Security Insider – ZUKUNFT DER IT-SICHERHEIT

ZUKUNFT DER IT-SICHERHEIT

Liebe Leserinnen und Leser, viele Experten sehen künstliche Intelligenz als Schlüsselelement in der nächsten Generation von IT-Sicherheitslösungen und sogar als Heilsbringer der ganzen Branche, mit der wir endlich den Wettlauf zwischen Cyberkriminellen und IT-Security-Teams gewinnen. Ich selbst bin mir da aber nicht ganz so sicher.

Zugegeben, KI eröffnet in der IT-Sicherheit vielfältige neue Möglichkeiten: Zum Beispiel bei der proaktiven Bedrohungserkennung oder der automatisierten Reaktion auf Angriffe. Aber löst das wirklich unsere Probleme? Und da meine ich nicht, dass KI genutzt wird, um Cyberangriffe „noch schlimmer“ zu machen, das können Cyberkriminelle auch ohne KI ganz gut. Ich meine den immer größer werdenden Fachkräftemangel in der IT, den KI höchstens verzögert aber nicht löst. Oder das Risiko der Quantencomputer, durch die sensible Daten in nie dagewesenem Ausmaß in Gefahr sind. Und was ist mit den Milliarden vernetzten Devices, so schön verniedlichend „Internet of Things“ genannt, in Wahrheit aber eine Katastrophe auf Abruf, wenn dort Security by Design und Security by Default nicht endlich Standard werden.

Das klingt jetzt vielleicht düster, ist aber gar nicht so gemeint! Es soll illustrieren, dass es in der IT-Security künftig zwar auch um KI gehen wird, aber auch um noch viel mehr! Experten und Forschende sind in Deutschland und weltweit drauf und dran, die IT-Welt ein Stück sicherer zu machen. Kommen sie mit auf eine Reise in die „Zukunft der IT-Sicherheit“ und entdecken Sie, welche spannenden neuen Entwicklungen und welche Herausforderungen uns noch bevorstehen.

Viel Spaß beim Lesen! Herzlichst, Ihr

IMPRESSUM

Vogel IT-Medien GmbH

Anschrift Max-Josef-Metzger-Str. 21 86157 Augsburg

Telefon +49 (0) 821/2177-0

Web www.ecurity-Insider.de

Geschäftsführer Werner Nieberle, Günter Schürger, Tobias Teske

Chefredakteur Peter Schmitz, V.i.S.d.P., peter.schmitz@vogel.de

Sales insider.sales@vogel.de

Erscheinungstermin Oktober 2023

Titelbild sasun Bughdaryan/stock.adobe.com

Haftung Für den Fall, dass Beiträge oder Informationen unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich gekennzeichnet sind, ist der jeweilige Autor verantwortlich.

Copyright Vogel IT-Medien GmbH. Alle Rechte vorbehalten. Nachdruck, digitale Verwendung jeder Art, Vervielfältigung

DIE ZUKUNFT DER KI – WAS KOMMT NACH CHATGPT? +++ DIE ZUKUNFT DER

KÜNSTLICHE INTELLIGENZ

Wenn die Frage im Raum steht, wie es mit der Entwicklung der Künstlichen Intelligenz weitergehen könnte, so liegen bereits jetzt zwei Wege klar vor uns. Zum einen die Schaffung von Multi-Tools, die die unterschiedlichsten Aufgaben übernehmen können, zum anderen der Aufbau von Netzen, die aus vielen verschiedenen KI-Lösungen bestehen und die konkrete Tätigkeiten durchführen. In diesem Artikel wollen wir uns ansehen, wie diese Lösungen jeweils aussehen und was dabei zu beachten ist.

Der erste zukünftige Trend – die Schaffung von übergreifenden Werkzeugen – lässt sich schnell erklären. Heute existieren generative Generatoren wie ChatGPT (Chat Generative Pre-trained Transformer), Bildgeneratoren wie Midjourney und viele andere Werkzeuge, die spezielle Aufgaben lösen können, nebeneinander. Für die Zukunft ist zu erwarten, dass diese Tools zusammenwachsen und KI-Lösungen entstehen, die sowohl Texte, als auch Bilder, als auch Musik und Sprache und so weiter erzeugen und verarbeiten. Diese Werkzeuge werden für den allgemeinen Gebrauch überall zur Verfügung stehen und die Gesellschaft und das Zusammenleben deutlich verändern. Zum Beispiel gibt es wegen des Einflusses von ChatGPT schon jetzt Stimmen, die davon ausgehen, dass sich die Prüfungen in Schulen in Zukunft stark verändern könnten. Anstatt auf Hausarbeiten und Klausuren zu setzen, sollen mündliche Prüfungen wieder deutlich an Bedeutung gewinnen.

Wenn die KI-Tools nicht mehr nur Texte, sondern auch andere Medien wie Bilder und Musik, beziehungsweise Sprache (hier wären zum Beispiel automatisierte Telefongespräche vorstellbar), ausgeben können, so wird das noch deutlich weitere Auswirkungen auf die Gesellschaft haben, als das eben geschilderte Prüfungsproblem. Man kann hier beliebig weit gehen und verschiedene Gedankenexperimente durchgehen. So wäre es beispielsweise denkbar, dass KI-Werkzeuge 3D-Drucker ansprechen und auf diese Art und Weise Bauteile, Skulpturen und Ähnliches schaffen.

Dies ist durchaus problematisch, insbesondere deshalb, weil KI-Lösungen ja keineswegs darauf beschränkt sind, zum Wohl der Gesellschaft zu arbeiten, sondern auch für Lug und Betrug Verwendung finden. In diesem Zusammenhang ist bereits heute die Rede davon, dass Textgeneratoren Webseiten und Soziale Netze auswerten können, um die Vorlieben und Interessen bestimmter Personen herauszubekommen und dann eine genau an diese Interessen angelehnte Spear-Phishing-

Mail an das jeweilige Opfer zu schreiben, um diesem Informationen zu entlocken. Die Recherchearbeiten für das Erstellen von Spear-Phishing-Mails gehen also genauso zurück, wie der Übersetzungsaufwand und gleichzeitig steigt die Textqualität dieser Mails an, so dass sie sich kaum noch von echten Anfragen unterscheiden lassen. Das gleiche gilt für die Erzeugung und Verbreitung von Fake News.

Denkt man diese Problematik weiter, so könnten zukünftige KI-Multitalente beispielsweise Bilder fälschen, die unterschiedlichsten Deep Fakes erstellen und so die Stabilität der Gesellschaft untergraben.

“Mit Hilfe von KI lassen sich Audio- und Videofälschungen mit nur einem kurzen Ausschnitt aus der Stimme einer Person oder einem aufgezeichneten Video erstellen. Dies eröffnet Bedrohungsakteuren neue Angriffsmöglichkeiten, denen die Branche mit einer Kombination aus KIgestützten Abwehrsystemen und bewährten Security Awareness Services begegnen muss.“

Deswegen gibt es diverse Stimmen, die eine Regulierung fordern und sagen, KI-Modelle müssten daran gehindert werden, in beliebige Richtungen Verwendung zu finden. Unter anderem darum ist auch ChatGTP nicht Open Source. Auf diese Weise kann der Hersteller OpenAI Regeln und Filter einbauen, die verhindern, dass das Tool unerwünschte Dinge tut und beispielsweise bei der Planung eines Banküberfalls hilft. Allerdings gibt es in diesem Bereich auch Jailbreaks zum Umgehen der Filter und in der Praxis müssen wir davon ausgehen, dass sich die beiden beteiligten Seiten gegenseitig immer mehr hochschaukeln.

Bereits heute existiert zudem eine große Zahl an Open-Source-KI-Lösungen, die keinerlei Beschränkung unterliegen und die qualitativ immer besser werden. Dazu gehören unter anderem LLaMA, MPT-7B und OPT. Diese kommen zwar mit unterschiedlichen Lizenzen und Aufgabengebieten, der Geist ist hier aber aus der Flasche und es wird unmöglich sein, ihn wieder einzusperren. Es bleibt folglich nur die eben genannte Lösung, die Anwender in die Lage zu versetzen, Gefahren zu erkennen und Strukturen zu schaffen, die Missbrauch minimieren, beispielsweise dadurch, dass man keine Bestellungen mehr per E-Mail aufgeben kann oder es unmöglich macht, Verträge am Telefon abzuschließen.

Besuchen Sie Zscaler auf der IT-SA 2023 und lernen Sie Zero Trust aus der Cloud ohne Kompromisse kennen:

User, Workloads und IoT/OT-Geräte in jedem Netzwerk und an jedem Standort werden durch die Zero Trust Exchange Plattform abgesichert. KI-basierter Schutz durch Risk360 als Grundlage für Sicherheit und Produktivität.

Treffen Sie unsere Experten vor Ort!

Halle: 7A, Standnummer 304 10.-12. Oktober 2023, Nürnberg

Empowering your business to be secure, simple and productive.

• Au tomatisierte Analyse von Advanced Malware und Phishing Threats

• Automatisierte Alert Validierung und Alert Triage

• Generierung zuverlässiger, sofort umsetzbarer Threat I ntelligence

Netzwerke aus unterschiedlichen KI-Lösungen

Ein zweiter Trend, der für die zukünftige Entwicklung der KI zu erwarten ist, liegt in der Kombination unterschiedlicher KI-Modelle, von denen ein Modell dem anderen Feedback gibt, um bestimmte Eigenschaften zu lernen. Unterschiedliche Modelle könnten sich auf diese Art und Weise „hochschaukeln”.

„Diese Idee wird zurzeit auch für das sogenannte ‚Superintelligence Alignment‘ zur Steuerung sehr leistungsfähiger KIs untersucht. So wie bei ChatGPT menschliches Feedback zum Einsatz kommt, soll hier eine KI auf die Ausgaben einer anderen KI reagieren“,

erklärt Dr. Jörg Herbers , Geschäftsführer der Inform GmbH.

Ähnliche Interaktionen werden auch im Bereich der IT-Sicherheit realisiert. So läuft an der Universität Lübeck derzeit beispielsweise ein Projekt namens “PeT-HMR”, das das Ziel verfolgt, Penetrationstests mit Hilfe von KI zu automatisieren. Am Ende der Entwicklung soll eine Lösung stehen, die es möglich macht, weit verbreitet und kostengünstig zu testen. Dabei werden sich die einzelnen Komponenten der Lösung ständig selbst verbessern und neue Schwachstellen integrieren. Das bedeutet, die Runtime Detection des Systems lernt während des Betriebs immer neue Angriffsmuster kennen (die Quelle dafür könnte unter anderem ein Honeypot sein), abstrahiert sie und teilt sie dem eigentlichen Penetrationstestwerkzeug mit. Dieses verwendet die neuen Muster dann, um automatisiert neue Attacken durchzuführen, was dabei hilft, Schwachstellen effizient und präzise zu identi -

fizieren. Die gewonnenen Erkenntnisse werden dann an die Detection Engine zurückgegeben. So lernen diese Engine und das Werkzeug für Penetrationstests immer mehr voneinander und wirken in einem Zyklus zusammen.

Es gibt aber nicht nur Szenarien, in denen die KI-Modelle zusammenarbeiten, sondern es existieren auch Einsatzbereiche, in denen eine KI gegen eine andere eingesetzt werden muss. So gibt es beispielsweise im Darknet das KI-Modell FraudGPT, das Betrugsfälle und PhishingMails entwickelt. Hier wird es KIs geben, die dabei helfen, diese Angriffsversuche zu neutralisieren.

Ein anderes Thema, das uns laut Dr. Herbers in diesem Zusammenhang ins Haus steht, ist das Orchestrieren von Abläufen. „GPT-4 kann das beispielsweise schon jetzt. So kann GPT-4 zum Beispiel einen Abend mit Kollegen in einem Restaurant koordinieren“, so Herbers. Auf vergleichbare Weise, nämlich mit einem Kalender-Lookup und Terminvorschlägen, ließen sich auch andere Termine über KIs planen.

Einsatzbereiche zukünftiger

KI-Lösungen

Was die Aufgabenfelder angeht, in denen wir zukünftig mit KI-Lösungen rechnen müssen, so sind die Antworten vielfältig.

EMEA/APAC/LATAM

bei Veracode sagt dazu:

“An den Einsatz von generativer KI wie ChatGPT werden Unternehmen in Zukunft nicht vorbeikommen. Ihre Verwendung wird die Arbeitslast der Mitarbeitenden, vor allem wenn es um aufwendige Aufgaben wie zum Beispiel Recherche, Know-how-Nutzung, Anwendungs- oder Prozessentwicklung geht, reduzieren. Das spart Zeit und ermöglicht die Beschäftigung mit Innovation und Weiterentwicklung. Vor allem in Bereichen, in denen Fachkräfte fehlen, wie Informatik, Software-Entwicklung und Cybersicherheit, hat generative KI enorme Bedeutung. Denn die KI-Modelle bieten einen leistungsstarken Mechanismus zur Nutzung von Intelligenz aus großen Datenmengen.”

KI in der Entwicklung

KI-Lösungen lassen sich unter anderem nutzen, um automatisch Sicherheitslücken in Softwarecode zu finden, eignen sich aber auch zur Problembehebung. So können Software-Entwickler auf automatisierte Lösungsvorschläge zurückgreifen und Softwarecode in einem Bruchteil der Zeit absichern, der ohne KI gestützte Lösungen anfallen würde. Allerdings reichen dafür KI-Modelle wie beispielsweise ChatGPT, die auf der Basis des öffentlichen Internets trainiert werden, nicht aus. Hier braucht man „Responsible AI“, die mit Hilfe von spezifischen Datensätzen trainiert wird, die auf Erfahrungen in genau dem Umfeld basieren, in dem die KI zum Einsatz kommt. In solchen Spezialgebieten lässt sich auch verhindern, dass das Training der KI auf Basis ethisch bedenklicher Daten stattfindet. Denn entscheidend für Responsible AI ist, wo diese Trainingsdaten herkommen, von welcher Qualität sie sind und wie die KI mit ihnen umgeht.

“Der Fokus der Arbeit von IT-Experten wird sich mit zunehmendem Leistungsvermögen der KI von ausführenden auf steuernde Tätigkeiten verlagern”,

ist sich Christophe Zwaenepoel , Managing Director bei SThree, sicher.

Auch er vertritt also die Meinung, dass KI-Lösungen hilfreich sein können, wenn es darum geht, die Arbeitsüberlastungen, die beispielsweise durch den Fachkräftemangel im Bereich der Cybersicherheit bestehen, abzubauen.

Die zukünftige Bedeutung von KI

in Unternehmen

Betrachtet man KI im generellen Unternehmenseinsatz, so wird sie in den nächsten Jahren in zweierlei Hinsicht von Bedeutung sein. Bei vielen Organisationen – beispielsweise bei Software-Häusern – erwarten die Kunden, dass sie zum Bestandteil des Produktportfolios wird. Die Kunden könnten in diesem Fall nur noch Produkte mit KI-Integration in die engere Wahl aufnehmen, selbst dann, wenn die KI für die eigentliche Funktionalität der Lösung keine oder nur eine geringe Rolle spielt. Unternehmen sind also gezwungen, KI-Features in ihre Produkte zu integrieren.

Auf der anderen Seite müssen Unternehmen auch analysieren, inwieweit KI ihnen bei ihrem allgemeinen Geschäftsalltag helfen kann.

„Stichworte hier sind ‚ Beschleunigung der Arbeit‘ oder auch ‚Unterstützung bei der Arbeit‘“,

„Dabei ist zu bedenken, dass die KI kein Angstmacher für die Belegschaft sein darf, nach dem Motto ‚Die nimmt mir meinen Job weg‘. Stattdessen sollte sie als eine Art Assistent gesehen werden, der beim Ausfüllen von Formularen hilft und Geschäftsprozesse beschleunigt.“

In der Praxis wird es wohl so aussehen, dass die Unternehmen für ihr Kerngeschäft eigene Algorithmen entwickeln werden. Beim Erzeugen von Inhalten dürfte es aber reichen, auf Best-of-Breed-Lösungen wie ChatGPT oder auch Document AI von Google zu setzen.

Fazit

Der erste Hype um die Large Language Models ist vorbei. Derzeit sinken die Zugriffszahlen auf die entsprechenden Werkzeuge, obwohl diese teilweise beeindruckende Fähigkeiten unter Beweis stellen konnten.

„Die Ausnutzung dieser neuen Fähigkeiten beginnt aber gerade erst“, so Dr. Herbers abschließend.

„In Zukunft könnten spezielle Modelle spezielle Fragestellungen angehen, und die Transformer-Technologie – die es ja erst seit 2017 gibt – wird jenseits von Sprache noch ganz andere Probleme lösen, wie beispielsweise in Zusammenhang mit der Vorhersage von Proteinfaltungen. Es steht uns also noch viel bevor.“

Autor: Dr. Götz Güttich

Die Lieferketten in der IT-Industrie sind heute meist noch weitgehend intransparent, einzelne Komponenten sind potenziell angreifbar. Abhilfe schaffen könnten zukünftig sogenannte Software Bill of Materials (SBOM). Ein SBOM ist eine Stückliste aller Software-Bestandteile.

Gibt es bald Verordnungen und Richtlinien auf EU- und Bundesebene, die verpflichtend für Transparenz sorgen?

Bringen SBOM bald Transparenz in die IT-Lieferketten?

Das wesentliche Problem in der IT-Lieferkette ist Intransparenz, kaum jemand weiß, welche Softwarebestandteile, also Bibliotheken und Bausteine anderer Anbieter, Hersteller, Open SourceLösungen oder Ähnliches in einer Anwendungssoftware enthalten sind – und was davon möglicherweise nicht sicher ist. Beispiele für Angriffe auf die IT-SupplyChain gib es viele. Etwa im Dezember 2021 wurde bekannt, dass die Bibliothek Log4J eine angreifbare Sicherheitslücke enthielt. Diese Bibliothek wird in einer unübersehbaren Zahl von Anwendungen eingesetzt, häufig im Backend von Softwareprodukten, die als „Software as a Service“ aus der Cloud ausgeliefert werden. Die Liste der betroffenen Anbieter liest sich wie das Who‘s Who der IT-Industrie.

Gemäß dem Annual Data Breach Report 2022, herausgegeben vom Identity Theft Resource Center, wurden im selben Jahr deutlich mehr Menschen Opfer von Angriffen auf die Lieferkette als von direkten Malware-Angriffen. Auch ENISA, Agentur der Europäischen Union für Cybersicherheit, stellte im Juli 2021 fest, dass die Mehrzahl (66 Prozent) der Attacken auf den Software-Code der Anbieter in der IT-Lieferkette zielen. Die zunehmende Verbreitung von Cloud Services ist ein logischer Grund für die steigende Zahl der Supply Chain Angriffe. Da diese Angriffe

nicht direkt die IT-Infrastruktur der Unternehmen angreifen, sondern über als vertrauenswürdig geltende IT-Services Dritter eingeschleust werden, erweisen sich die üblichen Schutzmaßnahmen der betroffenen Unternehmen oft als wirkungslos.

Gesetzgeber arbeiten an verpflichtenden Vorgaben

Um dieses Problem zu lösen, verlangt beispielsweise die U.S.-Administration die Bereitstellung und Verwendung von SBOM durch Lieferanten. Das schreibt eine Executive Order aus dem Mai 2021 vor, die später durch das U.S. Department of Commerce und das U.S. National Institute of Standards and Technology (NIST) konkretisiert wurde. Jeder Lieferant von Software, die an die U.S.Administration geliefert oder von dieser genutzt wird, muss danach künftig SBOM bei der Entwicklung einsetzen und SBOM mit der Software bereitstellen.

In der EU ist die „Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“, der sogenannte „Cyber Resilience Act“ in Vorbereitung. Hersteller, Importeure und Händler von Produkten mit „digitalen Elementen“ werden durch diese Verordnung zu einer Reihe von Maßnahmen verpflichtet, die der Verbesserung der IT-Sicherheit dienen sollen, u.a. der Bereitstellung einer Soft-

ware-Stückliste. Hersteller sollen „feststellen und dokumentieren, welche Komponenten in den Produkten mit digitalen Elementen enthalten sind“.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang August 2023 Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. In dem Dokument sind formelle und fachliche Vorgaben für Software-Stücklisten (SBOM) enthalten, die Softwareherstellern als Empfehlung zur Gestaltung von SBOMs zur Erhöhung der Sicherheit in der Software-Lieferkette dienen sollen.

Stücklisten für alle eingesetzten Komponenten

Die Vorschriften und Empfehlungen richten sich zunächst an Anbieter von Software. Sie sind angehalten, maschinenlesbare SBOM für die von Ihnen gelieferte Software bereitzustellen, um Anwendern die nötigen Informationen zur Risikobewertung zu liefern. Daraus entsteht noch keine Pflicht zur Nutzung dieser Informationen durch Anwender. Es ist aber zu erwarten, dass vor allem größere Anwender SBOMs zur internen Risikobewertungen ihrer IT nutzen werden. Im Bereich kritischer Infrastrukturen wird die NIS-2-Richtlinie Entsprechendes vorschreiben. Es ist deshalb davon auszugehen, dass die

Bereitstellung und Nutzung von SBOMs sich breit durchsetzen und etablieren wird.

Allerdings berücksichtigen die bisher beschriebenen SBOM-Konzepte die erweiterten Anforderungen durch die Nutzung von Cloud Services, sei es als SaaS, über Cloud APIs oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht. Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware werden durch SBOMs nicht berücksichtigt. Perspektivisch wird das Konzept der SBOMs deshalb auf allgemeinere Bill of Materials (BOMs) erweitert. Dadurch kann nicht nur Transparenz in Bezug auf die verwendete Software (SBOM) geschaffen werden, sondern auch für alle anderen eingesetzten Komponenten wie Software as a Service Bill of Materials (SaaSBOM), Hardware Bill of Materials (HBOM) und Operations Bill of Materials (OBOM).

Verschiedene

SBOM-Datenformate

Es existieren verschiedene Datenformate für SBOM. ISO-Standards existieren für die Formate SPDX und SWID, während OWASP den Standard Cyclone DX verabschiedet hat. SWID und SPDX dienen hauptsächlich der eindeutigen Identifikation von Software für verschiedene Zwecke, nicht nur

für Sicherheitsaspekte. Im Gegensatz dazu konzentriert sich Cyclone DX auf die Sicherheit von Anwendungen und die Analyse der Komponenten der Supply Chain, einschließlich Hardware-Komponenten und Cloud Services. Obwohl die Formate nicht vollständig miteinander kompatibel sind, können Teile der Informationen, die in einem Format gespeichert sind, in ein anderes Format übertragen werden.

Die Mindestanforderung besteht darin, die in eine Anwendung eingebaute Komponente und deren jeweilige Version konkret zu benennen. Im Sinne der Transparenz und der Risikobewertung sollten Software-Lieferanten SBOMs für jede in einem Unternehmen eingesetzte Software bereitstellen. Im Laufe des Entwicklungszyklus der Software muss diese SBOM auch bei jedem Release und Update aktualisiert werden. Dazu ist es sinnvoll, die Erzeugung und Bereitstellung von SBOMs in die CI/CD-Pipeline zu integrieren. Dies hilft Lieferanten, SoftwareAbhängigkeiten zu verwalten und bietet Kunden Funktionen, um die einzelnen Komponenten ihrer Software besser zu verstehen. Die Inhalte der SBOM für eingesetzte Software können dann in den Schwachstellenmanagement-Prozess einfließen und als Grundlage für regelmäßige Scans gegen bekannte Schwachstellen verwendet werden.

