in Form von E-Mails und Dokumenten alle eine digitale Spur hinterlassen, die sehr aufschlussreich sein kann. Er weist darauf hin, dass solche Daten für Anwälte nützlich sein können, die den fairen Wert eines Unternehmens bei einer potenziellen Übernahme ermitteln wollen. Er selbst sollte einmal eine Datenanalyse für einen Kunden durchführen und konnte aufzeigen, dass der Kaufpreis des Unternehmens laut internen Diskussionen zu hoch war:

"Der Preis verringerte sich daraufhin um mehrere Millionen Dollar. Und da wir heutzutage viel schneller an solche Daten gelangen, weil sie in elektronischer Form vorliegen, konnten wir dasselbe Prozedere seither viele Male wiederholen."

Informationen sind also auch rein in geschäftlicher Hinsicht wertvoll. Für Varonis ist das nichts Neues, doch es ist trotzdem immer wieder aufschlussreich, es von jemandem zu hören, der sich beruflich mit Unternehmensdaten beschäftigt.

Zusammenfassend lässt sich sagen, dass wir als Verbraucher und als Mitarbeiter von Unternehmen mit sozialer Verantwortung alle sorgfältiger mit dem wertvollen Gut Daten umgehen sollten: Daten und Informationen nicht leichtfertig preisgeben und sie schützen, wenn sie sich in unserem Besitz befinden.

Mehr als nur ein gut gemeinter Rat
Das Thema Privacy by Design kam in einigen unserer Expertengespräche auf. Einer der Grundsätze, datenschutzfreundliche Standardeinstellungen, ist für Unternehmen besonders schwer zu akzeptieren. Und das, obwohl der Datenschutz im Rahmen des PbD-Konzepts eben kein Nullsummenspiel ist: Es ist durchaus möglich, umfassende Datenschutzmaßnahmen zu ergreifen und dabei weiterhin Gewinne zu erzielen.

Für Unternehmen, die in der EU tätig sind, ist Privacy by Design ohnehin ab 2018 gesetzlich vorgeschrieben. Das Konzept wird in Artikel 25, "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen", explizit dargelegt.

Wir thematisieren die Datenschutz-Grundverordnung (DS-GVO) und ihre zahlreichen Auswirkungen seit zwei Jahren. Doch eine Auswirkung, die häufig übersehen wird, ist, dass die DSGVO auch für Unternehmen außerhalb der EU gelten wird.

Die Expertin für Compliance im Bereich Datensicherheit Sheila Fitzpatrick hat diesen Aspekt im Gespräch mit uns besonders hervorgehoben:

"Der andere Punkt, an dem sich die DSGVO stark von anderen Rechtsakten unterscheidet (und das ist ein Konzept, das noch nicht oft umgesetzt worden ist): Sie gilt nicht nur für Unternehmen innerhalb der EU. Jedes Unternehmen, das Zugriff auf personenbezogene Daten von EU-Bürgern hat, muss die Bestimmungen der DSGVO einhalten, ganz gleich, wo die Standorte sind und ob das Unternehmen über Niederlassungen in der EU verfügt. Das ist eine bedeutsame Änderung."

Dieses Rechtsprinzip wird auch als "Extraterritorialität" bezeichnet. Insbesondere E-Commerce-Unternehmen und Anbieter von Webdiensten in den USA sind von der DSGVO betroffen, wenn sie mit EU-Bürgern zu tun haben. Damit werden Best Practices in der IT, die Experten für ratsam halten, zu gesetzlichen Vorgaben. Unternehmen und Verbraucher sollten vorausschauend handeln und sich darauf vorbereiten PbD-Konzepte, den Grundsatz der Datenminimierung, die Einwilligung betroffener Personen und des Datenschutzes umzusetzen. (Varonis: ra)

eingetragen: 14.03.17
Home & Newsletterlauf: 13.04.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

  • Zugriffskontrolle & Berechtigungsmanagement

    Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen - und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University's Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

  • Schutz der Privatsphäre als Standard

    Dr. Ann Cavoukian, eine kanadische Datenschützerin, hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Privacy by Design ist übrigens ganz und gar keine neue Idee und wurde bereits 1990 entwickelt. Es erlangt allerdings vor allem in Bezug auf das Internet der Dinge wieder verstärkt Bedeutung. Gerade in der Wirtschaft war und ist allerdings vielfach zu hören, dass sich Privacy by Design-Grundsätze nur eingeschränkt mit technologischem Fortschritt und wirtschaftlicher Prosperität verbinden lassen. Das sieht Cavoukian, die auch Regierungsbehörden und Unternehmen berät, anders. Ihrer Meinung nach lässt sich ein Big Data-Anspruch sehr wohl mit dem Schutz der Privatsphäre verbinden. Die Botschaft von Cavoukian mutet simpel an, die ehemalige Politikerin und Wissenschaftlerin ist aber überzeugt, dass es möglich ist Daten zu erheben und gleichzeitig die Privatsphäre zu schützen.

  • DDoS-Angriffe, die unterschätzte Gefahr

    Distributed-Denial-of-Service (DDoS)-Attacken haben es in den letzten Monaten und Wochen zu einiger Popularität gebracht. Eine ganze Reihe von spektakuläre Angriffen hat die Headlines beherrscht (und das nicht nur wie sonst in den Fachmedien). Dazu gehörten beispielsweise die Angriffe auf fünf große russische Banken sowie das UK "FBI" wie The Register vermeldete. Und am Montag dieser Woche staatliche Server in Luxemburg. Im Licht dieser Attacken betrachtet wird schnell deutlich wieso es für Firmen und Institutionen so wichtig ist, sich vor den potenziellen und zum Teil nicht sofort ersichtlichen Folgen eines solchen Angriffs zu schützen. DDoS-Angriffe sind längst nicht mehr allein dazu da einen bestimmten Dienst, eine bestimmte Website, ein Unternehmen durch eine Flut von Serveranfragen lahm zu legen. Sie haben sich inzwischen deutlich weiter entwickelt und dienen immer häufiger dazu groß angelegte Cyberangriffe zu verschleiern. Dazu gehören alle Arten von Datenschutzverletzungen, die nicht zuletzt finanzielle Schäden anrichten.