SBOMs lösen nicht alle Probleme der IT-Sicherheit, sie sorgen aber für Transparenz in der IT-Lieferkette. SBOMs liefern damit die Basis für verbesserte Einschätzung von Bedrohungen und Risiken in der IT-Lieferkette und für weitergehende Maßnahmen zu Verbesserung der IT-Sicherheit. Die Bereitstellung und Nutzung von SBOMs wird bereits jetzt oder in naher Zukunft vom Gesetzgeber gefordert, zumindest in bestimmten Bereichen. Anwender sollten unabhängig davon von Lieferanten die Bereitstellung von SBOMs fordern, Anbieter sollten SBOMs für alle ihre Kunden bereitstellen.

Autor: Oliver Dehning

OLIVER DEHNING ist Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.

KI wird zum Gamechanger der Cybersicherheit. Durch neue Methoden werden Angriffe immer ausgefeilter und anspruchsvoller. Traditionelle Sicherheitsmaßnahmen reichen nicht mehr aus, um Gefahren zu erkennen und abzuwehren. Doch auch Sicherheitsexperten können profitieren. Durch den Einsatz von KI schaffen sie Abwehrmechanismen, die Bedrohungen schneller und effektiver erkennen und bekämpfen.

Künstliche Intelligenz als Katalysator für Angreifer und Sicherheitsexperten

Mehr Sicherheit durch KIgestützte Datenwissenschaft und Machine Learning

In der Sicherheitswelt ermöglicht Datenwissenschaft die nahezu Echtzeit-Erkennung böswilliger Aktivitäten, indem unzählige Informationen aus Netzwerken und anderen Quellen verarbeitet werden. Algorithmen helfen dabei, Daten zu interpretieren und Muster aufzudecken.

Um diese riesigen Datenmengen effektiver zu verarbeiten, nutzen Experten Automation und Machine Learning (ML). Der Einsatz von ML in der IT-Sicherheit bietet mehrere Vorteile,

darunter die schnellere Erkennung von Angriffen, höhere Genauigkeit und automatisierte Abwehrmaßnahmen.

Machine Learning wird bei der Erkennung und Abwehr von Cyberangriffen auf verschiedene Weise angewandt:

• Aufdeckung anomaler Verhaltensmuster im Netzwerkverkehr

• Malware-Erkennung und Blockierung ähnlicher MalwareDateien

• Phishing-Erkennung durch Identifikation verdächtiger E-Mails

• Identifikation von Angriffsvektoren und Schließung von Schwachstellen

• Entwicklung eines effektiven KI-Modells zur Cybersicherheit

Eine gut konstruierte Datenbasis ist entscheidend für die Entwicklung einer leistungsfähigen KI zur Cybersicherheit. Sie sollte ausreichend und vielfältig sein, um verschiedene Sicherheitsszenarien abzudecken und komplexe Angriffe zu bewältigen. Die Güte der Daten, ihre Sauberkeit, Aktualität und Repräsentativität spielen ebenfalls eine wichtige Rolle.

Datenqualität und -auswertung auf höchstem Niveau

Es gibt verschiedene Algorithmen und Modelle, die je nach Datenart und spezifischen Zielen der KI-Anwendung eingesetzt werden können, z. B. neuronale Netze, Entscheidungsbäume, Random Forests und Support Vector Machines. Eine sorgfältige Anpassung und Optimierung der Parameter sind erforderlich, um die beste Leistung zu erzielen. Die Validierung und Überwachung der KI-Ergebnisse setzt Fachwissen über die Dateninhalte voraus und ist ein fortlaufender Prozess, um die Genauigkeit und Effektivität der KI zu verbessern.

Sicherheitsspezialist Akamai ist führend in KI-gestützer Cybersecurity

Akamai verfügt über eine umfangreiche und zuverlässige Datenbasis mit täglich mehr als 300 TB an neuen Angriffsdaten und einer konsolidierten Datenbasis von neun Petabytes. Zur Bearbeitung dieser Mengen setzen die Experten auf fortschrittliche KI-Modelle wie Deep Learning Neural Networks, Unsupervised Machine Learning und Adversarial Machine Learning Modelle. Akamai investiert außerdem in 400 interne Sicherheitsexperten, die Angriffe rund um die Uhr verfolgen, untersuchen und abwehren. Die tägliche Validierung und Überwachung der KI-Modelle stellt sicher, dass die Abwehrmechanismen stets effektiv auf sich ändernde Bedrohungslagen reagieren können.

WE TALK SECURITY

Wir podcasten über Nachrichten und Meinungen rund um IT-Sicherheit, Datenschutz und Compliance.

Wir liefern Einschätzungen, Tipps und neue Einblicke in spannende Themen für Security-Profis Der Podcast zur

SAGEN SIE

PHISHING DEN KAMPF AN

Die Bedrohung durch Cyber-Angriffe ist so hoch wie nie zuvor – so lautet auch die Einschätzung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahresbericht 2022 . Einer der Gründe dafür ist schnell gefunden: die Corona-Krise als Antreiber für die Digitalisierung in Unternehmen. Homeoffice und die verstärkte Nutzung digitaler Kommunikationskanäle boten Cyber-Kriminellen von jetzt auf gleich deutlich mehr Angriffsfläche. Mittlerweile ist die Pandemie vorbei – das digitale Arbeiten aber bleibt. Was bedeutet das für Sie und Ihr Unternehmen?

Phishing bedroht auch Ihr Unternehmen

Phishing ist die Nummer 1 der E-Mailbasierten Bedrohungen für Unternehmen in Deutschland. Während herkömmlicher Spam „lediglich“ ungefragte Werbung für Sie bedeutet, dienen Phishing-Mails kriminellen Absichten.

Die Erfolgsquote für Cyber-Kriminelle ist hoch. Phishing-Mails sind darauf ausgerichtet, Vertrauen zu wecken und wirken in ihrer Aufmachung authentisch. Ihre Mitarbeitenden erkennen in der Regel also nicht, ob es sich um eine „echte“ Mail handelt, oder um eine Phishing-Attacke.

Schwerwiegende Folgen von Cyber-Attacken

Das Risiko für Unternehmen und die dort tätigen Menschen ist bereits jetzt enorm und wird auch weiterhin steigen. Durch den Datendiebstahl erlangen Cyber-Kriminelle Zugriff auf Konten, Produktionsstätten und vertrauliche Informationen über Mitarbeitende. Die Folgen sind nicht zu unterschätzen. Selbst der Zugriff auf ein wenig genutztes SocialMedia-Konto kann verheerende Konsequenzen nach sich ziehen und der Außenwirkung und Reputation Ihres Unternehmens schaden. Der missbräuchliche Zugriff auf sicherheitskritische Infrastrukturen kann im Worst Case sogar eine Gefahr für die körperliche Unversehrtheit

bedeuten. Sie merken: Cyber-Angriffe haben das Potenzial, Ihr Unternehmen wie auch Ihre Angestellten zu gefährden. Nicht zu handeln bedeutet, fahrlässig zu handeln.

Spear-Phishing adressiert Sie und Ihre Mitarbeitenden gezielt Bei dem sogenannten SpearPhishing werden Unternehmen im Vorfeld gezielt ausspioniert, um die Phishing-Mails auf die jeweiligen Empfänger:innen zuzuschneiden. Ein klarer Unterschied zu massenhaft versendetem Spam, bei dem die Empfängerlisten willkürlich zusammengestellt sind. Mitarbeitende erhalten in solchen Fällen Anfragen von vermeintlichen Kolleg:innen oder Vorgesetzten. Die E-Mail trägt inklusive Signatur alle Merkmale einer ganz gewöhnlichen firmeninternen Mail. Alles wirkt auf den ersten Blick wie gewohnt und die Anfrage scheint legitim. Unter einem Vorwand werden z. B. Konto- oder Zugangsdaten, oder Informationen zu bestimmten Mitarbeitenden erfragt. Die Empfänger:innen geben in bester Absicht

Auskunft – und gehen den CyberKriminellen damit auf den Leim.

Die Komplexität steigt – Ihr Sicherheitslevel sollte es auch! Angriffe auf die IT-Sicherheit werden zunehmend komplexer. Somit steigen natürlich auch die Anforderungen an die Cybersecurity in Ihrem Unternehmen. Die gute Nachricht: Nicht nur die Angreifer werden schlauer, sondern auch wir. Mit der E-Mail Sicherheitslösung eXpurgate von eleven an Ihrer Seite schützen

Sie sich, Ihr Unternehmen und Ihre Mitarbeitenden vor der wachsenden Bedrohung durch CyberAngriffe.

DATENSICHERHEIT

MIT DER RICHTIGEN RECOVERY-STRATEGIE LASSEN SICH DATEN UND BACKUPS SO SCHÜTZEN, DASS EINE CYBER-ATTACKE

OHNE SCHWERWIEGENDE FOLGEN BLEIBT

Ob Biotechnologien, Robotik, autonomes Fahren oder Forschung zur neuesten Batterietechnik – innovative Technologien erzeugen Unmengen an wertvollen Daten. Daten, die niemals verloren, gehen oder in falsche Hände geraten dürfen. Diese Daten erfordern besonderen Schutz vor Cyber-Angriffen und deren Folgen. Das erste Mittel der Wahl sind zuverlässige Backups, wie das BSI in seinem jährlichen Bericht zur IT-Sicherheit in Deutschland betont. „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig – und damit so hoch wie nie“, so Dr. Gerhard Schabhüser, Vize-Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dabei haben es Angreifer inzwischen fast immer zuerst auf die Datensicherung abgesehen, um eine schnelle Wiederherstellung und somit die Wiederaufnahme des laufenden Betriebs unmöglich zu machen. Da ein Ausfall der IT und fehlender Zugriff auf unternehmenswichtige Daten den größten Teil der durch einen Angriff entstehenden Kosten ausmacht, sind hier spezielle Lösungen gefragt, die helfen, diese Risiken zu minimieren.

große Datenmengen denken viele zunächst an Cloud-Riesen wie Amazon, Google oder Microsoft“, so Reiner Bielmeier, Geschäftsführer bei FAST LTA. „Viele Behörden und Unternehmen dürfen oder wollen ihre sensiblen Daten aber nicht außer Haus speichern oder gar ausländischen Unternehmen anvertrauen. Wir haben uns als deutscher Hersteller einen Namen gemacht, diese sensiblen Daten über Jahrzehnte sicher zu speichern. Deshalb vertrauen auch viele Bundesbehörden auf unsere Speicherlösungen.“

Genau da setzen die Spezialisten der Münchner FAST LTA GmbH an. „Bei sicheren Speichern für

Anders als andere Anbieter hat FAST LTA sich auf die Bereiche Datensicherung und Archivierung spezialisiert – und setzt eigens entwickelte Technologien in ihren Speicherprodukten ein. Die Münchner nennen das Multi-Immutable Storage: die Lösungen enthalten gleich mehrere Möglichkeiten, Daten gegen Manipulation, Verlust oder Missbrauch durch Cyber-Kriminelle zu schützen. Denn die verschiedenen Datenbereiche erfordern unterschiedliche, abgestimmte Schutzmechanismen. Eine Besonderheit des „Silent Brick Systems“ von FAST LTA ist der so genannte Air Gap: Durch herausnehmbare Speicher-Container werden die darauf gesicherten Daten physisch von der IT-Infrastruktur getrennt

– und sind dennoch bei Bedarf wieder direkt verfügbar.

„Ein IT-Ausfall ist das WorstCase-Szenario für datengetriebene Unternehmen. Leider bezahlen immer noch die Hälfte der betroffenen Unternehmen viel Lösegeld an die Angreifer, in der Hoffnung, die Daten schnell wiederher-

stellen zu können. Viel sinnvoller – und günstiger – ist es, möglichst schnell eine wasserdichte Strategie zur Datensicherung zu etablieren, die eine schnelle und vollständige Wiederherstellung der Daten ermöglicht. Dabei können wir helfen“, fasst Bielmeier zusammen.

August 2023 - MOVEit

über 55 Mio. Betroffene Hacked !

Seit Juni 2023 erfolgten über eine Schwachstelle in der Datenübertragungssoftware MOVEit über 1000 erfolgreiche Angriffe auf

Unternehmensnetzwerke mit insgesamt wahrscheinlich über 55 Millionen betroffenen Personen weltweit.

Angriffe

CYBERATTACKEN MIT KI UND DIE VERTEIDIGUNG DAGEGEN

Angriffe

AUF EINEM GANZ NEUEN

Level

DIE AUFGABEN DER SICHERHEITSEXPERTEN IN UNTERNEHMEN SIND VIELFÄLTIG UND HOCHKOMPLEX. DURCH NEUE, KÜNSTLICH

INTELLIGENTE SYSTEME WERDEN SIE

LEIDER NOCH EINMAL AUF EINE NEUE

EBENE GEHOBEN. DORT WIRD DIE LUFT FÜR

MENSCHEN ZU DÜNN, BALD KÄMPFEN

KIS GEGEN KIS UM DIE VORHERRSCHAFT IM FIRMENNETZWERK.

ES WAREN DIE LETZTEN TAGE

des März dieses Jahres, als Security Insider die Security-Herausforderungen durch ChatGTP heraufziehen sah. Der Chatbot würde Cyberkriminellen den Weg ebnen, weil damit auch Laien komplexe Angriffe durchführen könnten. Mitte Juli sahen wir die Befürchtungen bewahrheitet: Mit WormGPT stand ein generatives KI-Cybercrime-Tool für praktisch jeden zum Download bereit. Wiewohl man damit alle möglichen illegalen Dinge tun könnte, wird es aktuell als Mittel für ausgeklügelte Phishingund BEC-Angriffe (Business E-Mail Compromise) einerseits angepriesen, andererseits verdammt.

„Als ChatGPT Ende letzten Jahres auftauchte, gab es im Dark Web viele Diskussionen darüber, wie er korrumpiert und für kriminelle Zwecke genutzt werden könnte. Hacker wollten vor allem die menschenähnlichen Eigenschaften des Sprachmodells ausnutzen, um authentischere Phishing-E-Mails zu erstellen und die Programmierfähigkeit nutzen, um

ADRIANUS WARMENHOVEN, NORDVPN BILD: NORDVPN

neue Malware zu entwickeln”, berichtet Adrianus Warmenhoven, Experte für Cybersicherheit bei NordVPN.

In der Folge habe sich eine Art Katzund Maus-Spiel entwickelt, bei dem die Gründer von OpenAI die Art und Weise, wie ihr Chatbot auf Anfragen reagieren konnte, immer weiter einschränkten - während die Kriminellen genau diese Sicherheitsvorkehrungen zu umgehen suchten.

„Dies führte beispielsweise zum Aufkommen von ‚Grandma Exploits‘, bei denen illegale Informationen indirekt gesucht wurden, nämlich indem sie in eine viel harmlosere Anfrage wie einen Brief an einen Verwandten verpackt wurden.“

Warmenhoven geht davon aus, dass die KI im Laufe des Jahres von Kriminellen weiter verfeinert, und der Einstieg in die Cyberkriminalität immer leichter wird: “Das Auftauchen von WormGPT zeigt, dass Cyberkriminelle sich nicht mehr damit begnügen, bestehende KI-Tools zu unterwandern, sondern diese Technologie vorantreiben, um sie für Cyberkriminalität zu missbrauchen. Erste Beispiele von Phishing-E-Mails deuten darauf hin, dass WormGPT eine mächtige Waffe für Social Engineering darstellt und besonders auf Unternehmen abzielt, die für Ransomware-Banden lohnende Ziele darstellen.” Erschwerend kommt hinzu, dass Schadsoftware im Darknet mittlerweile as-a-Service angeboten wird, die Hürde für die Nutzung ist damit noch einmal gesunken.

Welche weiteren Gefahren drohen durch kriminelle KIs?

Leider ist das Potenzial für alle Arten von Straftaten enorm. Zu enorm, als dass ihm noch Menschen begegnen könnten: „Cyber-Sicherheit muss kontinuierlich über die gesamte Lebenszeit eines Systems geprüft und überwacht werden. Menschliche Analysten können die stetig wachsende Zahl von auszuwertenden Ereignissen und Daten nicht mehr bewältigen“, erläuterte Dirk Backofen, damals Vorsitzender des Cyber Security Cluster Bonn, bei der Vorstellung des Berichts der Cyber-Sicherheitsweisen 2020 . Die Sicherheit von Firmennetzwerken sei durch KI definitiv gefährdeter als noch früher, mit keiner Aussicht auf Besserung.

Schwachstellen in Codes finden

In einem ersten Schritt geht es für Hacker in der Regel darum, Code auf Schwachstellen hin abzuklopfen und Exploits dafür zu erstellen. Dafür wird ChatGTP bereits seit Ende vergangenen Jahres hochoffiziell eingesetzt, denn das Tool kann im Handumdrehen automatisiert sehr viele Schnittstellen auf Bugs hin untersuchen. Die KI kann per cURLAnfrage feststellen, ob sich diese als Schleuse für bösartigen Code oder zum Lahmlegen des Systems eignen. Vergleichbare Verfahren ließen sich bei anderen Schwachstellen einsetzen, etwa für Buffer Overflow.

Malware generieren

Apropos böser Code: Zur Verbreitung von Malware kann KI E-Mails schreiben, die den Empfänger noch besser täuschen und auf eine verseuchte Site locken können. Weil die KI aus Fehlern lernt, werden diese Mails immer raffinierter.

Ransomware verbreiten

KI kann Skripts mit Signier-, Verschlüsselungs- und Entschlüsselungsfunktionen erstellen, die auch ohne Programmierkenntnisse als Ransomware eingesetzt werden können.

Captchas umgehen

Für Anwender sind sie oft nervig, aber notwendig: Captchas genannte Bildmosaike oder einfache Rechnungen stellen sicher, dass der Anwender ein Mensch ist. Eigentlich. Denn auch KI kann in zunehmenden Maße Bilder wahrnehmen und Captchas lösen, für die Authentifizierung als Mensch werden bald neue Wege gesucht werden müssen.

Angriffe zielgerichteter machen

Für das Eindringen in Systeme wird oft auf Social Engineering zurückgegriffen. KI kann soziale Foren aller Art im großen Stil abgrasen, um potentiell leicht zu „knackende“ Zielpersonen ausfindig zu machen.

Passwörter erraten

Das Ausprobieren vieler Passwörter ist zeitintensiv, eine KI, die auf HighPerformance Computing (HPC) oder gar Quantenrechner zurückgreift, kann jedoch Billionen von Schlüsseln in wenigen Sekunden testen. Für diese „Quantum-Brute-Force“ Angriff werden entweder Shoroder Grover-Algorithmen verwendet. Übrigens kann KI selbst zur Verbesserung von Quanten- und HPC-Rechenzentren beitragen, etwa wenn sie den Gesamtzustand des Systems einschließlich der Konfigu -

ration von Speicher-, Server- und Netzwerkgeräte optimiert – KI beschleunigt sich also selbst permanent.

Schadcode updaten

Cyberkriminelle und Security-Teams spielen ein Katz-und-Maus-Spiel –sobald ein Hersteller Sicherheitspatches für seine Software entwickelt hat, adaptiert ihn umgehend die KI-gestützte Schadsoftware. KI kann sogar antizipieren, welche Maßnahmen Hersteller und deren Anwender als nächstes ergreifen werden.

Weitere raffinierte Angriffsvektoren

Netzwerkspezialist Frank Thias, Principal Systems Engineer bei F5 in Deutschland, erläuterte zudem bereits im März in Security-Insider, wie ChatGTP Malware-Stämme und -Techniken nachbilden kann, etwa einen auf Python basierenden Infostealer. Das Skript sucht nach gängigen Dateitypen, kopiert sie in einen Ordner, komprimiert sie in ein ZIP-Format und lädt sie auf einen fest kodierten FTP-Server hoch. Denkbar wären laut Thias auch einfache Javascript-Snippets, die Code herunterladen und mittels Powershell heimlich auf einem System ausführen – etwa um Anmelde -

Das BSI rät zudem, in jeder Phase der Datennutzung genau hinzuschauen: Bei „adversarialen“ Angriffen verleiten Angreifende das KIModell durch eine Manipulation der Eingabedaten während des Betriebs zu nicht von den Entwickelnden vorgesehenen Ausgaben. KI-Systeme können jedoch auch in der initialen Trainingsphase attackiert werden. Bei diesen „Poisoning“-Angriffen etwa werden Trainingsdaten des KI-Modells durch die Hintertür so manipuliert, dass sie eine von den Entwicklungsteams nicht vorgesehene Reaktion zeigen.

Ungezielte Angriffe verursachen „irgendeine“ nicht vorgesehene Reaktion. Bei gezielten Angriffen wird eine bestimmte Reaktion erzeugt, so etwa bei den „Morphing“-Angriffen. Sie sind den Experten schon länger bekannt, nutzen jedoch zunehmend KI-Verfahren. Dabei werden hinterlegte Bilder mehrerer Personen miteinander verschmolzen – auf diese Weise lassen sich Gesichtserkennungssysteme, wie sie bei der Grenzkontrolle eingesetzt werden, austricksen. Zwei oder mehr Menschen könnten ein und denselben Pass verwenden.

KI wird nach Ansicht des GoogleChatbots BARD zudem bald ganz

neue Arten von Angriffsvektoren auskundschaften, die für menschliche Angreifer schwer oder unmöglich zu erkennen sind. Auch wird sie neue Methoden finden, um Cyberangriffe zu verschleiern, gleichzeitig aber ihre Auswirkungen zu erhöhen, etwa indem sie größere Datenmengen stiehlt oder kritische Infrastrukturen lahmlegt. Das sind Katastrophenszenarien, die man sich eigentlich nicht ausdenken will – aber zunehmend muss, wenn wir unsere Firmen weiter absichern und unsere Leben behalten wollen.

So kann KI die Security erhöhen

Man erkennt: KI kann bestehende Cyberangriffe „verbessern“, automatisieren und skalieren, sowie sich Neue ausdenken, was sie zu einer ernstzunehmenden Bedrohung macht. Keine schönen Aussichten. Wir haben das Katz-

und-Maus-Spiel von Hackern und Security-Experten bereits angesprochen – die KI wird es ganz enorm beschleunigen. Während die Cyberkriminellen mittels KI ihre Angriffe verfeinern, ziehen auf der anderen Seite die IT-Teams neue, künstlich intelligente Brandmauern hoch. Schon heute spielen lernenden Algorithmen dabei eine wichtige Rolle: Sie erkennen Bedrohungen und verstehen sich auf deren Abwehr.

Und das müssen sie auch, denn Menschen kommen beim Absichern aller Endpunkte kaum mehr hinterher. Hybride Arbeitsmodelle haben Endpunkte Gottweiß-wohin verteilt, durch den zunehmenden Einsatz von CloudServices sind sie zudem nur noch sporadisch mit dem internen Netzwerk verbunden. Der Update- und Patching-Prozess für Security-Software wurde dadurch zu dem Spießrutenlauf, dem sich Admins heute gegenübersehen.

„Es ist also eine zentrale Aufgabe für die Zukunft, KI-Systeme nachweislich sicher, zertifizierbar und verlässlich zu gestalten und sie vor Missbrauch zu schützen. KI-Systeme werden zu kritischen Infrastrukturkomponenten. Das umfasst nicht nur die Algorithmen, sondern das gesamte KI-Ökosystem: von den Sensoren für die Datenerhebung über die Kommunikationsverbindungen für den Datenaustausch bis zu den Plattformen für die Datenanalyse und -verarbeitung.“

DIRK BACKOFEN WAR BIS 2021 CHEF DES CYBER SECURITY CLUSTER BONN, DANACH ÜBERNAHM ER FÜR DIE TELEKOM

NEUE AUFGABEN RUND UM DAS THEMA

SICHERE DIGITALE IDENTITÄTEN. BILD: CYBER SECURITY CLUSTER BONN

Intelligentes Datenmanagement als Grundlage

In zunehmend komplexen, hybriden Multi Cloud-Umgebung habe sich in diesem Zusammenhang der Einsatz eines autonomen, KI-gestützten Datenmanagements (ADM) bewährt, so Ralf Baumann, Country Manager Germany bei Veritas. Die KI sorge dabei für die Automatisierung der Datenverwaltungsprozesse und minimiere die menschlichen Eingriffe: „Mit einem Malware-Scanning und einer Anomalie-Erkennung auf Basis von KI können Unternehmen gleichzeitig ihre Daten verwalten und den Schutz vor Cyber-Bedrohungen wie Ransomware automatisieren“, so der Geschäftsführer.

„Die Abhängigkeit von KI für das Datenmanagement birgt aber auch erhebliche Sicherheitsrisiken“, gibt er zu bedenken. „Das gilt vor allem dann, wenn kein angemessenes Daten-Framework vorhanden ist, um die üblicherweise großen Datensätze zu strukturieren und zu klassifizieren. Unternehmen sollten daher die Integrität sämtlicher Datenprozesse sicherstellen, bei denen KI genutzt wird, und danach alle notwendigen Schritte unternehmen, um sich vor Cyber-Bedrohungen zu schützen.“

Machine Learning deckt

Anomalien auf

„Schon heute werden KI-Konzepte und -Methoden erfolgreich verwendet, um die Sicherheit von Systemen und deren Nutzern zu schützen. Beispielsweise werden KI-basierte Algorithmen auf Netzwerken (Intrusion Detection Systems) eingesetzt, um sämtliche Datenpakete eines Netzwerks automatisiert zu analysieren.“

Dirk Backofen, Vorstandsvorsitzender Cyber Security Cluster Bonn e.V. und Leiter Business Development T-Systems

Wie geht die KI dabei grundsätzlich vor? Das haben Sona Solani und Nilesh Kumar Jadav bereits 2019 detailliert aufgezeigt: Intelligente Intrusion-Detection- bzw. Antiviren-Systeme lernen mit Hilfe der KI, wie der Netzwerkverkehr normalerweise fließt, und können daher Anomalien aussieben. Diese werden in Sandboxes festgehalten, dort mit ebenfalls intelligenten Methoden untersucht - und gegebenenfalls unschädlich gemacht. Für die Zukunft besteht die

24/7 Sicherheit als Komplett-Service

Sophos Managed Detection & Response

Der flexible MDR-Service von Sophos 24/7 Managed Detection and Response: Proaktives Erkennen und sofortige Bekämpfung von Bedrohungen durch ein Expertenteam, als Fully-Managed-Service.

Mehr erfahren unter sophos.de/mdr

Wir sichern Ihre digitale Welt



Reifegradunabhängige Beratung rund um Informationssicherheitsmanagement (ISMS), Sicherheitskonzepte, Security Trainings und Awareness sowie rund um das Security Operations Center (SOC)

Von der Konzeption bis zur Umsetzung rund um Cloud Security, Identity Access Management, Network Security und Security Architecture Ihrer IT/OT

 SOC Services

Die eigene Sicherheit permanent im Blick mit SOC as a Service, Incident Response/ Forensik und Pentesting und Endpoint Security für Endgeräte-Hosts

Eigenbetrieb eines Security Operations Centers mit bewährter RADAR-Kerntechnologie zur Erkennung und Reaktion auf Sicherheitsvorfälle und damit verbundene Prozesse (RADAR Solutions), ultramobiles, flexibles Arbeiten bei maximaler Sicherheit (Secure PIM) sowie umfassende SAP Security für mehr Resilienz

it-sa:

Stand 516 (Halle 7A)

Hoffnung, so neben den üblichen Schadcodes auch Ransomware abfangen zu können, noch bevor sie Daten eines Unternehmens verschlüsselt.

Im Prinzip geht eine KI in derselben Art und Weise gegen Spam und Phishing-Mails vor: Bei Gmail etwa scannt eine KI alle Inhalte, Domains, Versandzeiten sowie die generelle Strukturen von Mails und sortiert unbekannte Muster aus – zum Beispiel

versteckte Bilder, Links und Dateien. Auch gleicht sie die Mails mit gerade aktuellen Spam- und Phishing-Trends ab, die genau wie Blacklists in Datenbanken festgehalten sind. Sollte die versendende Domain erst kürzlich aufgesetzt worden sein, gehen weitere Warnlampen an. Letztendlich läuft es auf ein umfassendes Monitoring aller Systeme eines Unternehmens hinaus, das mittels maschinellen Lernens stets weiter verbessert wird.

Celeste Fralick, Chief Data Scientist bei McAfee, wies schon früher darauf hin, dass so auch „False Positives“ – also Fehlalarme reduziert werden können. Security-Experten sparen jede Menge Zeit und Ressourcen, weil sie keinen Phantomen mehr hinterherjagen müssen.

Zugriffskontrolle und Verschlüsselung

Um aber Schadcode erst gar nicht ins System kommen zu lassen, arbeiten Unternehmen mit Zugriffskontrollen und Authentifizierungen. Diese können (und werden) ebenfalls mit KI aufgepeppt, was beispielsweise die biometrische Erkennung anhand unterschiedlicher Modalitäten - etwa Fingerabdruck oder Gesicht - ermöglicht. Die KI gleicht dabei neu erfasste biometrischer Daten mit zuvor gespeicherten Referenzdaten ab. Auf der anderen Seite sind mit dem Einsatz von KIModellen eine Reihe von Risiken verbunden, denn sie selbst könnten mittels KI attackiert werden – zu denken wäre etwa an Deepfakes, bei denen die KI eine korrekte Biometrie „vorspielt“.

Selbst wenn Firewalls, Intrusion Detection Systeme (IDS), Antimalware-Lösungen oder Data Loss Prevention (DLP)-Tools versagen, hat Schadcode bei verschlüsselten Daten keine Chance, weswegen die KI dafür verstärkt eingesetzt wird (sowie zu deren Entschlüsselung, aber das ist ja klar). Und zwar auf verschiedensten Ebenen: Bereits 2016

hatte Google eine KI entwickelt, die mit anderen KIs verschlüsselt kommunizieren konnte und einen „abhörsicheren“ Algorithmus einsetzte.

Verschlüsselung ist nicht nur für den Schutz von Nachrichten nützlich, sondern sollte grundsätzlich an vielen Stellen so oft wie möglich eingesetzt werden. Viele, mittlerweile KI-gestützte Tools kodieren einzelne Dateien, ganze Partitionen, Festplatten, USB-Sticks und jede andere Form von gespeicherten Daten, etwa in der Cloud. Auch auf Ebene der Hardware wird chiffriert: Das

US-Unternehmen Cigent hat gerade Secure SSD+ vorgestellt, bei der die KI auf einem zusätzlichen Mikrocontroller sitzt. Sie lauert darauf, dass eine Ransomware die gespeicherten Daten verschlüsseln will, grätscht dann aber entschieden mit einer Sperre dazwischen. Außerdem benachrichtigt die Cigent-Software das Team, dass ein Ransomware-Angriff im Gange ist.

Wie an anderer Stelle in diesem Kompendium ausführlich dargelegt wird, potenziert die Kombination einer KI mit einem Quantencomputer die Gefahr. Brute-Force-Angriffe dauern damit nur noch Sekunden oder Minuten – laut Angaben der Sicherheitsexperten von Home Security Heroes lassen sich mit dem KI-basierten Tool PassGAN 51 Prozent der gängigen Passwörter innerhalb von einer Minute, 65 Prozent innerhalb einer Stunde, 71 Prozent innerhalb eines Tages und 81 Prozent innerhalb eines Monats knacken. Auf Seiten der Verteidiger sitzt man entsprechend an Verschlüsselungsalgorithmen, die für Quantencomputer unlösbar sind. Wieder haben wir es mit einem Katz-und-Maus-Spiel zu tun.

FAZIT

Die Gewährleistung der Security von IT-Systemen in Unternehmen gleicht einer Sisyphos-Arbeit, aber mit der KI wird sie nochmal auf eine neue Ebene gehoben: Auf der einen Seite die Bedrohungen, die durch die KI ausgefeilter und mehr werden, auf der anderen Seite die Security-Teams, die mit eben dieser KI immer tiefere Gräben und höhere Mauern um ihre zu schützenden Systeme ziehen. Es wird also ständig versucht, die Arbeit des anderen zu übertreffen. Das war freilich bei jeder neuen Technologie so, im Falle der KI hat das aber einen sich selbst beschleunigenden Effekt.

KI entwickelt sich in der Folge zwangsläufig

und rasant zu einer unverzichtbaren Technologie für IT-Sicherheitsteams. Menschen können es künftig nicht mehr leisten, alle Unternehmensebene ausreichend abzusichern. KI liefert Analysen und stets aktuelle Blacklists, um das Risiko von Sicherheitsverletzungen zu minimieren. Es besteht berechtigte Hoffnung, dass künstlich intelligente Systeme Risiken erkennen und priorisieren, die Reaktion darauf zielgerichtet steuern und beispielsweise Malware- oder Ransomware-Angriffe bereits im Keim zu ersticken. Auch wenn wir alle gerne darauf verzichten könnten - KI wird ohne Wenn und Aber zum Kernbestandteil von Lösungen für die Cybersicherheit avancieren. Und zwar sehr bald.

Autor: Dr. Dietmar Müller

über 101.000 Accounts

Im Juni 2023 fanden Forscher im Dark Web die Daten von über 101.000 ChatGPT-Accounts, die eine Malware über den Zeitraum von 12 Monaten sammeln konnte.

Ein Gastbeitrag von Kristian von Mejer, Director Central Europe bei Forescout Technologies

Die Bedeutung von IT-Sicherheitsplattformen in Zeiten zunehmender Komplexität und künstlicher Intelligenz

Im Angesicht der jüngsten Entwicklungen im Bereich Künstlicher Intelligenz werden digitale Unternehmensprozesse immer komplexer. Dadurch erhöht sich auch die Angriffsfläche für Cyberkriminelle. IT-Sicherheitsplattformen sind in der Lage, mit dieser rasanten Entwicklung Schritt zu halten und den manuellen Arbeitsaufwand beherrschbar zu machen. Solche Plattformen bieten Unternehmen eine umfassende Reihe von Werkzeugen, um ihre digitalen Vermögenswerte, Daten und Reputation in einer zunehmend vernetzten Welt zu schützen. Folgende Funktionen sollten in einer solchen Plattform integriert sein. Dies verhindert einen weiteren Aufbau von Silo-Lösungen und ermöglicht es Security-Teams, ihre Arbeit effizient und effektiv durchzuführen.

1. RISIKOMANAGEMENT: IT-Sicherheitsplattformen ermöglichen es Unternehmen, Cybersecurity-Risiken und Compliance-Probleme zu identifizieren, zu quantifizieren und zu priorisieren. Und nur durch ein klares Verständnis vorhandener Schwachstellen können Organisationen wirksame Strategien entwickeln, um potenzielle Bedrohungen im Keim zu ersticken.

2. CYBER-ASSET-MANAGEMENT: Das Sichtbarmachen, Klassifizieren und Bewerten des Risikos aller vernetzten Cyber-Assets in Echtzeit ist ein entscheidendes Qualitätsmerkmal von IT-Sicherheitsplattformen. Diese kontinuierliche Überwachung ermöglicht es Unternehmen, sich stets über ihre Angriffsfläche im Klaren zu sein und potenzielle Eintrittspunkte für bösartige Akteure zu identifizieren.

3. TRANSPARENZ UND COMPLIANCE: Sicherheitsplattformen liefern umfassende Daten, die bei der Erstellung der akkuraten CMDB und Asset-Historie helfen. Diese Transparenz ist entscheidend, um Compliance mit Branchenvorschriften und internen Richtlinien sicherzustellen.

4. NETZWERKSICHERHEIT: IT-Sicherheitsplattformen bieten fortschrittliche Netzwerksicherheitsfunktionen, darunter kontinuierliche Überwachung, Zugangskontrolle und Risikoeindämmung. Flexible und dynamische Netzwerkzugriffs-Policies ermöglichen eine Kontrolle und Regulierung des Datenverkehrs innerhalb der unternehmenseigenen IT-Infrastruktur.

5. BEDROHUNGSERKENNUNG UND REAKTION: Die Erkennung, Analyse und Reaktion auf Bedrohungen sind entscheidend, um die Auswirkungen von Cyberangriffen einzudämmen. IT-Sicherheitsplattformen verwenden komplexe Bedrohungskorrelationstechniken, um Fehlalarme auszuschließen und komplexe Malware genauer zu identifizieren. Automatisierte Handlungsempfehlungen verbessern die Reaktionszeiten bei Sicherheitsvorfällen.

IT-Sicherheitsplattformen sind in der heutgen Zeit unverzichtbare Werkzeuge für Unternehmen, die ihre Cybersecurity stärken und zukunftssicher machen möchten. Von Risiko- und Asset-Management bis hin zu Netzwerksicherheit und Bedrohungserkennung bieten diese Plattformen einen hohen Grad an Automatisierbarkeit und individueller Anpassbarkeit. Dies sind unverzichtbare Qualitäten, will man die IT-Ökosysteme von morgen schon heute gegen die stetig wachsende Vielfalt von Cyberbedrohungen wirksam absichern.

„Den neuen Bedrohungen durch KI begegnet man am besten mit skalierbaren und automatisierbaren Sicherheitsplattformen.“

Kristian von Mejer

Krypto-Agilität ermöglicht die Nutzung verschiedener Verfahren in verschiedenen Entwicklungsstadien.

SCHLÜSSELKOMPONENTE FÜR DIE ZUKUNFT VON KRYPTOGRAPHIE UND DATENSICHERHEIT

KRYPTO- AGILITÄT:

Kryptographie spielt eine entscheidende Rolle in der modernen Informationsund Kommunikationstechnologie. Die rasche Entwicklung neuer Technologien erfordert eine kontinuierliche Aktualisierung und Anpassung der kryptographischen Standards. Um neuen Bedrohungsszenarien und den Herausforderungen der sich stetig weiterentwickelnden Technologielandschaft Stand zu halten, setzen immer mehr Unternehmen auf agile Verschlüsselungskonzepte und -methoden. Das ist besonders wichtig, um schnell auf neue Bedrohungen und Angriffstechniken reagieren zu können.

Die rasche Entwicklung neuer Technologien erfordert eine kontinuierliche Aktualisierung und Anpassung der kryptographischen Standards, um den sich ständig wandelnden Bedrohungsszenarien Stand zu halten. Agile Verfahren ermöglichen eine schnelle Anpassung neuer Technologien.

Sicherheit im PostQuanten-Zeitalter

Die Entwicklung von Quantencomputer stellt kryptographische Verfahren vor neue potenzielle Bedrohungen: Die enorme Rechenleistung von Quantencomputern kann bestehende kryptographische Verfahren brechen und damit die Sicherheit von Verschlüsselungsmethoden vor neue Herausforderungen stellen.

Die Post-Quanten-Kryptographie befasst sich aus diesem Grund mit der Entwicklung von Verschlüsselungsalgorithmen, die Quanten-Angriffen standhalten können. Spätestens sobald etablierte Verfahren von Quantencomputern leicht überwunden werden können, kommen quantenresistente Technologien zum Einsatz. Um diese möglichst schnell in bestehen -

de Systeme integrieren zu können, lohnt sich bereits jetzt der Einsatz von krypto-agilen Ansätzen.

Evolution der Kryptographie

Ähnlich wie jede andere Technologie durchläuft auch die Kryptographie verschiedene Lebensphasen. Ein Hauptgrund für diesen Wandel ist die ständig steigende Rechenleistung, die es Angreifenden ermöglicht, bestehende Verschlüsselungskonzepte zu brechen. Auch bestehende Schwachstellen, die in vermeintlich sicheren Algorithmen gefunden werden, führen dazu, dass Verschlüsselungsmethoden überarbeitet oder ganz neu gedacht werden müssen.

Krypto-Agilität ist der Schlüssel, um verschiedene Krypto-Technologie parallel

in Systemen zu integrieren und dadurch einen nahtlosen Wechsel zwischen unterschiedlichen Algorithmen zu ermöglichen, ohne dafür das gesamte System umwerfen zu müssen. Damit ermöglicht Krypto-Agilität die Nutzung verschiedener kryptographischer Verfahren in unterschiedlichen Entwicklungsstadien.

Krypto-Agilität im Alltag

Die wachsende Bedeutung von Krypto-Agilität zeigt sich daran, dass sich krypto-agile Ansätze bereits in alltäglichen Situationen

wiederfinden: Ein lebendiges Beispiel dafür ist der HTTPS-Standard für Webseiten. In modernen Webbrowsern sind zahlreiche Algorithmen integriert, die eine Kommunikation zwischen Server und Client ermöglichen. Für eine

sichere Kommunikation wählen Webbrowser immer den optimalen kryptographischen Algorithmus, um die höchstmögliche Sicherheit zu gewährleisten. Die Möglichkeit, zwischen verschiedenen Protokollen wählen zu können, ist der Kern von krypto-agilen Ansätzen.

Verantwortung und Standardisierung

Die Verantwortung für die Implementierung von Krypto-Agilität liegt bei den Software-Anbietern und -Entwicklern: KryptoAgilität muss in das Produkt integriert werden, um eine langfristige Sicherheit und Datenverschlüsselung zu gewährleisten. Zwar gelten derzeit noch keine gesetzlichen Pflichten, krypto-agile Ansätze zu verfolgen, doch Institute wie das National Institute of Standards and Technology (NIST) in den USA oder auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland veröffentlichen immer wieder Richtlinien, Empfehlungen und Standards, um die Sicherheit, Zuverlässigkeit und Interoperabilität von kryptographischen Systemen zu gewährleisten.

Insgesamt spielen Interoperabilität, Sicherheit und Innovation eine symbiotische Rolle im Bereich der kryptographischen Standards. Durch die Schaffung von gemeinsamen Normen werden nicht nur effektive Kommunikation und Datenaustausch ermöglicht, sondern auch die Grundlagen für eine sichere und fortschrittliche kryptographische Landschaft gelegt.

Interoperabilität spielt eine entscheidende Rolle in der heutigen vernetzten Welt. Sie bezieht sich darauf, wie verschiedene Systeme und Anwendungen miteinander kommunizieren können, selbst wenn sie unterschiedliche Implementierungen kryptographischer Verfahren verwenden.

Ein weiterer entscheidender Aspekt ist die Sicherheit. Die Standardisierung von kryptographischen Verfahren ermöglicht es, bewährte Sicherheitspraktiken zu fördern. Durch diesen Ansatz können Entwickler sicherstellen, dass kryptographische Algorithmen gründlich getestet und überprüft werden, bevor sie in breitem Umfang eingesetzt werden. Das trägt maßgeblich dazu bei, potenzielle Schwachstellen und Sicherheitsrisiken zu minimieren.

Neben Interoperabilität und Sicherheit fördert die Standardisierung auch die Innovation. Indem grundlegende Standards festgelegt werden, schafft man eine solide Basis, auf der innovative Entwicklungen aufbauen können. Entwickler haben die Möglichkeit, sich auf etablierte Normen zu stützen und darauf aufzubauen, um neue kryptographische Technologien zu schaffen. Dieser Ansatz fördert einen offenen Raum für Kreativität und Fortschritt, während gleichzeitig eine gewisse Einheitlichkeit und Verlässlichkeit gewährleistet wird.

Interoperabilität, Sicherheit und Innovation spielen eine symbiotische Rolle bei der Verschlüsselung.

Krypto-Agilität: Der Schlüssel zur Sicherung der digitalen Kommunikation

In einer Ära der sich rasch entwickelnden Technologien ist die Krypto-Agilität der Schlüssel zur Sicherung unserer digitalen Kommunikation. Besonders im Hinblick auf die aufstre -

bende Ära der Quantencomputer wird deutlich, dass Krypto-Agilität nicht nur eine Option, sondern eine zwingende Anforderung ist. Die Fähigkeit, sich an veränderte Bedingungen anzupassen und innovative Lösungen zu integrieren, ist von entscheidender Bedeutung, um die Integrität

und Vertraulichkeit unserer Daten zu bewahren. Der fortlaufende Dialog und die Weiterentwicklung der Krypto-Agilität sind somit von großer Relevanz, um in dieser dynamischen Landschaft die Sicherheit zu gewährleisten.

Krypto-agile Konzepte sind der Schlüssel, um verschiedene Krypto-Technologie parallel in Systemen zu integrieren. Das ermöglicht einen nahtlosen Wechsel zwischen unterschiedlichen Algorithmen und die Nutzung verschiedener kryptographischer Verfahren.

HUMAN CENTERED SECURITY: SPIELEND LERNEN

Die neue NIS2-Richtlinie etabliert höhere IT-Sicherheitsstandards für Unternehmen und bezieht Mitarbeitende in eine ganzheitliche IT-Sicherheitsstrategie mit ein. Bereits jetzt nutzen viele Firmen Security Awareness Trainings, um das Bewusstsein in der Belegschaft zu verbessern. Dabei sorgen Lerneinheiten mit Gamification und Storytelling für nachhaltiges Lernen.

„Wenn der Prophet nicht zum Berg kommt, muss der Berg zum Propheten kommen.“ Dieses altehrwürdige Sprichwort beschreibt treffend eine aktuelle Entwicklung. Der Berg ist die IT-Sicherheit und kommt in Form von NIS2 auf die Verantwortlichen (Propheten) zu. Die neue europäische NIS2-Direktive (Network and Information Security) zielt darauf ab, das Sicherheitslevel sowie den Umgang mit IT-Notfällen und Bedrohungen in der EU zu vereinheitlichen. Diese Regelung betrifft deutlich mehr Firmen als bisher, was viele zum Handeln zwingt. Zu den vielfältigen Pflichten gehören auch Schulungen im Bereich Cybersicherheit.

Sicherheitsbewusstsein schulen Das NIS2 viele Unternehmen und Security Awareness jeden Mitarbeitenden betrifft, müssen Trainings idealerweise alle Angestellten erreichen. Ein Rundbrief, der die wichtigsten Anzeichen einer Phishing-Mail aufzählt, vereitelt keinen Phishing-Versuch. Ein geeignetes Format ist E-Learning: Trainings helfen, diese Mails zu entlarven und richtig zu reagieren. Aktuell äußern Verantwort-

liche vermehrt den Wunsch nach nachhaltigem Lernen. Aber wie lernen Menschen nachhaltig? Die Antwort lautet: Durch intrinsische Motivation. Das ist ein „Lernzustand“, der durch Anreize, Spaß oder Emotionalität generiert wird. Daher setzen moderne digitale Trainings immer mehr auf Gamification.

Motiviert zum Lernziel Gerade bei komplexeren Themen oder umfangreicheren Inhalten wie beispielsweise IT-Sicherheit

sind spielerische Ansätze hilfreich. Hier gibt es viele wichtige Aspekte, die alle Anwenderinnen und Anwender kennen sollten, wie etwa Phishing-Mails und Social Engineering. So lässt sich der Lernerfolg etwa dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen. Moderne E-Learnings setzen auf gute Geschichten und spielerische Elemente mit dem Ziel, den Lerntransfer zu maximieren. So kommen beispielsweise Gamification-Elemente (Schiebe -

regler, Punktestand oder zeitgesteuerte Herausforderungen) in einer eigenen Lernwelt wie etwa einem Serious Game zum Einsatz. Ein Rahmen mit einer Geschichte sorgt für positive Emotionen und Motivation. Ein klar vorgegebenes Ziel schafft eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden halten den Fokus auf das Thema und sind motiviert.

Sofort und nachhaltig lernen Untersuchungen belegen den Erfolg von Gamification und Storytelling. „Normales“ E-Learning

auf freiwilliger Basis hat eine ungefähre Abschlussquote von 25 Prozent. Serious Games von bis zu 90 Prozent. Mit Blick auf die IT-Sicherheit heißt das: Wenn Unternehmen mit Security Awareness Trainings der G DATA academy Human Centered Security umsetzen, steigt nicht nur das IT-Sicherheitsniveau im Sinne von NIS2. Angestellte gehen auch sorgfältiger mit verdächtigen Mails um und sparen Unternehmen so viele Kosten.

BILD: FUTURISTIC ROBOT EYE TECHNOLOGY, BLUE DIGITAL IRIS. GENERATIVE AI

VON DEEP FAKES UND DIGITALEN ZWILLINGEN

BIOMETRIE STEHT

DIE

BEIM ZUGRIFFSSCHUTZ VOR DEM AUS?

BIOMETRISCHE SICHERHEITSFAKTOREN

WIE DIE GESICHTSERKENNUNG SIND BELIEBT, BEI NUTZENDEN UND SECURITY-ABTEILUNGEN.

DER ZUGRIFFSSCHUTZ SCHEINT DAMIT

DEUTLICH SICHERER UND KOMFORTABLER ZU WERDEN. DOCH DIE NUTZUNG

BIOMETRISCHER FAKTOREN KÖNNTE BALD

VORBEI SEIN, UND ES IST NICHT DER DATENSCHUTZ, DER DIE BIOMETRIE BEDROHT, DIE GEFAHR KOMMT AUS EINER ANDEREN RICHTUNG.

Biometrische Verfahren sind im Kommen und in Gefahr

„Vor vier Jahren hatten die Bundesbürgerinnen und Bundesbürger noch die größten Bedenken bei der Verwendung biometrischer Verfahren beim Einkauf“, erinnert sich Maximilian Harmsen, Digital Payments

Lead bei PwC Deutschland. Diese Zeiten sind jedoch vorbei. Die PwC-Studie „Biometrische Authentifizierungsverfahren“ zeigt: Mehr als ein Drittel der Befragten verwendet bereits ein biometrisches Authentifizierungsverfahren, um sich beim Online-Banking anzumelden oder eine Banktransaktion zu veranlassen.

Etwa drei Viertel der Befragten bewerten biometrische Verfahren wie den elektronischen Fingerabdruck oder FaceID als sicher. Doch es gibt auch Sicherheitsbedenken bei der Nutzung biometrischer Verfahren. Dazu zählen vor allem mögliche Angriffe durch Hacker oder das Anlegen von Bewegungsoder Nutzungsprofilen. In Zukunft gibt es aber noch ganz andere Risiken für biometrische Verfahren, die Gesichtserkennung & Co ins Aus bringen können.

Der Datenschutz verhindert die Biometrie nicht Wenn es um Risiken für biometrische Daten geht, werden die Datenschutzaufsichtsbehörden schnell aktiv, denn biometrische Daten gehören zu den besonders schützenswerten besonderen Kategorien personenbezogener Daten, wie die DatenschutzGrundverordnung (DSGVO) explizit betont.

Wer jetzt glaubt, die Datenschutz-Grundverordnung (DSGVO) sei es, die der Biometrie das Leben schwer macht, irrt sich. Der Datenschutz will nur für eine sichere und gesetzlich einwandfreie Biometrie sorgen.

Ein Beispiel aus der jüngeren Vergangenheit ist das Verfahren gegen das Unternehmen PimEyes. Die Datenschutzaufsicht von Baden-Württemberg er-

klärte dazu: „Internet-Dienste wie PimEyes werben damit, durch Abgleich von Fotos und den darin enthaltenen biometrischen Daten jede Person identifizieren zu können. Mittels Gesichtserkennung, persönlichen Profilen und einer Gesichts-Datenbank. Das würde den Verlust der Anonymität bedeuten – und da schrillen bei Datenschützern die Alarmglocken.“

Die Analyse biometrischer Daten ohne informierte Einwilligung der Betroffenen ist nicht das einzige Datenrisiko, das die Datenschützer auf den Plan ruft. Auch die Ausspähung von biometrischen Daten, die zum Beispiel im Rahmen einer Zutritts-, Zugangsoder Zugriffskontrolle verarbeitet werden, will der Datenschutz verhindern, denn ohne angemessenen Schutz der biometrischen Daten könnten Dritte versuchen, diese zu stehlen und zu missbrauchen.

Aber sind biometrische Daten bald nicht mehr sicher?

Viele Prognosen sehen eine rosige Zukunft für die Biometrie. „Ein verbessertes Kundenerlebnis, Datensicherheit und Nutzerfreundlichkeit werden wesentlich dazu beitragen, dass biometrische Verfahren künftig nicht nur im Online- oder Mobile-Banking, sondern auch in anderen Bereichen der Digitalen Identität immer häufiger zum Einsatz kommen“, meint Robert Eickmeyer, Director bei PwC Deutschland.

Doch die Sicherheit der biometrischen Daten muss in Zukunft neu definiert werden. Die biometrische Datensicherheit ist in Gefahr. Sie wird nicht nur durch unerlaubtes Profiling und Hacking-Angriffe auf biometrische Verfahren unterlaufen, und es sind nicht nur (menschliche) Hacker, die es auf biometrische Daten abgesehen haben.

Neue Risiken für die Biometrie breiten sich aus. Künstliche Intelligenz (KI) und das Internet der Dinge

(IoT) haben längst damit begonnen, die Sicherheit von Biometrie in Frage zu stellen, eine Entwicklung, die die Biometrie ins Aus führen könnte, wenn man nicht gegensteuert.

Die Probleme bei Biometrie werden deutlich zunehmen Der Datenschutz wird versuchen, gegen die neuen Probleme der Biometrie anzukommen, mit verschärften Sanktionen: Bis 2025 werden Datenschutzklagen und -ansprüche im Zusammenhang mit der Verarbeitung biometrischer Informationen und cyber-physischen Systemen zu Bußgeldern und Vergleichen in Höhe von über acht Milliarden US-Dollar führen, so das Analystenhaus Gartner.

„Autonome Fahrzeuge, Drohnen, die Videos erfassen, intelligente Gebäude und intelligente Städte sind cyber-physische Systeme, die biometrische Daten aller Art erfassen“, sagte Bart Willemsen, Research Vice President bei Gartner. „Die Erfassung und Speicherung biometrischer Informationen ist auf dem Vormarsch, sei es in Form von Fingerabdrücken, Iris-Scans, Fernerkennung von Gesicht, Gang, Stimme oder sogar DNA-Proben. Aber diese Informationen bergen ein enormes Potenzial für Missbrauch.“

Es reicht aber nicht, gegen diese neuen Risiken für biometrische Daten vorzugehen. Neben der vermehrten, neuartigen Erfassung biometrischer Daten durch smarte Systeme kommt es zu einer künstlichen Erzeugung und damit Fälschung biometrischer Informationen, durch KI-basierte Lösungen.

KI kopiert uns Menschen und unterwandert die Biometrie

Damit KI Fähigkeiten entwickeln kann, die eigentlich nur uns Menschen zugeschrieben werden, verwenden KI-basierte Systeme Trainingsdaten, aus denen sich die Muster erlernen lassen, nach denen ein Mensch mit hoher Wahrscheinlichkeit handeln würde. Dabei bleiben die Möglichkeiten von KI aber nicht stehen.

KI lernt nicht nur von uns, sondern KI lernt über uns Menschen, ein Grund, warum sich der Datenschutz stark mit KI auseinandersetzt. Mit KI wird es möglich, immer besser unser Verhalten zu imitieren, aber auch uns selbst nachzuahmen. Digitale Kopien von uns Menschen werden möglich.

Schon heute kommen täuschend echt wirkende, manipulierte Bild-, Audio- oder auch Videoaufnahmen zum Einsatz, die mit Hilfe von künstlicher Intelligenz erzeugt werden. „Deepfakes können nützlich sein und sogar helfen, Verbrechen aufzuklären“, so Bayerns Justizminister Georg Eisenreich bereits im Juni 2021. „So setzen unsere Ermittler im Kampf gegen Kinderpornografie computergeneriertes Bildmaterial ein. Aber Deepfakes können auch die öffentliche Meinung manipulieren und zu einer Gefahr für unsere Demokratie werden. Die Zahl der Deepfakes im Netz steigt rasant.“

Nicht nur Texte können gefälscht werden, wie dies bei KI-unterstützten Phishing-Attacken der Fall ist, auch Stimmen, Videos und Bilder und damit biometrische Daten, die bei Stimmbiometrie und Gesichtserkennung genutzt werden.

Achtung: Deepfakes schwächen biometrische Verfahren

63 Prozent der Deutschen haben Angst vor Deepfakes, meldete der Digitalverband Bitkom. Bei vielen Menschen führen Deepfakes demnach zu Verunsi -

cherung: 8 von 10 Deutschen sagen, sie würden ein Deepfake nicht erkennen. 70 Prozent sind der Meinung, Fotos und Videos könne man heute nicht mehr vertrauen, so Bitkom. Wenn man Fotos und Videos aber nicht mehr trauen kann, steht es um eine biometrische Gesichtserkennung nicht gut.

Biometrische Verfahren müssen deshalb um Funktionen erweitert werden, die die Echtheit der präsentierten biometrischen Faktoren prüfen, nicht nur auf Übereinstimmung, sondern auch darauf, ob es sich um ein Deepfake handeln könnte.

Die Plattform Deepfake Total des Fraunhofer AISEC zum Beispiel soll KI-gesteuert Audio-Deepfakes erkennen. Einzelne Dateien und YouTube-Videos können dazu mit unterschiedlichen Audio-Spoofund Deepfake-Erkennungsmodellen auf ihre Authenzität überprüft werden.

Neues Risiko kopiertes Ich: Echte Nutzende oder Digitale Zwillinge

Die Vortäuschung biometrischer Faktoren bei der Zugriffskontrolle ist aber nicht auf einzelne Faktoren wie Gesicht und Stimme beschränkt. Die insbesondere aus Industrie 4.0 Projekten bekannten Digitalen Zwillinge können sich auch zu digitalen Kopien von Individuen entwickeln. Was in der medizinischen Forschung gewollt ist, kann sich im Bereich der Prüfung digitaler Identitäten als Herausforderung darstellen.

Für Marketing-Applikationen beschreiben die Marktforschenden von Gartner die Möglichkeiten der Digitalen Zwillinge so: „Was wäre, wenn Sie Programme mit Ihren Kunden testen könnten, wann immer Sie wollen? Ein digitaler Zwilling stellt eine dynamische virtuelle Repräsentation des Kunden bereit, die aus digitalen und physischen Interaktionen erstellt wird, um Verhalten zu emulieren und vorherzusagen.“

Wenn es aber immer besser gelingt, das Verhalten von Personen zu simulieren, können auch Verfahren auf Basis der Verhaltensbiometrie getäuscht werden. Macht dann Verhaltensbiometrie noch Sinn?

Kommt das Ende der Biometrie im Sicherheitsbereich?

Der Gartner-Analyst Akif Khan hat sich mit den Folgen von Deepfakes für digitale Identitätsnachweise befasst. „Werden Deepfakes die Identitätsüberprüfung zunichte machen? Nun, bevor Sie zu pessimistisch werden, vergessen Sie nicht, dass die Verteidiger ebenso wie die Angreifer Zugriff auf KI haben und diese bereits zur Bildinspektion nutzen“, so Akif Khan. „Ich glaube nicht, dass der Identitätsprüfungsprozess veraltet ist, aber nicht alle Anbieter verfügen über die gleichen Erkennungsfunktionen.“

Es zeigt sich also: KI und Digitale Zwillinge werden in Zukunft zwar die Biometrie nicht wertlos machen, aber sie erfordern neue Biometrie-Verfahren, die deutlich fälschungssicherer sind als viele der heutigen Lösungen. Dabei wird es insbesondere darum gehen, Täuschungen auf Basis von KI und auf Basis von simulierten Personen aufzudecken.

Genau wie biometrische Verfahren in der Vergangenheit durch Zusatzprüfungen wie eine Lebend-Erkennung abgesichert wurden, muss in naher Zukunft eine KI-Erkennung bei Biometrie ergänzt werden. Sonst wird die Zugriffskontrolle durch KI-Täuschung ausgehöhlt, und das wäre wirklich das Ende der Biometrie in der IT-Sicherheit.

Autor: Oliver Schonschek

WIE VERWANDELT MAN EINEN ADMINISTRATIVEN ALBTRAUM IN EIN

MÜHELOSES

KINDERSPIEL?

COMPLIANCEHERAUSFORDERUNGEN IM ALLTAG MODERNER UNTERNEHMEN

Ob man sich vor ihnen fürchtet oder vor ihnen davonläuft: die Einhaltung von Compliance-Vorschriften ist nicht verhandelbar. Eine kürzlich durchgeführte Hornetsecurity-Studie ergab, dass 78,8 % der Unternehmen sich heute mehr Sorgen um die Einhaltung von Vorschriften machen als noch vor fünf Jahrenund das aus guten Gründen.

Die Einhaltung von Vorschriften kann ein verwaltungstechnischer Alptraum sein, wenn man sich durch ein Labyrinth von externen und internen Anforderungen navigieren muss. Kaum haben sich die Unternehmen an die DSGVO gewöhnt, zeichnet sich am Horizont bereits die EU-CybersicherheitsRichtlinie NIS2 ab.

NIS2 verschärft die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen und richtet sich auch an kleine und mittlere Unternehmen. Sie

verlangt von den Unternehmen strengere technische und organisatorische Maßnahmen, um sich und ihre Lieferketten besser vor Cyberangriffen zu schützen. Dazu gehören zum Beispiel Maßnahmen zur Verwaltung digitaler Identitäten und zur Kontrolle des Nutzerzugangs zu sensiblen Daten. Bei Sicherheitsverstößen können Unternehmen mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Unternehmen sollten jetzt schnell handeln, um sicherzustellen, dass das Berechtigungs- und Zugriffsmanagement den Compliance-Anforderungen entspricht.

Doch bei allen Vorteilen, die Cloud-basierte Anwendungen für die Zusammenarbeit mit sich bringen, erhöhen sie auch die Risiken für Sicherheit, Datenschutz und Compliance. So bietet beispielsweise Microsoft 365 eine Reihe von Tools, die Ihrem Unter-

nehmen helfen, effizienter und produktiver zu arbeiten, wie z. B. die Zusammenarbeit an Dokumenten in Echtzeit oder die Möglichkeit, von jedem Gerät aus auf Dokumente zuzugreifen. Für CISOs und M365Administratoren ist es jedoch eine Herausforderung, den Überblick darüber zu behalten, wer auf was zugreifen muss, und kritische Datenlecks zu verhindern.

Der 365 Permission Manager von Hornetsecurity bietet eine benutzerfreundliche Oberfläche zur zentralen Verwaltung von Berechtigungen, zur Durchsetzung von ComplianceRichtlinien und zur Überwachung von Verstößen in M365-Umgebungen. Admins erhalten einen Überblick über kritische Berechtigungen im M365-Tenant, werden über neue Freigaben informiert und kön nen

zeitsparende Massenaktionen durchführen. Dies trägt dazu bei, fragwürdige Freigabeberechtigungen und unbefugten Datenzugriff zu vermeiden. Infolgedessen befähigt der 365 Permission Manager CISOs, Admins sowie Sicherheitsund Compliance-Manager zur effizienten Kontrolle von M365Berechtigungen.

365 Permission Manager ist als Standalone-Lösung verfügbar als auch Teil eines immens leistungsstarken Lösungspaketes: 365 Total Protection Compliance & Awareness - eine Cloud-basierte Sicherheitslösung, die das breiteste Spektrum an M365-Security-, Backup-, Compliance- und Security-Awareness-Funktionen in einem Paket und in einer Lizenz bietet.

at IT-SA EXPO&CONGRESS 2023!

Hornetsecurity präsentiert ALL-IN-ONE PROTECTION FÜR MICROSOFT 365 ZUR ERFÜLLUNG IHRER

SICHERHEITS-, BACKUP- UND COMPLIANCE-ANFORDERUNGEN

hornetsecurity.com

SPIELERISCH

CYBER-SICHERHEIT

Das BSI zählt Phishing-Mails weiterhin zu den größten CyberRisiken. Alleine technische SecurityLösungen helfen bei der Abwehr nicht, denn Phishing nutzt menschliche Schwächen aus. Entsprechend sollten effektive AwarenessMaßnahmen zu den Top-Prioritäten der betrieblichen Cyber-Sicherheit gehören.

Der Gesamtverband der Versicherer (GDV) betont, wie wichtig Awareness-Trainings sind: „Für ein hohes Maß an IT-Sicherheit und umfassenden Schutz ist nicht nur die Technik wichtig – mindestens ebenso ent-

scheidend sind gut geschulte und sensibilisierte Mitarbeitende“, so der GDV. Gelingt es den Besch ä ftigten, Spam-Mails und Phishing-Angriffe zu erkennen und abzuwehren, sinkt das Risiko kompromittierter Systeme deutlich, da sind sich die Versicherungsgesellschaften sicher.

Gamification steigert das Bewusstsein f ü r Cyber-Risiken nachhaltig In vielen Bereichen hat sich die Erkenntnis durchgesetzt, dass Lernen spielerisch sein sollte, um zu mehr Erfolg zu f ü hren. Gamification lohnt sich bei Trainings, welche lang-

wierig sind und bei denen andere Tä tigkeits- und Zweckanreize fehlen. Security- oder ComplianceTrainings beispielsweise sind f ü r Unternehmen von enorm hohem Wert aber f ü r den einzelnen Teilnehmer sind die Folgen doch relativ abstrakt und damit der Anreiz des auf merksamen Lernens eher gering. Studien der Uni Zürich zeigen, dass Personen freiwillig ö fter lernen oder trainieren, wenn die Lernaufgaben gamifiziert sind. Wenn das Erleben einer Aufgabe positiv war, wird man sich wahrscheinlicher wieder dieser Aufgabe zuwenden, als wenn das Erleben negativ war

lassen sich so anpassen, dass selbst Nutzer*innen herausgefordert werden, die schon weiter geschult sind und ü ber fortgeschrittene Fä higkeiten und Kenntnisse verf ü gen.

„Die Lösung motiviert die Mitarbeitenden, Teil unserer menschlichen Firewall zu sein. Ihre Begeisterung spiegelt sich im harten Wettbewerb um die TopR ä nge in der Bestenliste wider. Wenn Nutzer*innen sich beschweren, dass sie keine E-Mails von Hoxhunt bekommen, weiß man, dass man auf dem richtigen Weg ist.“, beschreibt Ronny Buchmann, Information

„Hoxhunt bietet nicht nur h ö chste Sicherheitseffektivit ä t, sondern macht auch richtig Spaß. Das Tool spielt eine wichtige Rolle in unserem Sicherheitstraining.”

(z.B. langweilig, anstrengend). Wenn Lernen Spaß macht, sind die Trainings keine l ä stige Verpflichtung mehr.

Kärcher setzt auf Gamification von Hoxhunt

Die Alfred Kä rcher GmbH & Co. KG ist überzeugt von der vollautomatischen Plattformlösung von Hoxhunt. Bei dem innovativen Ansatz passt sich das Training kontinuierlich an die Fähigkeiten der einzelnen Mitarbeiter an und sorgt für aussagekräftige Ergebnisse. Die dynamischen Inhalte

Security Officer bei Kärcher. Buchmann weiter: „Unsere eigenen internen Kennzahlen und ein Phishing-Benchmarking, das wir gemeinsam mit anderen großen Unternehmen in der DACHRegion durchf ü hren, best ä tigen empirisch, dass die HoxhuntTrainingsmethode herkö mmlichen L ö sungen in puncto Effektivit ä t deutlich ü berlegen ist.“

Fazit: Innovative Lernmethoden sind die richtige Antwort auf „innovative“ und raffinierte Angriffsmethoden. Nicht nur die Angreifenden haben neue Wege, um die menschliche Psyche zu beeinflussen, auch die Abwehr muss neue Wege gehen und Trainingsmethoden wie Gamification f ü r sich nutzen.

Lesen Sie auch den Anwenderbericht vom schweizer Flugzeughersteller Pilatus

Für effektiven Cyberschutz brauchen Unternehmen eine mehrdimensionale Sicherheitslösung

– Interview mit Waldemar Bergstreiser, Kaspersky

BILD/KASPERSKY

TOPdurch TI und All-in-One-Ansatz

CYBERSCHUTZ

Cyberkriminelle werden immer professioneller; Malware-as-a-Service boomt. Vor diesem Hintergrund skizziert Waldemar Bergstreiser, General Manager DACH bei Kaspersky, wie ein nachhaltiges und effektives Cybersicher -

heitsniveau durch einen ganzheitlichen Ansatz basierend auf mehreren Schutzdimen -

sionen, einschließlich Threat Intelligence (TI), erreicht werden kann.

Wie schätzen Sie die aktuelle Bedrohungslage ein?

Unsere Analysen (1) zeigen, dass Cyberkriminalität zunehmend zu einem Geschäftsmodell wird. Durch Malwareas-a-Service (MaaS) wird es für weniger versierte Cyberkriminelle relativ einfach, Cyberangriffe zu starten: sie mieten geeignete Malware-Tools. Zugleich werden Angriffsmethoden immer komplexer. Deshalb reichen automatisierte Abwehrsysteme als alleiniges Mittel für eine umfassende Sicherheit nicht mehr aus.

Unternehmen

müssen die Anzeichen eines drohenden Cyberangriffs erkennen und vorbeugende Maßnahmen ergreifen – im Idealfall bevor Schaden entsteht. Dazu benötigen sie einen mehrdimensionalen Sicherheitsansatz, der technische Lösungen zur Erkennung und Abwehr von Cyberangriffen und Präventivmaßnahmen mit menschlicher Expertise kombiniert.

Wie sieht ein solcher multidimensionaler Sicherheitsansatz aus?

Idealerweise setzt sich eine effiziente

Schutztechnologie aus maschinellem Lernen und künstlicher Intelligenz sowie umfassenden Automatisierungsfunktionen zusammen, damit sich die unternehmensinternen Cybersicherheitsabteilungen auf andere Kernaufgaben konzentrieren können. Eine solche Lösung sollte fortschrittliche Bedrohungserkennung, eine einfache Untersuchung und automatisierte Reaktion auf Cybervorfälle bieten – entweder vor Ort, in der Cloud oder hybrid. Außerdem muss sie an die jeweilige IT- oder OT-Infrastruktur angepasst werden. Als zusätzliche Schutzdimensionen bieten sich dann solide TI-Funktionen, Managed Security Services rund um die Uhr, CybersicherheitsAwareness-Trainings und professionelle Services wie Audits, Implementierung, Optimierung und Wartung an. Wir nennen das einen All-in-One-Cyberschutz.

Welche Rolle spielt Threat Intelligence in diesem Mix?

Entscheider und Sicherheitsverantwortliche benötigen Hilfe, um die Bedrohungen zu verstehen, mit denen sie täglich

„Unternehmen müssen die Anzeichen eines drohenden Cyberangriffs erkennen und vorbeugende Maßnahmen ergreifen“

Waldemar Bergstreiser General Manager DACH Kaspersky

konfrontiert sind – andernfalls besteht die Gefahr, dass sie sich unzureichend gegen Cyberkriminelle wappnen. Ein vielschichtiger Ansatz dafür umfasst Bedrohungsdaten, also TI, die öffentlich zugängliche Nachrichtenquellen und Informationen aus den sozialen Medien mit verwertbaren Informationen aus dem Dark

Web kombiniert und die dann von Experten ausgewertet und interpretiert werden. TI liefert so ein umfassendes und aussagekräftiges Verständnis über den gesamten Zyklus des Incident Managements, da Experten einen detaillierten Einblick in Cyberbedrohungen erhalten, die speziell auf ihre Organisation abzielen.

Das Expertengespräch zur Digitalisierung

Mit News-Analyst OLIVER SCHONSCHEK

über 220 Mio.

E-Mail-Adressen

Im Januar 2023 bot ein Hacker über 220 Millionen E-Mail-Adressen von Twitter-Nutzern in einem Hacker-Forum

zum Kauf an.

HAT SECURITY DATA ANALYTICS

NOCH EINE ZUKUNFT?

SIND BIG DATA UND PRIVACY

FREUND ODER FEIND? DIESE FRAGE

ENTSCHEIDET DARÜBER, OB DATEN -

ANALYSEN IN ZUKUNFT ÜBERHAUPT

NOCH MÖGLICH SIND, SO SCHEINT

ES JEDENFALLS. GEGEN DEN DATEN -

SCHUTZ HABEN BIG-DATA-VORHA -

BEN KAUM EINE CHANCE. ODER IST

ALLES GANZ ANDERS? EIN BLICK IN DIE ZUKUNFT VON SECURITY DATA

ANALYTICS UND DATENSCHUTZ.

Der Datenschutz als Innovationskiller und Sicherheitsrisiko?

Die meisten Unternehmen mussten bereits innovative Projekte wegen Datenschutz-Anforderungen stoppen, so liest man es seit Jahren. Konkret verhindert der Datenschutz laut einer Bitkom-Umfrage in jedem zweiten Unternehmen den Aufbau von Datenpools, in 38 Prozent der Fälle den Einsatz neuer Datenanalysetools und bei jedem dritten Unternehmen den Einsatz neuer Technologien wie KI (Künstliche Intelligenz).

Es wäre schon schlimm genug, wenn der Datenschutz ein Hindernis für Innovationen wäre. Wenn man aber dann noch daran denkt, dass Datenanalysen und KI eine zentrale Rolle bei der Optimierung und Automatisierung in der Cybersicherheit spielen sollen, dann erscheint Privacy fast wie ein IT-Sicherheitsrisiko.

Doch ist das wirklich so? Muss man Datenschutzvorgaben übergehen, wenn man innovativ und möglichst sicher sein will? Verhindert der strenge Datenschutz in Zukunft Security Analytics? Für eine Prognose sollte man zuerst die Bedeutung des Personenbezugs betrachten.

Braucht Security Data Analytics überhaupt personenbezogene Daten?

Für den Datenschutz ist es entscheidend, ob personenbezogene Daten erforderlich sind oder nicht. Muss man als Ergebnis einer Datenanalyse zum Beispiel wissen, wie sich Herr Müller oder Frau Schulze verhalten hat oder wahrscheinlich verhalten wird? In aller Regel nicht. Wie Datenschützer in der sogenannten „Hambacher Erklärung zur Künstlichen Intelligenz“ erklären, reicht in vielen Fällen die Verarbeitung vollständig anonymer Daten aus. Dann ist der Datenschutz auch gar kein „Problem“ mehr, denn er gilt dann schlichtweg nicht.

Die zentrale Frage: Was muss die Security wirklich wissen?

Von Security Data Analytics erhofft man sich zum Beispiel eine Unterstützung bei der Bewertung von IT-Vorfällen, bei der Erkennung und Vermeidung von Datenverlust und ungewolltem Datenabfluss (Data Loss Prevention), bei der Priorisierung und Automatisierung von IT-Sicherheitsmaßnahmen oder bei der Alarmierung bei Angriffen und Datenpannen.

Dazu sucht man in den Daten nach Anomalien bei Datenflüssen und Datenzugriffen. Erst im Verdachtsfall, wenn es um die Ermittlung möglicher Täter geht, spielt es eine Rolle, was eine bestimmte Nutzerin oder ein spezieller Nutzer wann getan hat.

Die Frage nach einer konkreten Person stellt sich erst, wenn konkrete Vorfälle untersucht werden. Das verhindert der Datenschutz auch nicht, denn hierfür sind personenbezogene Daten erforderlich. Der Datenschutz will nur ausschließen, dass Nutzende anlasslos, ohne konkreten Verdacht analysiert und nachverfolgt werden.

FAKT ist:

Datenschützer haben nichts gegen Big Data, sondern gegen Überwachung

Die wirkliche Beziehung zwischen Big Data als Basis für Security Analytics und dem Datenschutz wird an mehreren Beispielen deutlich, in denen Datenschützer und Gerichte bei bestimmten Sicherheitsmaßnahmen die Grenzen aufgezeigt haben.

Zum Einsatz von künstlicher Intelligenz im Justizvollzug beispielsweise sagte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel: „Der Einsatz von KI-Systemen bedeutet in der Regel einen tiefen Eingriff in die Grundrechte und Freiheiten der betroffenen Personen, da hierbei häufig massenhaft Daten verarbeitet und automatisierte Entscheidungen getroffen werden. Jede Maßnahme, die dabei helfen kann, Suizide in Justizvollzugsanstalten zu verhindern, ist erwägenswert“, so die Landesdatenschutzbeauftragte. Dies sollte sich aber auf eigens für Suizidgefährdete vorgesehene und besonders gesicherte Hafträume beschränken. Eine umfassende Beobachtung sämtlicher Hafträume und gemeinschaftlich genutzter Bereiche durch KI zur Suizidprävention oder zur allgemeinen Erhöhung der Sicherheit wäre dagegen kaum zu rechtfertigen.

Ein weiteres Beispiel ist ein Urteil zu polizeilichen Datenanalysen . Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber: „Das Bundesverfassungsge -

In einer zunehmend komplexen Bedrohungslandschaft laufen Cyberangri e häu g unbemerkt ab. Gelingt es den Angreifern, in die Unternehmenssphäre einzudringen, bieten ihnen isolierte, unverbundene Lösungen im Sicherheitskonzept idealen Unterschlupf und Möglichkeiten, sich weiter auszubreiten. Autark agierende Einzelprodukte sind nicht in der Lage, zentralisierte, auf Korrelation basierende Warnmeldungen zu erzeugen, die auf vielschichtige Angri szenarien hindeuten. Dem setzt WatchGuard XDR (eXtended Detection and Response) ein Ende. Das SaaS-Werkzeug erweitert die Fähigkeiten eines Unternehmens zur Identi kation und Abwehr von Gefahren massiv und scha t einen einheitlichen Überblick zu relevanten Sicherheitsereignissen über eine einzige und intuitive Benutzerober äche.

richt hat jetzt Kriterien formuliert, unter denen die Polizeibehörden Analysesysteme für polizeiliche Datenbestände einsetzen dürfen. Das betrifft auch den Einsatz von Künstlicher Intelligenz. Dieses Grundsatzurteil wird sich bundesweit auswirken.“

Besonders wichtig sei, dass nicht nur bei der Speicherung, sondern auch bei allen nachgelagerten Datenanalysen zwischen verschiedenen Personengruppen zu trennen ist. Denn die polizeilichen Informationssysteme enthalten nicht nur Daten zu beschuldigten oder verdächtigten Personen. Sie enthalten darüber hinaus Informationen auch zu Opfern von Straftaten, zu Zeugen, Hinweisgebern und sonstigen Personen. Datenanalysen zu diesen nicht unter Verdacht stehenden Personen sind deshalb ein intensiver Grundrechtseingriff. Opfer und Dritte dürfen nicht mit Verdächtigen gleichbehandelt werden, so die Gerichte und die Datenschützer. Speziell bei neuartigen Datenanalysen war dies bislang nicht sichergestellt.

Übertragen auf Security Analytics in Unternehmen bedeutet dies insbesondere, dass die Datenanalysen nicht einfach die Daten aller Beschäftigten oder Kunden durchleuchten dürfen, sondern ganz gezielt und begrenzt auf das Notwendige vorgehen müssen.

FAKT ist auch: Privacy braucht

KI und Data Analytics sogar

Datenschutz möchte und wird Datenanalysen auch nicht verhindern, zumal Data Analytics auch Vorteile für den Schutz personenbezogener Daten haben kann. Dies machen unter anderem Kommentare des Europäischen Datenschutzbeauftragten zu sogenannten Synthetischen Daten deutlich.

Synthetische Daten ersetzen echte personenbezogene Daten bei Datenanalysen und helfen so dem Datenschutz. Bei synthetischen Daten handelt es sich um künstliche Daten, die aus Originaldaten und einem Modell generiert werden, das darauf trainiert ist, die Eigenschaften und die Struktur der Originaldaten zu reproduzieren. Das bedeutet, dass synthetische Daten und Originaldaten bei derselben statistischen Analyse sehr ähnliche Ergebnisse liefern sollten. Der Generierungsprozess für solche Daten kann mithilfe verschiedener Techniken durchgeführt werden, darunter Deep-Learning-Algorithmen.

Datenanalysen sind also nicht etwa durch den Datenschutz ausgeschlossen, sondern können durchaus auch dem Datenschutz helfen.

Big Data, Security Analytics und Privacy: Der Beginn einer langen Freundschaft

Wenn man also die Vorgaben des Datenschutzes umsetzt, muss man nicht auf Big Data und auf Security Data Analytics verzichten, man muss es nur so gestalten, dass die Privatsphäre nicht unangemessen und unnötig beeinträchtigt wird. Soweit möglich, sollten Daten ohne Personenbezug (synthetische oder hinreichend anonymisierte Daten) verwendet werden. Zudem dürfen nur solche Daten verwendet werden, die dem unmittelbar ausgewiesenen Zweck dienen, also zum Beispiel der Aufdeckung eines Täters in einem IT-Sicherheitsvorfall. Eine anlasslose Überwachung von einer Vielzahl an unbeteiligten Personen hilft weder der Security noch ist es mit dem Datenschutz vereinbar.

Tatsächlich kann aus Big Data, Privacy und Security Analytics ein erfolgreiches Trio werden, wenn die Ziele von Big Data und Security Analytics richtig gesetzt werden und keine anderen Zwecke als die der IT-Sicherheit verfolgt werden. Gegen IT Security hat der Datenschutz nichts, im Gegenteil, Datenschutz kommt ohne IT-Sicherheit nicht mehr aus. IT-Sicherheit aber sollte den Datenschutz beachten.

Januar 2020 - MICROSOFT

250 Mio.

!

Im Januar 2020 wurde bekannt, dass 250 Millionen Datensätze von Microsoft-Kunden aus 14 Jahren ohne Passwortschutz online verfügbar waren.

BILD: ADOBESTOCK_©SDECORET - STOCK.ADOBE.COM

SECURITY AWARENESS MIT HERZ UND VERSTAND

– Von Sensibilisierungsmaßnahmen zur Sicherheitskultur

Phishing, Phishing und nochmals Phishing: Kein Security Report, keine Ransomware-Meldung kommt ohne die Erwähnung der Social Engineering-Technik aus. Das Ziel ist der Mensch. Die eigentliche Schwachstelle steckt jedoch in der Technik, denn noch immer kommen zu viele Phishing-E-Mails durch, schaffen es zu viele Anrufe und Links durch die Sicherheitsschleusen. Der Wettlauf zwischen Angriff und Verteidigung, zwischen Kreativität und Konformität hat in seiner Intensität nichts verloren. Am Ende ist es immer wieder nur ein Klick zu viel, egal ob in einer Stresssituation oder ob aus Neugierde in der Mittagspause.

DIE AWARENESS ALS

GRUNDLAGE FÜR SICHERES VERHALTEN VERSTEHEN

Schutz gegen Phishing kann und wird nicht durch Technologie allein erreicht werden. Zusätzlich müssen die Mitarbeitenden für die Gefahren, die von Social Engineering ausgehen, sensibilisiert werden. Warum der Beitrag aller Mitarbeitenden für die Cybersicherheit notwendig ist, wird dabei in den Vordergrund gestellt, um das Herz und den Verstand der Mitarbeitenden von der Notwendigkeit der Maßnahme zu überzeugen. Wie Social Engineering erkannt und vereitelt werden kann, wird sodann durch GamificationAnsätze und Informationskampagnen vermittelt. Zudem bieten Unternehmen ihren Mitarbeitenden die Möglichkeit das erlernte Verhalten in regelmäßige Phishing Simulationen zu vertiefen.

DIE SICHERHEITSKULTUR AKTIV ZU GESTALTEN IST EINE NOTWENDIGE ENTSCHEIDUNG

Die gelebten Werte, Normen und Gepflogenheiten ihrer Organisation sind starke Motivatoren für sicheres Verhalten. Eine Sicherheitskultur haben Organisationen aber auch ganz ohne gezieltes Training. Gepflogenheiten im Umgang mit Technologie haben sich über Jahre herausgebildet und zu ungeschriebenen Normen entwickelt. Nehmen Sie sich der Sicherheitskultur Ihrer Organisation nicht an, haben Sie keine Übersicht und keine Kontrolle darüber, ob die Verhaltensweisen der Cybersicherheit schaden oder zuträglich sind. Mit den richtigen Maßnahmen lässt sich das ändern. Eine nachhaltig gestaltete Sicherheitskultur ist der beste Schutz für Ihr Unternehmen.

SECURITY AWARENESS

MASSNAHMEN ZAHLEN SICH UNMITTELBAR AUS

Laut dem Benchmarking Report 2023 von KnowBe4 klickt wahrscheinlich ein Drittel der Mitarbeiter in den untersuchten Organisationen auf eine PhishingE-Mail. 90 Tage nach der Durchführung erster Maßnahmen sinkt dieser Wert auf 20 und im Laufe eines Jahres auf gar sechs Prozent. Der Mehrwert von Mitarbeiterschulungen zeigt sich auch bei der Handhabung von Ransomware. Schnelle und angemessene Reaktion können den Schaden eindämmen und den finanziellen Schaden begrenzen.

Der Mehrwert von Security Awareness-Training steht außer Frage.

FAZIT

Awareness, Behavior und Culture sind drei Begriffe, die – richtig vermittelt und etabliert – den Unterschied zwischen einem fatalen Klick und einer richtig an die IT-Abteilung weitergeleiteten E-Mail machen. Für eine Organisation bedeutet dies nicht weniger als die Vermeidung von Reputationsschäden, Kosten im Falle einer Sicherheits- und Datenschutzverletzung sowie Stress und Ungewissheit für die Mitarbeiter.

November 2022 - WHATSAPP

487 Userdate Mio. n

Im November 2022 veröffentlichte ein Hacker einen Datensatz mit persönlichen Informationen von 487 Millionen WhatsApp-Nutzern aus 84 Ländern.

MIT DEM

360 GRAD-BLICK

ZU MEHR CYBER-RESILIENZ

Die zunehmende Vernetzung und Digitalisierung führen dazu, dass Angreifer sich verstärkt auf digitale Angriffsziele konzentrieren. Etwa die Hälfte der Unternehmen in Deutschland sind bereits Opfer einer Cyber-Attacke geworden. Cyberangriffe kosten die deutsche Wirtschaft über 200 Milliarden Euro pro Jahr. Die Attacken werden immer professioneller und nehmen deutlich zu.

Die europaweite Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) reagiert auf die gestiegene Bedrohungslage im digitalen Raum mit umfassenden Erweiterungen. Ein hohes Sicherheitsniveau lässt sich nur erreichen, wenn die Sicherheitsanforderungen für Unternehmen schnell und konsequent verschärft werden, denn auch die Angreifer entwickeln ständig neue Strategien. Die Richtlinie geht über die erste Version weit hinaus und umfasst nun 18 verschiedene Sektoren, die zur kritischen Infrastruktur gehören. NIS2 betrifft Unternehmen der gelisteten Sektoren mit einer Mitarbeiterzahl ab 50 Personen oder 10 Millionen Euro Umsatz. Einige Betreiber, zum Beispiel der digitalen Infrastruktur oder in der öffentlichen Verwaltung, sollen unabhängig von ihrer Organisationsgröße reguliert werden.

Cyber Security wird Thema für alle Um den digitalen Angreifern voraus zu sein und gleichzeitig die höheren Sicherheitsanforderungen der Gesetzgebung zu erfüllen, müssen sich zahlreiche Unternehmen und Behörden ab sofort intensiv mit dem Thema Cyber Security auseinandersetzen. Einzelne Schutzmaßnahmen sind wenig zielführend. Es bedarf eines umfassenden Gesamtkonzepts, um alle schützenswerten Assets im Blick zu halten, das bisherige Sicherheitsniveau zu erfassen und passgenaue Maßnahmen abzuleiten. Organisationen müssen technische, betriebliche und organisatorische

Maßnahmen ergreifen, um die Cybersicherheitsrisiken zu bewältigen und die Auswirkungen potenzieller Vorfälle zu minimieren. Dazu sieht NIS2 konkrete, verpflichtende Maßnahmen vor, wie beispielsweise

Richtlinien für Risiken und Informationssicherheit, Einrichtung eines Incident Managements, Maßnahmen zur Authentifizierung, Trainings für Mitarbeitende, Vorgaben zur Verschlüsselung oder auch zur Notfallkommunikation.

„Wir begegnen den steigenden Anforderungen an die Cybersicherheit mit unserem gesamtheitlichen Blick und umfassenden Portfolio.“

Zielgerichtet agieren – Schaden abwenden

Viele Unternehmen und Behörden müssen ihre Cyber-Abwehr aufrüsten, um nicht selbst Opfer eines Angriffs zu werden bzw. den Schaden minimal zu halten. Im ersten Schritt sollten sie einen IT-Sicherheitsexperten hinzuziehen und den aktuellen Sicherheitsstandard auf den Prüfstand stellen. Sobald klar ist, welche Schlupflöcher es zu füllen gibt, beginnt eine Planung

der unterschiedlichen Maßnahmen – je nach bisherigem Sicherheitsniveau.

Dabei kommt es auf eine langfristige Planung der IT-Sicherheit an. Ist die Planungsphase abgeschlossen, kann damit begonnen werden, erforderliche Lösungen für die IT-Infrastrukturen zu integrieren. Für eine zukunftsfähige und umfassende Überwachung aller sicherheitsrelevanten Aktivitäten lohnt sich die Überlegung, ein Security Operations Center (SOC) einzuführen – sofern es die Regularien nicht sowieso fordern. Mit Trainings und Schulungen für die Mitarbeitenden runden Organisationen ihr Maßnahmenpaket ab und haben ihre IT-Sicherheit rundum im Blick.

materna.de

Schutz vor Diebstahl

Cyberkriminelle haben erkannt, dass es effektiver, schneller und billiger ist, Anmeldedaten zu stehlen, als zu versuchen, technische Kontrollen zu überwinden. Sobald sie die Zugangsdaten eines einzigen Mitarbeiters erbeutet haben und damit seine digitale Identität kompromittiert haben, können sich die Angreifer horizontal durch Systeme und Netzwerke bewegen, Informationen sammeln, bösartige Payloads verteilen und wichtige Daten stehlen.

Wie Mitarbeiter auf Unternehmensnetzwerke zugreifen, hat sich grundlegend verändert. Darum ist der klassische perimeterbasierte Sicherheitsansatz nicht mehr wirksam. Mobiles Arbeiten und die umfangreiche Nutzung von Cloud-Technologien haben dazu geführt, dass Unternehmen den Zugriff auf ihr Netzwerk an verschiedenen Standorten und über diverse Konten und Geräte schützen müssen.

Das macht einen „menschenzentrierten“ Ansatz für den Schutz der IT-Inf-

rastruktur erforderlich. Cyberkriminelle nutzen vermehrt gestohlene Identitäten, um ihre illegalen Zwecke zu erreichen. Sie folgen im wahrsten Sinne des Wortes einem Muster bzw. einer „Angriffskette“.

Daten von Proofpoint zeigen, dass Cyberkriminelle in 35% der Fälle, in denen sie 2022 mit einem Phishing-Angriff auf deutsche Unternehmen erfolgreich waren, Anmeldedaten erbeuteten und/oder Konten kompromittierten, wobei Mitarbeiter ihre Anmeldedaten preisgaben und Angreifern so einen Vorteil verschafften.

Cyberkriminelle haben erkannt, dass es effektiver, schneller und billiger ist, Anmeldedaten zu stehlen, als zu versuchen, technische Kontrollen zu überwinden. Sobald sie die Zugangsdaten eines einzigen Mitarbeiters er-

beutet haben und damit seine digitale Identität kompromittiert haben, können sich die Angreifer horizontal durch Systeme und Netzwerke bewegen, Informationen sammeln, bösartige Payloads verteilen und wichtige Daten stehlen.

Für Angreifer ist es ein Leichtes, eine einzige kompromittierte Identität in eine unternehmensweite Ransomware-Attacke oder einen Datendiebstahl umzumünzen. Und je länger der Angreifer unentdeckt bleibt, desto größer sind seine Möglichkeiten, die Identitäten zu missbrauchen – von der Ausweitung der Zugriffsrechte bis hin zum Eindringen in das Active Directory oder Cloud-Umgebungen. Was können Unternehmen also gegen den zunehmende Identitätsdiebstahl tun?

mensnetz gelangen. Robuste E-MailSicherheit und die Sensibilisierung der Mitarbeiter für Cybersicherheit bieten die beste Möglichkeit, Angriffe zu stoppen. Ferner müssen seitliche Bewegungen verhindert werden. Ist ein Angreifer eingedrungen, ist das zunächst ein kleines Problem, aber der Angreifer will es zu einem größeren machen, indem er sich seitlich bewegt und nach weiteren Identitäten zur Ausweitung der Attacke sucht.

Entscheidend für die Unterbrechung der Angriffskette ist eine Lösung, die Identitätsbedrohungen erkennt und entsprechend reagiert (Identity Threat Detection and Response: ITDR).

Der erste Schritt besteht darin, die initiale Kompromittierung zu unterbinden. Unternehmen müssen verhindern, dass Angreifer durch Phishing, Social Engineering, Betrugsversuche, Business E-Mail Compromise (BEC) und Ransomware in das Unterneh -

Sie ist ein wichtiger Kontrollmechanismus, mit dem Angriffe vereitelt werden können, bevor sie sich zu verheerenden Vorfällen entwickeln.

Unternehmen können so das Risiko erheblicher Sicherheitsverletzungen wirksam mindern, wichtige Daten schützen und die betriebliche Kontinuität gewährleisten.

Funktion, im Gegensatz zu Server, die über riesige, berechnungsgesteuerte Plattformen und einen konsistenten, bereinigten Stromfluss verfügen. Sie sind teilweise oder vollständig offline und verbinden sich nur asynchron über Hub-Geräte oder wenn dies für die Funktionalität erforderlich ist. Schließlich verfügen IoT-Geräte in der Regel über begrenzte Rechenfunktionen sowie Software und sind für diese Verarbeitungsfunktionalität auf zentrale Geräte und Server angewiesen.

NACHDEM KI UND QUANTEN THEMATISIERT WURDEN, WOLLEN

WIR ANHAND EINES WEITEREN HYPE-THEMAS, NÄMLICH DEM IOT,

DAS ZUSAMMENSPIEL DER BEIDEN

ZUKUNFTSTECHNOLOGIEN FÜR

DAS ABSICHERN VON NETZEN THEMATISIEREN.

Und das ist ein extrem wichtiges Thema, angesichts von 16,7 Milliarden aktiven IoT-Endpunkten weltweit, die die Studie „State of IoT – Spring 2023“ von IoT Analytics für dieses Jahr ausweist.

Diese wahnsinnige Zahl an IoT-Geräte ist zudem das am häufigsten gemeldete Ziel externer Angriffe, so Forrester Research in seinem Bericht „The State of IoT Security, 2023“.

bei IoT-Geräten handelt es sich oft um batteriebetriebene Devices mit nur einer bestimmten

Das Internet der Dinge stellt prinzipiell eine enorme Sicherheitslücke dar, nicht zuletzt, wenn die Hersteller dieser Geräte die Sicherheit für das IoT nicht im Voraus berücksichtigt und zur Priorität gemacht haben. Bislang gibt es ja leider weder ein generelles Sicherheitsmodell noch einen klaren Satz von Sicherheitsstandards für das IoT, und es wird ihn vermutlich nie geben. Dabei eröffnen sich ungeheure offene Flanken.

Folgende Angriffsflächen

bieten IoT-Netze:

Unsichere Geräte: Die Kompromittierung nur eines einzigen Endgeräts gefährdet die Sicherheit des gesamten IoT-Ökosystems – und letztendlich die

komplette IT-Umgebung eines Unternehmens. Das geht ganz schnell, zumal das stromsparende Design von Edge-Devices wie gesagt nur wenig Rechenkapazität und Software zulässt – integrierten Sicherheitskontrollen sind daher Mangelware.

Die schiere Menge: Die IoT-Angriffsoberfläche geht über Einstiegspunkte hinaus und umfasst alle möglichen Sicherheitslücken, auch in angeschlossener Software und den Netzwerkverbindungen. Das sind sehr komplexe Gebilde – das Ponemon Institute beziffert in seiner Studie „Managing Risks and Costs at the Edge“ die durchschnittliche Menge an Endpunkten eines Unternehmens auf rund 135.000. Hacker können auf bekannte Firmware-Schwachstellen in diesen Geräten abzielen, ebenso wie auf Schwachstellen in Software, die in der IT-Umgebung eines Unternehmens bereitgestellt wird.

Unterlassene Wartung: Mangelnde Rechenkapazität und Software sorgt dafür, dass viele Geräte Sicherheitsfunktionen wie Authentifizierung, Verschlüsselung und Zugriffskontrolle nicht unterstützen können. Und selbst wenn Endpunktgeräte über Sicherheitskontrollen wie z. B. Passwörter verfügen, nutzen viele Admins diese aus diversen Gründen nicht oder aktualisieren die entsprechende Software nur unregelmäßig.

Eingeschränktes Monitoring: Die unterlassene Maintenance liegt Erkenntnissen des Ponemon Institutes zufolge oft an mangelnden Einsichten in die Netzwerke. Wegen eingeschränkter Monitoring-Fähigkeiten seien aktuell durchschnittlich 48 Prozent aller Edge-Devices in Unternehmen gefährdet.

Schatten-IT: Erhöht wird diese Rate noch durch IoT-Endpunkte, die ohne Wissen, offizielle Unterstützung oder Genehmigung der IT-Abteilung oder der Sicherheitsabteilung konfiguriert und bereitgestellt wurden – etwa persönliche Gegenstände mit einer IP-Adresse wie Fitness-Tracker, drahtlose Drucker oder Smartphones.

Fehlende Verschlüsselung: Offiziell oder nicht – durch IoT-Geräte fallen Unmengen an Daten an, von Temperaturen über Lichtverhältnisse bis hin zu Geschwindigkeiten von Objekten. Diese werden zur Analyse, Verarbeitung und Speicherung an zentrale Standorte versendet – laut Untersuchungen von Palo Alto Networks zu 98 Prozent unverschlüsselt.

Botnets: Diese interne Schwachstelle nutzen Bedrohungen von außerhalb, allen voran Botnetze. Diese werden dann häufig für DDoS-Angriffe eingesetzt, um den Netzwerkverkehr eines Ziels

zu überfordern. Laut dem „Nokia Threat Intelligence Report“ ist die Zahl der IoT-Bots, die an solchen Botnet-gesteuerten DDoS-Angriffen beteiligt waren, von etwa 200.000 im Vorjahr auf rund eine Million 2023 gestiegen.

DNS-Attacken: In das IoT eingebundene ältere Maschinen, die nicht über die neuesten Sicherheitsstandards verfügen, weisen häufig Domain Name System (DNS)-Schwachstellen auf. Laut IDC verzeichneten 88 Prozent aller Firmen innerhalb von zwölf Monaten mindestens eine DNSAttacke.

Gefälschte Knoten: Hacker können ein IoT-Ökosystem angreifen, indem sie gefälschte Knoten in das Netz legitimer Verbindungsknoten einfügen und so den Datenfluss zwischen den gefälschten und legitimen Knoten und letztendlich allen Knoten zu kontrollieren.

IoT-Ransomware: Haben Hacker Geräte mit Malware infiziert, bauen sie daraus in der Regel Botnetze, die Zugangspunkte ausspionieren oder in der Geräte-Firmware nach gültigen Anmeldeinformationen suchen. Damit können sie Daten abgreifen und mit deren Vernichtung drohen, sollte kein Lösegeld gezahlt werden.

Physischer Zugriff: Nicht nur über das Internet kann ein IoT-Gerät angegriffen werden - ein weiteres

Risiko besteht in der Manipulation eines Gerätes „per Hand“. Daran denken viele Admins im Eifer des Online-Gefechtes gar nicht mehr.

So schützen sich

Firmen heute vor

IoT-Sicherheitsrisiken

IT-Teams verfolgen heute nach Möglichkeit einen mehrschichtigen Ansatz zur Minderung von IoT-Sicherheitsrisiken. Er besteht aus einer Kombination aus Richtliniendurchsetzung für alle Geräte im Netzwerk und Software zur Erkennung und Bekämpfung von Bedrohungen.

Problem: IoT-Devices verfügen in der Regel über kein gemeinsames Schema oder Datenmodell für den Registrierungs-, Verifizierungs- und Authentifizierungsprozess. Schön wären fest kodierte (eingebrannte) eindeutige Kennungen oder kryptografischer Daten, die in einem sicheren Element (SE) oder einer vertrauenswürdigen Ausführungsumgebung (TEE) gespeichert sind. Die Geräte verfügen zudem nicht immer über Betriebssystem und Firmware, die aktualisiert werden können.

Dabei sollten sich unwichtige Dienste und Ports deaktivieren lassen, wobei nur in begrenztem Umfang auf Root- oder vollständige Administratorkonten zurückgegriffen werden sollte. Die Standardpasswörter müssten bei der ersten Verwendung geändert werden können, und die Transport Layer Security standardmäßig aktiviert sein. Darüber hinaus braucht es regelmäßige Datensicherungen, Notfallwiederherstellungsverfahren, Netzwerk-Segmentierung und -überwachungswerkzeuge.

Das alles kann von Menschen allein kaum mehr bewältigt werden:

„IoT-Geräte bieten ein großes Potenzial für die Beschleunigung der digitalen Transformation. Aber ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken“,

CyberArk.

„Wichtig ist zunächst, dass Unternehmen alle IoT- und OT-Geräte kennen, die sich mit dem Netzwerk verbinden. Zudem müssen alle Anmeldedaten gesichert und verwaltet werden. Nicht zuletzt sollten Unternehmen auch die Fernzugriffe durch externe Anbieter für Firmware-Updates oder

Wartungsmaßnahmen sichern –mit einem kontrollierten Zugriff auf Systeme und Geräte, sowohl für menschliche als auch für nicht-menschliche Nutzer.“

IAM für das IOT

Das ist der Ist-Zustand. Schon bald aber werden Quantencomputer und die KI für neue, noch schärfere Sicherheitsprobleme sorgen. Sobald Hacker Machine Learning (ML)-Tools einsetzen, müssen auch die Admins KI einsetzen, um ihre IoT-Endpunkte sauber zu halten. Eine theoretische Gegenmaßnahme wären Verteidigungssysteme, den Angreifer imitieren und übertreffen können. Sie müssten Netze selbstständig auf Eindringlinge und Anomalien hin prüfen und das Risiko von Dienstausfällen vorhersagen können. Auch sollten sie eingehender Daten netzwerkweit analysieren

können unter der Voraussetzung, dass KI und Quantencomputing Angriffe sehr viel raffinierter machen als heute vorstellbar. Die Antwort auf diese Herausforderungen könnte, ja müsste in einem erweiterten Identity Access Management bestehen.

Denn Unternehmen sind mit einem dynamischen Wachstum von Identitäten konfrontiert, und zwar sowohl von Maschinen als auch von Menschen. Aktuell kommen auf jede menschliche Identität 45 maschinelle Identitäten. Im Jahr 2023 wird sich die Gesamtzahl der Identitäten voraussichtlich mindestens verdoppeln. Parallel zu dieser Entwicklung nimmt auch die Anzahl identitätsbezogener Angriffe – etwa mittels Ransomware oder Phishing – dramatisch zu.

Das traditionelle Identitäts- und Zugriffsmanagement (IAM) war ursprünglich auf Mitarbeiter ausgerichtet. Ein Identitätsmanagement für die Verwaltung von IoT-Knoten muss daneben auch noch Geräte wie Edge-Devices, Thermostate, Webcams vernetzte Sensoren oder gar Kühlschränke sowie ihre Beziehungen untereinander erfassen, mahnt Kleist. Es gelte, eine umfassende IdentitySecurity-Strategie, die intelligente Kontrollverfahren weit über das IoT hinaus beinhaltet, einzuführen. Identity Security müsse Identity and Access Management,

Identity Governance and Administration (IGA) sowie Privileged Access Management (PAM) umfassen. Damit ließen sich Sicherheitskonzepte von Endgeräten über Rechenzentren bis hin zur Cloud sowohl für menschliche als auch für digitale Identitäten zusammenführen. Dies wird andernorts auch gern als Identity Relationship Management (IRM) bezeichnet und weist folgende grundlegende Eigenschaften auf:

• Es kann die Identitäten aller Personen, Geräte und vernetzten Objekte in einem IoT-Ökosystem verwalten.

• Es stellt sicher, dass nur autorisierte Personen und Geräte auf Daten und Anwendungen zugreifen können.

• Es schützt die Integrität und Vertraulichkeit von Daten in IoT-Ökosystemen.

• Es macht IoT-Systeme und -Anwendungen verfügbar.

Die Entwicklung eines eigenen IRM-Systems ist unerlässlich, um Unternehmen auch im QuantenZeitalter vor Datendiebstahl, Betriebsunterbrechungen und Reputationsschäden zu schützen. Dafür muss es Standards wie OAuth2, OpenID Connect, SCIM sowie User-Managed Access (UMA) unterstützen, die auch künftig eine Rolle spielen werden:

Wussten Sie, dass die meisten Angreifer menschliches Verhalten manipulativ ausnutzen?

Ihre Belegschaft ist heute regelmäßig komplexen Phishing und Ransomware Angriffen ausgesetzt.

Bauen Sie eine starke Menschliche Firewall als letzte Verteidigungslinie.

Prüfen Sie selbst

wie effektiv unsere

Security Awareness

Plattform ist.

Ihre IT-Security bleibt Zombie-freie Zone

Mit dem Security Ecosystem.

Wenn Ihnen die Sicherheit Ihres Unternehmens am Herzen liegt, sollten Sie besonders auf Ihre IT achten. Ob Viren, Wasser oder Trojaner – die Gefahren werden zahlreicher und immer geschickter darin, Sicherheitslücken aufzuspüren und zu umgehen. Damit Ihre Daten auch bei Ihnen bleiben, gibt es das Samsung Security Ecosystem. Ein komplettes Ökosystem, das sich 24/7 um den Schutz Ihrer IT kümmert. Mit intelligenten Soft- und Hardwarelösungen sorgt es dafür, dass auch in Zukunft Viren und Schädlinge möglichst draußen bleiben.

OAuth2

OAuth 2.0 etwa ist ein tokenbasierter offener Authentifizierungs- und Autorisierungsstandard, der selbst kein Protokoll für die Authentifizierung bereithält, aber einen Rahmen für Authentifizierungsentscheidungen und -mechanismen bietet. Es fungiert als Autorisierungsprotokoll, und unterstützt in der Version 2.0 eine Vielzahl von Token-Typen wie WS-Security-Tokens, JWT-Tokens, Legacy-Tokens sowie benutzerdefinierte Tokens.

OpenID

In Deutschland hat sich ein Verbund aus der Quant-X Security & Coding GmbH, dem Fraunhofer-Institut für Photonische Mikrosysteme IPMS, der MTG AG sowie der Universität Regensburg das Ziel gesteckt, im Projekt „Quant-ID“ verlässliche digitalen Identitäten auf Basis von Quantenzufallszahlen und Post-Quantum-Kryptographie zu entwickeln.

„Unser Ziel ist die Entwicklung einer quantensicheren Autorisierung von Nutzern in einer IAMArchitektur unter Zuhilfenahme von Quantenzufallszahlen und Post-Quanten-Kryptographie.“

ALEXANDER NOACK,

GRUPPENLEITER AM FRAUNHOFER-INSTITUT FÜR PHOTONISCHE MIKROSYSTEME IPMS BILD: FRAUNHOFER IPMS

Wesentliche Voraussetzung für ein quantensicheres Identitätsma -

nagement ist ein quantensicheres ‚Single-Sign-On‘, das den multiplen Zugriff mit einer einzigen zentralen Anmeldung ermöglicht. Letztlich plane man eine quantensichere Version von „OpenID Connect“.

nagement. Diese intelligenten Berechtigungskontrollen müssten in Kombination genutzt werden, um den Zugang für jeden Identitätstyp und jede Identität zu sichern:

Just-in-TimeZugriff

Mittels User-Managed Access legen Admins fest, in welchem Umfang und wie lange eine Personen, ein Unternehmen, ein Services oder ein Gerät auf bestimmte Daten zugreifen darf.

SCIM

SCIM steht für System for Crossdomain Identity Management und ist ein offener Standard zur automatisierten Bereitstellung von Benutzeridentitäten in der Cloud. Es transferiert ID-Daten zwischen Identitätsanbietern wie etwa Unternehmen und ServiceProvidern, die diese Daten benötigen, typischerweise für SaaS-Anwendungen.

Entscheidend beim Einsatz sei die intelligente Kontrolle für privilegierte Zugriffe aller Identitäten, so Michael Kleist von CyberArk. Konkret gehe es dabei um vier Kontrollverfahren: den Just-in-Time-Zugriff, die Session-Isolierung, das Least-Privilege-Prinzip sowie das Credential- und Secrets-Ma -

Mit Just-in-Time-Zugriffen können Unternehmen den Benutzern in Echtzeit erweiterte Zugriffsrechte gewähren und anschließend wieder entziehen.

SessionIsolierung

Bei der Session-Isolierung wird der Datenverkehr zwischen dem Endgerät eines Benutzers und den Ressourcen, auf die er zugreifen möchte, über einen Proxy-Server als zusätzlichen Kontrollpunkt für die Angriffserkennung geleitet.

LeastPrivilege-Prinzip

Jeder Identität dürfen nur die minimal notwendigen Rechte für den Zugriff auf kritische Ressourcen gewährt werden, nichts darüber hinaus.

SecretsManagementImplementierung

Das Credential-Management sorgt für die Rotation von Passwörtern und Keys sowie die Durchsetzung von Passwortrichtlinien, das Secrets-Management setzt ähnliche Sicherheitsrichtlinien für maschinelle Identitäten durch.

„Die identitätsbezogenen Angriffe werden immer raffinierter. Es ist deshalb wichtig, mit einem proaktiven und reaktiven Ansatz widerstandsfähig gegen Cyberangriffe zu sein. Mit den genannten vier intelligenten Berechtigungskontrollen können Unternehmen die Risiken entscheidend reduzieren, indem sie den Zugang für jede Identität sichern“, so Kleist. „Die Aufgabe für Unternehmen lautet also, Identitäten nicht nur zu verwalten, sondern sie auch im Rahmen einer umfassenden Identity-Security-Strategie mittels intelligenter Kontrollen für privilegierte Zugriffe zu sichern.“

Autor: Dr. Dietmar Müller

kann die Gefahr, Opfer einer Cyberattacke zu werden, eindämmen. Zu den naheliegenden Maßnahmen gehört es, Mobilgeräte up-to-date zu halten. Veraltete Versionen von Firmware und Betriebssystem können ein erhebliches Sicherheitsrisiko darstellen. Um Kompatibilitätsprobleme zu vermeiden und die Produktivität nicht zu gefährden, sollten Updates vor einem Rollout allerdings immer erst getestet werden. Die zentrale Firmware-Management-Lösung Knox E-FOTA ermöglicht es, Software-Updates zentral zu planen, sie zu testen und – falls erforderlich – die Aktualisierung von Geräten zu erzwingen.

MOBILE SICHERHEIT FÜR IHR BUSINESS

Sicherheit ist ein Thema, bei dem Sie keine Kompromisse eingehen sollten. Schließlich kann „ein bisschen abgesichert“ schnell zu „komplett ungesichert“ werden. Das gilt auch für Mobilgeräte und besonders für solche im Unternehmenseinsatz. Ein lückenhafter Schutz kann über Malware und Cyberattacken schnell zum Verlust sensibler Geschäftsinformationen führen, Unbefugten den Zugriff auf das Firmennetzwerk eröffnen und andere wirtschaftliche Schäden verursachen.

LÖSUNGEN FÜR EINE HOHE SICHERHEIT

Eine Kombination aus verschiedenen

Anpassungen bei Hardware, Software und Verhalten der Mitarbeitenden

GERÄTE UND DATEN VOR IHREN NUTZERN SCHÜTZEN

Auch der Faktor Mensch kann im Hinblick auf den Grad der Gefährdung eines Mobilgeräts von entscheidender Bedeutung sein. Betriebliche Smartphones sollten daher über eine zentrale Managementkonsole verwaltet und der freie App-Download eingeschränkt werden. Unternehmen können die softwareseitigen Risiken der Smartphone-Nutzung dann in den Griff bekommen, wenn sie diese zentral managen und schützen. Die Plattform Samsung Knox bietet dafür gute Voraussetzungen. Sie erlaubt es, Endgeräte automatisiert in ein Mobile Device Management zu integrieren, riskantes Nutzerverhalten zu unterbinden, sowie Funktionen zeit- oder personenbasiert einzuschränken. Die Mobiltelefone der Mitarbeitenden lassen sich remote administrieren. Geht ein Gerät verloren, können die darauf gespeicherten Inhalte aus der Ferne gelöscht werden, um ein Abfließen an Unbefugte zu vermeiden.

TRENNUNG VON PRIVATER UND GESCHÄFTLICHER NUTZUNG

Bei der Vermischung persönlicher und betrieblicher Nutzung kann es schnell zu Verstößen gegen Datenschutz- und Compliance-Richtlinien oder zu Sicherheitslücken kommen. Ist eine Mischnutzung erlaubt, sollten geschäftliche Daten in einem separaten und verschlüsselten Speicherbereich wie Knox Vault auf dem Gerät isoliert und so vor Fremdzugriffen geschützt werden.

SICHERSTELLUNG DER GERÄTEINTEGRITÄT

Mobilgeräte können während des Bootprozesses anfällig für Attacken sein. Der Device-Unique Hardware Key (DUHK) von vielen Samsung-Modellen überprüft deshalb schon beim Start des Geräts die Integrität des Betriebssystems und aller Applikationen. Zusätzlich bietet die Real-time Kernel Protection (RKP) eine Überprüfung des Kernels während der Nutzung, um Manipulationsversuche zu entdecken und zu unterbinden.

SCHUTZ DER ÜBERTRAGUNGSWEGE

Daten können nicht nur direkt auf den Geräten selbst, sondern auch

bei der Nutzung offener und unverschlüsselter WLAN-Umgebungen gestohlen werden. In nicht sicheren WLANs empfiehlt sich daher die obligatorische Nutzung eines Virtual Private Network (VPN). Das Knox VPN Framework kann solche Verbindungen dank angepasster Funktionen und einer starken Verschlüsselung absichern.

RUND UM DIE UHR IM DIENSTE IHRER IT-SICHERHEIT

In der aktuellen Security-Kampagne von Samsung stellen sich Leo Laser und Sammy Supernose dem Kampf gegen Viren, Trojaner und andere Gefahren. Ihre realen Gegenstücke aus dem breit gefächerten Knox-Ökosystem für mobile Sicherheit verfügen zwar nicht über Laseraugen und Agentengadgets, stellen sich aber ähnlich kompromisslos Cyberbedrohungen entgegen.

Sie interessieren sich für diese mobile Sicherheit ohne Wenn und Aber? Unter samsung.de/business-security haben wir Ihnen ausführliche Informationen zum umfassenden Samsung Security Ecosystem zusammengestellt.

„Mit zunehmenden Cyberattacken wird es immer wichtiger, seine mobilen Endpunkte im Firmennetzwerk ausgiebig zu schützen. Samsung Knox bietet neben der hardwarebasierten Sicherheit auch das entsprechende Toolkit, um ein Samsung Galaxy Endgerät vollumfänglich vor Gefahren zu schützen.“

Holger Dohrmann (Dipl.-Ing.)

Product & Solution Manager B2B

MX I Mobile Experience

Business Development & Operational Excellence

E-Mail: h.dohrmann@samsung.com Mobil +49-170-370-5568

samsung.de

AKTUELLE BEDROHUNGEN:

DIE GEFÄHRLICHSTEN

CLOUD-ANGRIFFSMETHODEN

ROLAND STRITT, VICE PRESIDENT CENTRAL

EMEA BEI SENTINELONE

BILD: SENTINELONE

1. SCHWACHSTELLEN IN CLOUD-DIENSTEN

Einer der am häufigsten beobachteten Angriffe in Cloud-Netzwerken ist die Kompromittierung durch anfällige Dienste. Aus diesem Grund ist es wichtig, stets dafür zu sorgen, dass aktuelle Updates auf allen Systemen vorhanden sind. Bei Cloud-Diensten ist dies besonders kritisch, weil ein Angreifer nach der Kompromittierung oft die Möglichkeit hat, auf wichtige Unternehmenssysteme und -ressourcen, die in einem CloudNetzwerk gehostet werden, überzuwechseln.

Ein bekanntes Beispiel für diese Art von Angriffen stellt die zum ersten Mal Ende 2021 aufgetretene und berüchtigte Ausnutzung der Apache Log4J-Schwachstelle dar. Es gibt allerdings noch viele andere gängige Dienste, die ebenfalls für solche Angriffe anfällig sind. Unternehmen, die sich auf Schwachstellen-Scanner verließen, um Schwachstellen wie Log4j zu erkennen und sich dagegen zu schützen, waren in ihren Netzwerken einem erhöhten Risiko ausgesetzt, da die Schwachstelle bereits eine Woche vor ihrer Entdeckung ausgenutzt wurde.

Log4j wurde, wie viele andere Zero Day-Schwachstellen, innerhalb kürzester Zeit von Angreifern ausgenutzt. Die Mehrheit der beobachteten Angriffe war eher opportunistischer Natur; in einigen seltenen Fällen nutzten jedoch auch

gut organisierte Gruppen und staatliche Hacker die Sicherheitslücke aus, darunter solche, die China und dem Iran zugeschrieben werden. Die Schwere dieser Art vergangener Angriffe zeigt, wie wichtig es für Unternehmen ist, böswillige Aktivitäten in ihren Umgebungen frühzeitig zu erkennen, bevor die Schwachstellen bekannt sind.

2. CLOUD -FEHLKONFIGURATIONEN Konfigurationsfehler stellen allgemein die häufigste Ursache für Datenlecks in der Cloud dar. Unternehmen, die Kundendaten fälschlicherweise öffentlich zugänglich oder für Außenstehende leicht angreifbar machen, haben im Laufe der Jahre zu einem stetigen Anstieg der Anzahl und des Ausmaßes von Sicherheitsverletzungen geführt. Dies ist zwar nicht ausschließlich in der Cloud der Fall, aufgrund der Einfachheit der Ausnutzung und der versteckten Komplexität von Cloud-Speicherkonfigurationen kommt es hier jedoch besonders häufig zu Vorfällen.

Derartige Nachlässigkeiten stellen aber nicht die einzige Ursache für Datenlecks dar. In vielen Fällen wurde beobachtet, dass Cloud-Hosts mit Malware infiziert wurden oder weiteren Netzwerkzugriff erhielten, weil ein Angreifer in der Lage war, Änderungen an einem System vorzunehmen. So wurde beispielsweise der Bedrohungsakteur TeamTNT dabei

beobachtet, wie er auf ungesicherte Docker-Daemons zugriff, um seine eigenen schadhaften Images zu installieren und auszuführen und die Opfer mit einem Botnet und illegalen Crypto-Mining-Programmen zu infizieren. Dies ist eine einfache, aber äußerst effektive Technik gegen Unternehmen mit falsch konfigurierten Cloud-Diensten.

Das Spektrum der in Cloud-Netzwerken üblichen Anwendungen, die im Falle einer Fehlkonfiguration missbraucht werden können, ist extrem groß. Besonders gefährlich ist die Tatsache, dass ein Fehler in der Konfiguration nicht nur den Missbrauch von Unternehmensdaten und -ressourcen ermöglicht, sondern für einen fähigen Bedrohungsakteur auch einen einfach auszunutzenden Einbruchsvektor in das gesamte Netzwerk darstellt.

3.SUPPLY CHAIN ATTACKS

Angriffe auf die Lieferkette nehmen im Herzen der Angreifer einen besonderen Platz ein. Während bei Supply Chain Attacks auf Unternehmen wie Solarwinds, die einem russischen APT zugeschrieben wurden, häufig über Eingriffe in die Lieferkette berichtet wurde, gibt es auch andere, die auf Cloud-Netzwerke und -Dienste beschränkt sind.

Eine der Angriffsmethoden auf die Lieferkette ist die Kompromittierung von Docker Hub-Images. Die bereits erwähnte Gruppe TeamTNT kompromittiert seit einiger Zeit aktiv Docker Hub-Images, was zur Infektion der Accounts von Usern führt, die diese scheinbar vertrauenswürdigen Images installieren und aktualisieren. In ihrem Fall gehören zu den primären Zielen allgemeinere Botnet-Funk-

tionen und die Verwendung von Minern. Docker-Administratoren sollten bei der Aufnahme neuer Images Vorsicht walten lassen, ähnlich wie bei der Installation von Fremdsoftware in Ihrem Netzwerk. Eine ordnungsgemäße Endpunkt-Telemetrie von Hosts, auf denen solche Images ausgeführt werden, ist ein idealer Weg, um sicherzustellen, dass nach einer Verzögerung bei dieser Art von Bereitstellungen keine bösartigen Funktionen aktiviert werden.

In Bezug auf die Software-Lieferkette sind Unternehmen mit der Tatsache konfrontiert, dass die stetig steigende Anzahl an Geräten in den Netzwerken auch eine Ausweitung der Angriffsoberfläche darstellt, welche Cyberkriminelle ausnutzen können und werden. Es ist daher davon auszugehen, dass Angriffe auf die Lieferkette weiterhin zunehmen, auch angetrieben durch die weltweit zunehmende Verwendung von Open-Source-Software.

4. ZUGANG ZU CLOUDMANAGEMENT-PLATTFORMEN

Eines der üblichsten Einfallstore für Cloud-Angriffe ist der herbeigeführte Zugriff auf die Cloud-Management-Plattform des Opfers – insbesondere auf privilegierte Cloud-Konten. Die Abwehr dieser Attacken ist deshalb so wichtig, weil sie dem Angreifer

die Möglichkeit bieten, die Barriere des Zugriffs auf Informationen oder die Kontrolle über einen leistungsstarken, normalerweise vertrauenswürdigen Dienst zu überwinden.

Ein Angreifer mit privilegiertem Zugriff auf die Verwaltungsplattform eines Cloud-Dienstes – sei es AWS, GCP oder Azure – kann sich und seine Schadsoftware an vielen schwer überwachbaren Stellen einschleusen. Dank der Verwendung von Open-SourceTools wie Purple Panda kann ein Angreifer mit gestohlenen Anmeldeinformationen die Ausweitung von Cloud-Privilegien automatisieren und Möglichkeiten für laterale Bewegungen identifizieren.

FAZIT

Cloud-basierte Angriffe stellen einen schnell wachsenden Bereich von großem Interesse sowohl für opportunistische als auch gezielte Angreifer dar. Obwohl die bei solchen Angriffen eingesetzten Techniken umfangreich und vielfältig sind, beruhen sie in der Regel stark auf der Tatsache, dass Cloud-Netzwerke groß, komplex und aufwändig zu verwalten sind. Daher sind Agenten- und Container-Sicherheitslösungen für die Verteidigung jedes Unternehmens gegen alle Angriffe auf CloudPlattformen von entscheidender Bedeutung.

CLOUD-DIENSTE REVOLUTIONIEREN

DIE ARBEITSWELT, SORGEN ABER MIT SICH AUFLÖSENDEN

NETZWERKGRENZEN

Gezielte

Cyberangriffe im Teamwork stoppen

In Unternehmen findet eine kontinuierliche digitale Transformation statt. Traditionelle Computing- und Software-Lösungen im eigenen Rechenzentrum werden hinterfragt. Nicht selten kommen die IT- und BusinessVerantwortlichen zum Schluss, dass es smartere Wege gibt, die IT zu betreiben und fit für eine agile und schnelllebige Zukunft zu sein. Die digitale Transformation geht einher mit einer Auflösung der klassischen Netzwerkgrenzen im Unternehmen. Cloud-Dienste revolutionieren die Arbeitswelt und immer mehr Mitarbeiter, Partner und Kunden sind von extern an die Kernsysteme des Unternehmens angebunden. Das daraus resultierende Risiko sind gefährliche Sicherheitslücken, die Cyberkriminelle ausnutzen, um beispielsweise Ransomware-

Erpressungen oder Datendiebstahl in großen Stil zu betreiben. Ergo muss moderne Cybersecurity Antworten auf diese neuen Bedingungen geben, und hier kommt Cybersecurity as a Service mit Lösungen wie Managed Detection & Response ins Spiel. Diese ITSicherheitslösungen ermöglichen es effektiv, eine nach außen immer performantere IT zu schützen, ohne die Arbeitsprozesse einzuschränken.

Komplexe, verteilte IT benötigt Security-Services

Es spielt keine Rolle aus welcher Branche oder wie groß ein Unternehmen ist, die Cybergefahrenlage ist hoch. Der zusätzliche SecurityFachkräftemangel in Kombination mit einer immer vernetzteren und komplexeren IT fordern neue Sicherheitskonzepte. Um auf

aktuelle Cyberangriffe gut vorbereitet zu sein, ist weit mehr als ein Endpoint-Schutz und eine Firewall nötig. Vielmehr bietet ein integriertes Konzept aus intelligenten, vernetzten und auf Künstlicher Intelligenz basierenden Security-Lösungen in Verbindung mit menschlicher Expertise, wie der Managed Detection and Response Service von Sophos, den besten Schutz. Die Erfahrung dieser Expertenteams ist Gold wert, da mit ihrer Hilfe aktiv Anomalien im Netzwerk aufgespürt werden können, die aufgrund der trickreichen Angriffstaktiken der Cyberkriminellen von technischen Lösungen sonst häufig nicht erkannt würden.

Offenheit und Kompatibilität sowie ständig verfügbaren Sicherheitsoperationen sind zu Grundvoraussetzungen für eine effektive CyberAbwehr geworden. Die Komplexität moderner Betriebsumgebungen und die Geschwindigkeit von Cyber-

bedrohungen machen es jedoch für die meisten Unternehmen immer schwieriger, Erkennung und Reaktion erfolgreich selbst zu verwalten. Immer mehr IT-Teams setzen deshalb auf Cybersecurity as a Service und arbeiten mit externen Expertenteams zusammen. Sophos MDR ist dabei in der Lage, in großem Umfang Sicherheitstelemetrie von externen Anbietern automatisch zu konsolidieren, zu korrelieren und mit Erkenntnissen aus dem Sophos Adaptive Cybersecurity Ecosystem und der Sophos X-Ops Threat Intelligence Unit zu priorisieren.

Auf diese Weise individuell zurechtgeschnittene Cybersecurity as a Service in Kombination mit einer zentral gesteuerten sowie sich ständig weiterentwickelnden Technologie, sorgt langfristig für Sicherheit.

über

533 Mio

Im April 2021 veröffentlichte ein Hacker die Telefonnummern und andere persönliche Daten von über 533 Millionen Facebook-Usern aus 106 Ländern.

Benutzerdaten Hacked !

Awareness

Kommunikation als unverzichtbare Voraussetzung der IT-Sicherheit

Es gibt mehrere Möglichkeiten, um das Sicherheitsniveau von IT-Infrastrukturen zu erhöhen. Beispielsweise durch architektonische Maßnahmen, wie Netzsegmentierungen oder auch durch den Einsatz von Sicherheitswerkzeugen wie Firewalls, Anti-Spam-Produkten und Ähnlichem. Reicht dies aber aus, oder ist die Security Awareness der Mitarbeiter am Ende doch der entscheidende Faktor, um für eine hohe Datensicherheit zu sorgen?

Denkt man diese Frage konsequent zu Ende, so merkt man schnell, dass sie sich in dieser Form eigentlich gar nicht stellt. Es gibt ja auch die Option, ein Haus sicher zu gestalten, durch Schließsysteme, Überwachungskameras und Alarmanlagen. Verlässt ein Bewohner dieses Haus, ohne die Tür zu schließen und die Alarmanlage zu aktivieren, so nützen diese Maßnahmen am Ende des Tages herzlich wenig. Die Menschen sind also ein integraler Bestandteil eines Sicherheitskonzepts, egal, ob es sich um Sicherheit im täglichen Leben oder um IT-Security handelt.

Welche Maßnahmen kann eine Organisation aber durchführen, um bei den Mitarbeitern ein hohes Sicherheitsbewusstsein zu schaffen, damit diese beispielsweise nicht auf Phishing-Versuche hereinfallen? Welche Schritte ergeben Sinn und wo liegen die Probleme? Dieser Beitrag gibt dazu einige praktische Hinweise.

In vielen Unternehmen gibt es ausgefeilte Schließsysteme, abgetrennte Zutrittsbereiche und Ähnliches. Dies akzeptieren die Mitarbeiter jeden Tag problemlos. Jeder sieht ein, dass er nicht in Labors oder Produktionsbereiche gehen sollte, wenn er dort nichts zu suchen hat. Wird dieses Sicherheitsverständnis auf die IT-Umgebung übertragen, so kommt es aber zu Schwierigkeiten. Das hängt auch damit zusammen, dass sich manche Sicherheitsmaßnahmen in der IT, wie beispielsweise das Blocken bestimmter Web-Adressen, relativ einfach – und ohne schädliche Konsequenzen für den jeweiligen Mitarbeiter – umgehen lassen. Ein Mitarbeiter kann beispielsweise Daten über sein Smartphone und das mobile Netz aus dem Internet laden und diese auf seinen PC übertragen, um so das Filtersystem seines Unternehmens zu umgehen. Das merkt im Zweifelsfall keiner. Würde er in Straßenkleidung einen Reinraum betreten, hätte das für ihn im Gegensatz dazu unmittelbare Konsequenzen.

Das führt dazu, dass IT-Sicherheit aus Mitarbeitersicht immer eine Art Nischendasein führt. Security-Maßnahmen sind lästig, halten einen nur von der Arbeit ab und lassen sich leicht umgehen, so die allgemeine Ansicht. Soll hier ein Umdenken stattfinden, so müssen viele Parteien, wie die IT-Abteilungen, die Geschäftsführungen und auch die Mitarbeiter an einem Strang ziehen, was in den meisten Fällen nicht der Fall ist.

Sicherheitskonzepte für Unternehmen

In der Praxis wäre es erstrebenswert, wenn die Mitarbeiter ständigen Kontakt mit AwarenessSchulungen hätten und ihre Lektionen konstant wiederholen würden, bis sie durchgehend an Security denken und ihr Handeln automatisch so abläuft, dass Sicherheitsfragen Berücksichtigung finden.

WALDEMAR BERGSTREISER, General Manager

Central Europe

bei Kaspersky, erzählte uns dazu folgendes: BILD: KASPERSKY

Die Wiederholungen spielen dabei eine besonders wichtige Rolle, da sie dafür sorgen, dass sich ein Automatismus einstellt. Leider ist so etwas in der Praxis aber schwierig, da die Menschen keine Freude an Wiederholungen haben und heutzutage sowieso viel zu viele unterschiedliche Schulungen Pflicht sind, die zu “Training Fatigue” führen.

Dazu kommt noch ein anderes Problem, nämlich dass auch die Geschäftsführung die Bedeutung der Security Awareness häufig nicht erkennt.

“Wir führen mit unseren Kunden immer Feedback-Gespräche durch, bei denen sie uns – nachdem sie unsere Schulungen eine Zeit lang eingesetzt haben – mitteilen, ob sie in der vorliegenden Form sinnvoll sind, ob etwas fehlt und so weiter. Einer unserer größeren Kunden hatte unser Schulungspaket gebucht und diese Buchung danach über drei Jahre hinweg verlängert. Als wir mit diesem Kunden eines der FeedbackGespräche durchführten, kam heraus, dass dieser das System zwar lizenziert und in seinem Unternehmen implementiert hatte, dass es aber noch nie ausgeführt worden war. Es genügte dem Unternehmen, für die Versicherung im Bereich ‘Existiert ein Security-Awareness-Programm?’ einen Haken setzen zu können.”

Wenn solche Bedingungen herrschen, wundert es nicht, dass es um die Security-Awareness schlecht steht. Dabei gibt es durchaus Möglichkeiten, ein entsprechendes Training flexibel und sinnvoll zu gestalten. Dabei sollten laut Herrn Bergstreiser interaktive Lernmodelle zum Einsatz kommen, die – um die Aufmerksamkeitsspanne nicht zu überfordern – das Wissen häppchenweise vermitteln. Frontalunterricht ergibt in diesem Zusammenhang keinen Sinn. Eine wichtige Rolle spielt dabei, dass die Angebote relevant und aktuell sind. Es ist wichtig, neue Methoden und Kniffe ein -

zuarbeiten, um die Schulungen interessant zu gestalten. Die Schulungssysteme müssen in den Unternehmen auch Erfahrungswerte und Wiederholungen einbinden. Außerdem gilt es, die Anwender zu berücksichtigen: Die Anforderungen in der Buchhaltung stellen sich beispielsweise anders dar, als in der Produktion.

Moderne Schulungen sind interaktiv und bestehen beispielsweise aus Videos, die mit Nachrichtensprechern realisiert wurden.

Während der Schulungen gibt es unterschiedliche “Spielrunden” die Angriffe simulieren, bei denen Passwörter geklaut werden und bei denen Server ausfallen. In diesem Fall kommt die Produktion zum Erliegen, es entsteht der Zwang, Systeme zu überprüfen und so weiter. Alles das kostet Zeit und Geld. Am Ende der Spielrunde sieht man dann, wer trotz der ganzen Probleme noch am meisten Umsatz gemacht hat. Führt man die Schulung mit verschiedenen Teams durch, so lässt sich daraus sogar eine Art Wettbewerb erzeugen, was wiederum dafür sorgt, dass die Mitarbeiter lernen, gemeinsame Entscheidungen unter Zeitdruck zu treffen.

Die Security Awareness sollte sich zudem nicht nur auf die Mitarbeiter beschränken. Herr Bergstreiser nannte uns dazu noch ein weiteres anonymes Beispiel aus der Praxis.

“Anfang des Jahres fand ein laufender Angriff auf eine Organisation statt, der über Social Engineering gestartet wurde. Hierfür wurde allerdings nicht einer der Mitarbeiter als initialer Vektor genutzt, sondern dessen Familienmitglied. Über scheinbar belanglose Aktionen dieses Verwandten konnten die Cyberkriminellen den Mitarbeiter erpressen, um so Zugang zum Netzwerk zu erhalten. Cybersicherheit muss daher ganzheitlich und umfassend gedacht werden.”

“Anfang des Jahres fand ein laufender Angriff auf eine Organisation statt, der über Social Engineering gestartet wurde. Hierfür wurde allerdings nicht einer der Mitarbeiter als initialer Vektor genutzt, sondern dessen Familienmitglied. Über scheinbar belanglose Aktionen dieses Verwandten konnten die Cyberkriminellen den Mitarbeiter erpressen, um so Zugang zum Netzwerk zu erhalten. Cybersicherheit muss daher ganzheitlich und umfassend gedacht werden.”

“Die Anmeldungsquote liegt bei manchen Organisationen nach drei Jahren bei lediglich fünf Prozent. Das liegt an der mangelnden Kommunikation. Um solche Tools sinnvoll zu nutzen, sind Integratoren nötig, sie verkaufen sich nicht von selbst. Das kostet allerdings Zeit” , so Laber.

Uninteressiertes Management

LABER,

G DATA bestätigte das Problem, dass viele Kunden Security-Awareness-Programme nur buchen, um bei der Compliance einen Haken setzen zu können. Auditoren prüfen nicht, ob diese Programme wirklich genutzt werden, sondern entscheiden nur anhand des Vorhandenseins des Hakens.

Nach seiner Meinung liegt der größte Fehler bei Sicherheitsschulungen unternehmensübergreifend darin, dass die entsprechenden Lösungen zwar eingekauft, aber dann im Unternehmen nicht kommuniziert werden. Deswegen nutzt sie in der Praxis dann auch niemand.

Ein weiteres Problem hängt ebenfalls mit dem Management zusammen. Viele leitende Mitarbeiter sehen bei Security-Awareness-Programmen lediglich die entstehenden Kosten und nicht den Nutzen der sich daraus ergibt. Durch das Vermeiden von Ausfällen, RansomwareBefall und Ähnlichen können Unternehmen nämlich viel Geld sparen, was in der Praxis untergeht.

Moderne Sicherheitsstrategien

Minimieren Sie

Ihr menschliches

Cybersecurity-Risiko

Erfahren Sie, wie Sie durch messbare Optimierung des Online-Verhal tens von Mitarbeitern mehr Sicherheit erzielen.

Schützen

Setzen Sie am Nutzerverhalten an, um reale Bedrohungen abzuwehren.

Halten Sie mit der aktuellen Gefährdungslage Schritt

Erkennen

Nutzen Sie reale Attacken für Lernzwecke. Fördern Sie die Mitarbeiterbeteiligung durch positive People-FirstStrategien.

stehen auf drei Säulen: Zunächst einmal müssen die Unternehmen Endpoints absichern und eine Incident Response einrichten. Dazu kommt zwingend die Security Awareness, ohne die das ganze Konzept nicht funktionieren kann.

Die Endpoint-Absicherung und die Incident Response sind selbst dann wichtig, wenn alle Mitarbeiter umfassende Sicherheitstrainings durchführen. Es gibt im Unternehmen nämlich immer irgendjemand, der auf einen Link in einer Phishing Mail klickt oder einen Virus aktiviert. Deswegen reichen Security-Awareness-Trainings alleine nicht aus.

Die IT-Verantwortlichen dürfen aber im Umkehrschluss nicht daraus folgern, dass Incident Response als unternehmensweite Sicherheitsmaßnahme genügt. Sie könnten ja argumentieren, wenn es eh immer jemanden gibt, der auf den schädlichen Link klickt, so sind die Trainings überflüssig und es reicht, sich auf die Incident Response zu verlassen. Es ist aber ein großer Unterschied, ob es pro Jahr einen oder fünf solcher Fälle im Netz gibt, oder die paar tausend, die bei ungeschultem Personal auftreten würden.

Ein weiteres Problem, das bei Sicherheitstrainings dem Erfolg im Weg steht, ist die bereits angesprochene Training Fatigue. Zum einen gilt, dass es heutzutage so viele Schulungen und Weiterbildungen in allen möglichen Bereichen gibt, dass die Mitarbeiter schlicht und ergreifend keine Lust mehr haben. Andererseits fehlen auch bei vielen Awareness-Trainings die Erklärungen, die belegen, was für eine wichtige Rolle sie spielen. Deswegen sind die Teilnehmer auch nicht motiviert, sich zu engagieren.

Die Bestandteile einer modernen Sicherheitsstrategie

fügt Laber hinzu.

Die genannte Problematik wird sich in Zukunft verschärfen, da moderne KI-Lösungen mit Deep Fakes, generierten Videos, gefälschten Telefonaten und Ähnlichem viele neue Angriffsmöglichkeiten eröffnen werden, die sich sehr schwer erkennen lassen und die eigentlich ein extrem gut geschultes Personal voraussetzen. Deswegen ist es wichtig, die Trainings anzupassen: Sie müssen Spaß machen, es muss die Option bestehen, sie während der Arbeit zu erledigen und die Teilnehmer sollten jederzeit Gelegenheit haben, Informationen nachzuschlagen, wie beispielsweise

“Was sind die Merkmale einer Phishing Mail?”. Echte Security Awareness lässt sich nur durch ständiges “Learning on the Job” realisieren.

“Die Informationen müssen direkt im Kopf bleiben, da die Mitarbeiter mit Trainingseinheiten überflutet werden. Der Übergang der Informationen vom Kurz- ins Langzeitgedächtnis muss effizient ablaufen, zum Beispiel durch den Einsatz von Bildern, Videos und durch Storytelling und charakterbasiertes Lernen. Die Security Awareness setzt zwingend eine sofortige Verankerung der Daten im Gehirn voraus, denn jeden Tag kommen neue Informationen hinzu. Wir brauchen folglich kurze Formate, die darauf abzielen, dass der Mensch nicht die größte Fehlerquelle im Unternehmen wird. Es ist auch wichtig, dass sich die Formate mobil nutzen lassen, um flexibel zu bleiben.”

Fazit

Die Security Awareness stellt einen zentralen Bestandteil der IT-Sicherheitsstrategie dar. Leider sehen viele die Trainings lediglich als Mittel zum Zweck und verstehen ihre Bedeutung nicht. Hier ist noch viel Arbeit zu leisten, vor allem, was die Kommunikation angeht.

“Dazu sind kurze und hoch interaktive Formate erforderlich”

WER HAT ANGST VOR

Mit der NIS-2-Richtlinie kommen weitere regulatorische Anforderungen auf Unternehmen zu.

Was müssen CISOs jetzt wissen – und wie können sie die wachsenden ComplianceHerausforderungen am besten meistern?

Bereits am 16. Januar 2023 hat die EU-Kommission die NIS-2-Richtlinie verabschiedet. Jetzt müssen die Mitgliedsstaaten sie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen. Das neue Gesetz soll die Cybersicherheit kritischer Infrastrukturen verbessern und die internationale Zusammenarbeit gegen Cyberkriminalität stärken. Künftig kommen sieben neue KRITIS-Sektoren hinzu. Außerdem sind bereits kleine Unternehmen ab einer Größe von mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz betroffen. Und: KRITISBetreiber müssen ihre Lieferanten in die Risiko-Betrachtung integrieren, um sich

besser vor Supply-Chain-Angriffen zu schützen. Wie gefährlich diese sein können, haben Beispiele wie Kaseya und Solarwinds gezeigt.

Neue Pflicht:

Cyber-Risikomanagement Was ändert sich für CISOs? Zum Großteil fordert NIS-2 gängige Security-Best-Practices, etwa Systeme zur Angriffserkennung oder eine Back-up-Strategie. Neu ist allerdings die Erweiterung der Pflicht zum Risikomanagement hinsichtlich Cyberrisiken: Unternehmen müssen künftig in der Lage sein, Cyberrisiken zu erkennen, zu bewerten und zu mindern. Am besten gelingt das mit einer Plattform-Lösung, die Attack Surface Risk Management (ASRM) und XDR (Extended Detection and Response) vereint. ASRM ermittelt kontinuierlich KI-gestützt den aktuellen Risikostatus und schlägt Alarm, wenn ein zuvor definierter Schwellenwert überschritten ist. XDR ermöglicht es, Bedrohungen in der gesamten IT-Umgebung schneller zu erkennen und zu mindern.

Zusammen reduzieren die beiden Technologien sowohl die Eintrittswahrscheinlichkeit als auch das Schadensausmaß von Cyberangriffen. So können Unternehmen mit wenig Aufwand ein effektives Risikomanagement umsetzen.

Die Compliance-Anforderungen steigen

NIS-2 ist nur eine von vielen Regularien, mit denen sich Unternehmen heute auseinandersetzen müssen. Während das Risiko für Cyberangriffe steigt, nehmen auch die Compliance-Anforderungen zu. Dadurch wächst der Aufwand in ohnehin schon stark belasteten SecurityTeams. Der anhaltende Fachkräftemangel wird dabeiselbst zum Risikofaktor. Umso wichtiger ist neben bestmöglicher SecurityTechnik auch Unterstützung durch Managed Services. Externe Spezialisten beraten dann zum Beispiel zur optimalen Konfiguration der Security-Lösungen, übernehmen die Auswertung von Warnmeldungen und helfen dabei, Bedrohungen schnell und richtig zu adressieren.

„Wer jetzt die richtigen Security-Weichen stellt, ist auf wachsende Compliance-Herausforderungen vorbereitet.“

Richard Werner Business Consultant bei Trend Micro

Noch steht das finale Gesetz zur Umsetzung der NIS-2-Richtlinie in Deutschland nicht. Trotzdem empfiehlt sich, jetzt schon die eigene Security-Aufstellung zu überprüfen und anzupassen. Denn der Ansturm auf Managed Services Provider dürfte nächstes Jahr groß werden. Ganz unabhängig von den regulatorischen Anforderungen

lohnt sich der Aufwand. Denn Cyberrisiken sind heute das größte Geschäftsrisiko – sie zu erkennen, zu priorisieren und zu mindern ist daher für jedes Unternehmen unverzichtbar. Trend Micro berät dazu gerne auf der it-sa vom 10. bis 12.Oktober 2023 in Nürnberg.

GEWINNEN SIE IHR TEAM FÜR CYBER SECURITY

Eine echte Sicherheitskultur zu etablieren ist schwierig. Aber mit unseren Awareness Trainings so einfach wie noch nie.

gdata.de/awareness-training

OT Cybersecurity by TXOne Networks

AGILITÄT IST UNSERE STÄRKE

BEI TXONE NETWORKS STEHEN SICHERHEIT, GESCHÄFTSKONTINUITÄT UND

HOCHWERTIGE SERVICES

FÜR RESELLER WIE AUCH

ENDKUNDEN, SOWIE

DIE SCHNELLE REAKTION AUF

KUNDENBEDÜRFNISSE IM

MITTELPUNKT – GETREU DEM

MOTTO: KEEP THE OPERATION RUNNING.

Im Jahr 2022 schuf TXOne Networks seine Präsenz in der DACHRegion. Man stellte mit Klaus Stolper, Sales Director DACH, und Jasmin Steinhoff, Manager PreSales Engineering DACH, zwei erfahrene Fachkräfte ein. Mittlerweile arbeiten dort 12 Mitarbeiter, von deren Erfahrungen und Kenntnissen des Marktes auch das europäische Team profitiert.

Die kürzliche Ausweitung der Partnerschaft mit dem ValueAdd-Distributor Infinigate auf die DACH-Region erhöht zudem die

Schlagkraft der TXOne Networks. Damit wird Partnern und Kunden eine One-Stop-Lösung angeboten, die deren Ressourcen schont und OT-Anlagen zuverlässig schützt.

Sicherheit auf der ganzen Linie mit OT Zero Trust Statt punktueller Lösungen setzt TXOne auf ein modulares Konzept namens OT Zero Trust. Dies ermöglicht den Kunden, ihre Produktionsmaschinen während der gesamten Wirkungszeit zu schützen und die Produktion sicherzustellen. Es beginnt mit dem Onboarding neuer Maschinen und erstreckt sich über die langjährige Sicherung im laufenden Betrieb, hin zur Überwachung sowie Sicherung der Kommunikation zwischen den einzelnen Maschinen.

„Wir haben mit unseren Lösungen die Möglichkeit geschaffen, alle wichtigen OT-Netzwerkprotokolle zu erkennen, damit wir sie reglementieren und sichern können“, erklärt Klaus Stolper, Sales Director DACH bei TXOne.

Für den industriellen Endpunkt nutzt TXOne eine eigene Kompatibilitätsliste mit über 8000 Applikationen der wichtigen Steuerungshersteller. So werden Maschinenstörungen durch falschen Alarm vermieden. Mithilfe des Portable Inspector können Kunden außerdem selbst die Systeme der Produktionsmaschinen auf Malware-Infektionen prüfen und bereinigen lassen. Eine Installation oder Unterbrechung des Betriebes fällt weg. Zugleich werden wichtige AssetInformationen gesammelt, um diese nachgeordneten Systemen zur Verfügung zu stellen, wie einer Asset Datenbank (CMDB) oder einer Schwachstellen-Analyse. Noch 2023 will TXOne eine OT-Security-Risikoplattform veröffentlichen, damit Anwender stets den Zustand einzelner Maschinen, Produktionssektoren und Fertigungsbereiche sehen, um Abweichungen ausgleichen zu können.

Die Nummer 1 auf Deutschlands OT-Security-Markt werden

Besonders die Agilität und Qualität des Produkt-Managements unterscheidet TXOne Networks

von anderen Firmen, davon ist Stolper überzeugt: „Wir gehen rasch und mit allen verantwortlichen Personen in ein Kundenprojekt, inklusive unserem ProduktManagement. Das Team will die Herausforderungen des Kunden verstehen und ihn entsprechend unterstützen. Aus diesem Grund gehen wir aus Projekten nachweislich als Sieger gegen die etablierte Konkurrenz hervor.“

Steinhoff fügt hinzu: „Unsere Lösungen sind für die Anforderungen in Produktionsumgebungen entwickelt worden, daher können Kunden diese schnell und einfach in deren Infrastruktur einbinden. Unsere einmalige Lifetime Protection bietet zudem einen langjährigen Investitionsschutz.“

txone.com

INSIDER / PODCAST / STORY

„MIT PODCASTFORMATEN EINEN UNTERNEHMERISCHEN MEHRWERT ERZIELEN!“

über 500 Mio.

Datensätze

Im Mai 2022 wurde ein Archiv mit Daten, die angeblich von über 500 Millionen LinkedIn-Profilen stammen, in einem Hacker-Forum zum Kauf angeboten.

AUTOMATISIERTE MALWARE-ANALYSE:

Der Schlüssel zur Generierung hausinterner Threat Intelligence

Für viele Cybersecurity-Teams sind Threat Intelligence Feeds aus Open-Source- oder kommerziellen Quellen ein fester Bestandteil der Security-Strategie. Die Verwertbarkeit und Relevanz extern bezogener Cyber Threat Intelligence (CTI) variiert dabei je nach Quelle, nicht selten bleibt der Nutzen hinter den Erwartungen zurück. Es ist daher wichtig, die Grenzen externer Threat Intelligence zu verstehen und die Lücken mit selbst generierten Bedrohungsinformationen zu schließen.

VOM MALWARE ALARM ZUR THREAT INTELLIGENCE

Ausgangsmaterial für die hausinterne CTI-Erzeugung steht in Form von Malware- und Phishing-Alarmen aus der eigenen

Umgebung zur Verfügung. In der Tat handelt es sich hier um eine

häufig unterschätzte Quelle, die nur selten konsequent und systematisch genutzt wird, um Informationen zu gewinnen, die ein akkurates Bild der organisationsspezifischen Bedrohungslandschaft wiedergeben. Die Herausforderung besteht

darin, die große Zahl an Alarmen zeitnahzu sichten und detailliert zu analysieren. Eine manuelle Analyse ist wegen des hohen Zeitaufwands keine praktikable Option, auch wenn das SecurityTeam die erforderlichen Fähigkeiten besitzt.

VON MANUELL ERZEUGTER

THREAT INTELLIGENCE ZU

AUTOMATISIERT ERZEUGTER

THREAT INTELLIGENCE

Skalierbar und effizient wird die Generierung eigener Threat Intelligence durch die Automatisierung der Analyse-Workflows. Hier bietet

sich der Einsatz einer Sandboxingbasierten Lösung an. Ursprünglich im Bereich der digitalen Forensik und Incident Response angesiedelt, haben moderne Sandboxing-Lösungen längst weitere Aufgaben übernommen. Neben der Automatisierung von Alarm-Validierung und Triage können sie als „virtuelle Analysten“ akkurate Threat Intelligence extrahieren und maßgeblich zum Erfolg von CTI-Programmen und Threat Hunting Initiativen beitragen.

WAS ES BEI DER AUSWAHL EINER LÖSUNG ZU BEACHTEN GILT

Moderne Sandboxing-Technologien kombinieren unterschiedliche Erkennungsmethoden zu einem mehrstufigen Analyse-Prozess. Reputationsabgleich, Heuristik, statische und Machine-Learning Methoden flankieren dabei die dynamische Analyse in der Sandbox-Umgebung.

Kriterien für die Wahl einer Lösung:

• Präzision und Zuverlässigkeit der Analyse: Hochgradige Resistenz gegen Versuche der Malware, der Analyse zu entgehen

• Strukturiertes, detailliertes Reporting: Extraktion aussagekräftiger Indicators of Compromise, automatisiertes Ausfiltern irrelevanter Signale (Systemrauschen)

• Integration in den Security Stack: Out-of-the-Box Konnektoren für EDR-, SIEM-, SOAR-Systeme, sowie APIs für benutzerdefinierte

Integrationen

• Unterstützung von ComplianceVorgaben: Deployment-Optionen für den On-Premise und Air-Gapped Einsatz. Bei Cloud-Deployment auf ISO 27001 und DSGVOkonforme Rechenzentren achten

ÜBER VMRAY

Der in Bochum ansässige Cybersecurity-Hersteller hat sich auf Lösungen zur Erkennung und Analyse hochentwickelter Malware- und PhishingBedrohungen spezialisiert. Zum Kundenkreis zählen global agierende Finanz- und Versicherungsunternehmen, internationale Technologiekonzerne, sowie Behörden, Regierungs- und Forschungseinrichtungen.

INSIDER ..it works

Top-Infos und Hintergründe zu den wichtigsten Themen, Trends und Best-Practices.

Quantencomputer –Verschlüsselungskatastrophe oder große Chance?

QUANTENCOMPUTER ZÜNDEN DEN

KRYPTO-TURBO

AUS TECHNOLOGISCHER SICHT LEBEN WIR IN

SPANNENDEN ZEITEN: NEUE TECHNOLOGIEN

WIE KI UND QUANTENCOMPUTING STELLEN

VÖLLIG NEUE MÖGLICHKEITEN IN AUSSICHT, ERHÖHEN ABER GLEICHZEITIG DAS POTENTIAL FÜR MISSBRAUCH.

OFFENSICHTLICH ZU ERLEBEN AM BEISPIEL DER

KRYPTOGRAFIE, DIE STETS ALS ERSTER UND OBERSTER EINSATZZWECK FÜR

QUANTENCOMPUTING GENANNT WIRD. von Dr. Dietmar Müller

Und das mit Recht, denn das Angriffspotential durch neuartige Quantencomputer wächst. Sollte eine Umrüstung der eigenen kryptographischen Infrastruktur nicht rechtzeitig geschehen, könnten Angreifer in der Lage sein, sensible Daten zu entschlüsseln. „Wenn man die Umrüstphase verschläft, so können Angreifer die verschlüsselten Daten heute aufzeichnen und später entschlüsseln, auch bekannt als „storenow decrypt-later“ Attacke.“, so Imran Khan – Managing Director und Co-Founder von KEEQuant.

LASSEN SIE UNS ZUNÄCHST

DIE “BASICS” KLÄREN:

WIE GEHT QUANTENCOMPUTING?

Quantencomputer machen sich die Gesetze der Quantenmechanik zunutze. Sie rechnen nicht mit herkömmlichen Bits beziehungsweise den Zuständen 0 und 1, sondern mit Quantenbits. Diese Qubits können viele verschiedene Zustände gleichzeitig einnehmen und sind miteinander verschränkt. Mit nur wenigen Qubits lassen sich komplexe Berechnungen binnen kürzester Zeit durchführen.

Dipl.-Ing. (FH) Stefan Luber

Einer der am weitesten verbreiteten Ansätze ist die Verwendung von supraleitenden Qubits. Ein Quantencomputer mit 300 Millionen Qubits kann eine Bitcoin-Verschlüsselung innerhalb von einer Stunde aushebeln, zeigten Untersuchungen der University of Sussex gemeinsam mit den Quantenexperten von Universal Quantum und Qu&Co. Diesen zu entwickeln wird allerdings noch etwas dauern – der Quantencomputer der IBM in Ehingen erreicht gerade mal etwas über 25 Qubits. Aber nicht zuletzt dank der künstlichen Intelligenz (KI) schreitet die Entwicklung immer rasanter voran.

Qubits sind die Quantenbits, die die Grundlage für Quantencomputer bilden. Supraleitende Qubits werden hergestellt, indem man winzige Metallleiter in einen Zustand kühlt, in dem sie keine elektrischen Widerstände haben. In diesem Zustand können sie als Quantenbits verwendet werden, welche dann einen Überlagerungszustand aus 0 und 1 einnehmen können.

Ein anderer Ansatz ist die Verwendung von Ionenfallen-Qubits. Ionenfallen-Qubits werden gebaut, indem man Atome in einem elektrischen Feld einfängt. Die Atome können dann mit Laserstrahlen manipuliert werden, um sie in einen definierten Quantenzustand zu versetzen.

Ein dritter Ansatz ist die Verwendung von photonischen Qubits. Dabei kommen sogenannte Photonic Integrated Circuits (PICs) zum Einsatz plus verschiedene lineare (Phasenmodulatoren) und nichtlineare (optische Kristalle) Elemente, um Licht in definierte Quantenzustände zu versetzen.

WELCHE UNTERNEHMEN TREIBEN DAS THEMA?

In den letzten Jahren hat es im Bereich des Quantencomputings große Fortschritte gegeben, es steht mittlerweile eine ganze Reihe von Unternehmen bereit, entsprechende Systeme zu entwickeln und zu kommerzialisieren. Zu den führenden Expertenteams zählen u.a. die von Google, IBM, Amazon, Microsoft und T-Systems, aber auch Xanadu, D-WAVE, IonQ und Rigetti haben enorme Expertise. Zudem gibt es speziell in der EU zahlreiche Unternehmen, die das Thema treiben, etwa IQM Quantum Computers, Oxford Quantum Circuits, Pasqal, Alice & Bob oder auch HQS. Sie verfolgen teils verschiedene Ansätze, nutzen aber alle dieselben Grundprinzipien der Quantenmechanik - wie könnte es auch anders sein? - und investieren Milliarden von Dollar in Forschung und Entwicklung.

GOOGLE

Google ist einer der bekanntesten Pioniere des kommerziellen Quantencomputings. Im Jahr 2019 stellte es den Quantencomputer Sycamore vor, der eine Rechenaufgabe lösen konnte, für die die schnellsten Supercomputer angeblich rund 10.000 Jahre gebraucht hätten. Sycamore hat 53 Qubits, was die Anzahl der Qubit-basierten Zustände angibt, die der Computer gleichzeitig speichern und verarbeiten kann. Das Problem: Die Fehlerraten der Qubits liegen viel zu hoch, eine im Februar vorgestellte Quantenfehlerkorrektur (QEC) soll aber demnächst skalierbares fehlertolerantes Quantencomputing ermöglichen.

IBM

IBM hat 2019 mit dem Q System One den ersten Schaltkreis-basierten, Kommerziell nutzbaren Quantencomputer der Welt vorgestellt. Im November 2020 wurde das erste System außerhalb der USA am IBMDeutschlandsitz in Ehningen, Baden-Württemberg, installiert, es erreicht wie schon gesagt über 25 Qubits. Darauf greifen unter anderem die Fraunhofer-Gesellschaft und ihre Partner zu. Auch T-Systems offeriert als Teil des IBM Quantum Networks seit 2022 einen „T-Systems Quantum Cloud“ genannten Zugang zum IBM-Quantenservice, der in verschiedenen Paketen angeboten wird, von eintägigen Einführungsveranstaltungen bis hin zu mehrmonatigen Proofs-of-Concepts. IBM arbeitet darüber hinaus am Quantencomputer „Eagle“, der ebenfalls dank eines neu entwickelten Korrekturmechanismus namens Zero Noise Extrapolation (ZNE) alle seine mit 127 Qubits nutzen können soll.

KEEQUANT

KEEQuant mit Sitz in Fürth wurde 2020 mit dem Ziel gegründet, Kommunikations- und Netzwerkinfrastrukturen mithilfe von Quantentechnologien zu sichern. Ziel ist eine Quantenschlüsselverteilungstechnologie, die nachweislich sichere Methoden selbst gegen sehr ausgefeilte Angriffe nutzt.

AMAZON

AWS hat im Jahr 2020 den Quantum Computing Service Amazon Braket gestartet. Es handelt sich um einen Cloud-basierten Service, der Zugang zu Rydberg-Atom-basierten Quantencomputern von QuEra Computing bietet. Dabei wird ein Laser eingesetzt, um einzelne neutrale Atome anzuordnen und in hochenergetische Zustände anzuregen. Diese angeregten Atom-Qubits ermöglichen eine Multi-QubitKonnektivität, die nach Belieben ein- und ausgeschaltet werden kann. Via Amazon Braket ist auch QuEras erste Generation von Quantenverarbeitungseinheiten (QPU) erhältlich. Im analogen Modus werden sind bis zu 256 Qubits möglich.

MICROSOFT

Microsoft hat im Jahr 2022 Azure Quantum gestartet. Es handelt sich um eine Entwicklungsumgebung, die mit den Quanten-SDKs Q#, Qiskit und Cirq unterschiedliche Wege für die Erstellung von Quantenalgorithmen anbietet.

PROJEKT SEQUENC

Auch ein deutsches Projekt wollen wir nicht unerwähnt lassen, auch wenn es bislang keine große Rolle gespielt hat: SeQuenC („Souveränität für Quantenlösungen in der Cloud“) wird vom Bund gefördert und steht unter Federführung des deutschen Providers Ionos, der auch seine Rechenzentren für den kontinuierlichen Betrieb einer QuantenCloud bereitstellt. Die Universität Stuttgart und Fraunhofer FOKUS bringen Werkzeuge und Methoden für die wirtschaftliche Erschließung und Integration von Anwendungen des Quantencomputings ein. Vom Quanten-Experten QMware stammen Hardware und Betriebssystem als Grundlage für industrielle Anwendungen.

WAS BRINGT

QUANTENCOMPUTING?

Alles schön und gut, aber was kann man damit machen? Nun, Quantencomputer werden bereits in einer Reihe von Bereichen eingesetzt, darunter:

• Künstliche Intelligenz: Quantencomputer befeuern an allererster Stelle komplexe Berechnungen, wie sie für die Entwicklung neuer KIAlgorithmen nötig sind. Beide Technologien gehen Hand in Hand in die Datenzukunft der Medizin, der Finanzwirtschaft und der Logistik.

• Chemie: Quantencomputer sollen neue Medikamente und Materialien entwickeln, die stärker und effizienter sind als bisher möglich.

• Materialwissenschaft: Quantencomputer helfen die Eigenschaften von Materialien auf atomarer Ebene zu verstehen. Dies kann zur Entwicklung neuer Solarzellen, Batterien und Computerchips beitragen.

• Finanzen: Quantencomputer können komplexe Finanzmodelle simulieren und analysieren und so Anlagestrategien verfeinern.

• Logistik: Quantencomputer lösen hoffentlich bald komplexe Logistikprobleme wie die Routenplanung für Lastwagen oder die Lagerhaltung von Waren.

Dies sind nur einige Beispiele für die vielen Arten, auf die Quantencomputer zum Teil heute schon eingesetzt werden. Die Technologie steht noch am Anfang, hat aber enormes Potenzial.

INSBESONDERE DIE VERSCHLÜSSELUNG STEHT IM FOKUS

Ein Fall, in dem Quantencomputing definitiv schon jetzt eine wichtige Rolle spielt, ist die Verschlüsselung. Die Kryptografie ist allgegenwärtig und wird zunehmend eingesetzt, um die Sicherheit von sensiblen Daten, vertraulicher Kommunikation, Anwendungen, dem IoT, Industrieanlagen und kritischen Infrastrukturen zu gewährleisten. Sie beruht heute zu einem großen Teil auf der Public-Key-Kryptografie, auch „asymmetrische Kryptografie“ genannt. Solche RSA-Verfahren nutzen die Komplexität bestimmter mathematischer Probleme, etwa das Zerlegen einer natürlichen Zahl in ihre Primfaktoren. Aus diesen

mathematischen Problemen lassen sich Funktionen ableiten, die leicht zu berechnen, aber schwer umzukehren sind. Auch das diskrete LogarithmusProblem (DLP) dient gerne als Grundlage für die heutige Kryptografie, weil sich damit Verfahren zum Schlüsselaustausch konstruieren lassen.

Mit klassischer Hardware sind diese gängigen Public-Key-Verfahren nicht zu brechen. Die Situation wird sich allerdings grundlegend ändern, wenn Quantencomputer mit ausreichender Leistungsfähigkeit verfügbar sind. Denn bereits 1994 hat Peter Shor Quantenalgorithmen vorgestellt, die die oben genannten mathematischen Probleme effizient lösen können. Im selben Jahr entdeckte Lov Grover die ultimative Quantenversion für sämtliche Brute-Force-Strategien. Mit Entwicklung eines Quantencomputers, auf dem diese Algorithmen implementiert werden können, wird also der heutigen Public-Key-Kryptografie die Grundlage entzogen werden.

WIE WERDEN SYSTEME “QUANTENSICHER”?

In der kryptografischen Forschung entwickeln sich daher parallel zu den Fortschritten in der Quantentechnologien gerade zwei Hauptströme: Die 1.) Post-Quanten-Kryptografie sucht nach kryptografischen Verfahren, die auch mit Quantencomputern nicht gebrochen werden können. Diese Verfahren beruhen auf mathematischen Problemen, für deren Lösung heute weder effiziente klassische Algorithmen noch effiziente Quantenalgorithmen bekannt sind. Man spricht daher auch von Lösungen, die „Computational Security“ bieten.

Die 2.) Quantenkryptografie nutzt dagegen quantenmechanische Effekte, um Sicherheit für kryptografische Anwendungen zu erreichen. Die Verfahren sollen informationstheoretisch sicher sein, also auch von Angreifern mit unbeschränkter Rechenleistung nicht gebrochen werden können. Ein Beispiel für Quantenkryptografie ist die quantenbasierte Schlüsselverteilung (Quantum Key Distribution; QKD). Dabei vereinbaren zwei Kommunikationspartner über einen Quantenkanal einen sicheren, für die symmetrische Verschlüsselung von Daten einsetzbaren Schlüssel. Im Falle des “Abhörens” des Quantenschlüsselaustausches würde die QKD keinen Schlüssel erzeugen und damit auch keine Sicherheitslücke bieten.

Einen interessanten QKD-Ansatz unter Führung der Keequant GmbH verfolgt das vom Bund geförderte Projekt Quinsida. Es hat sich die sichere optische Datenübertragung in drahtlosen Netzwerken zum Ziel gesetzt. Zum Einsatz kommt dabei die so genannten Li-Fi-Technologie, die Nutzer über kurze Distanzen mittels optischer Signale miteinander vernetzt. Für die sichere Kommunikation wird dabei der Quantenzustand des Schlüssels in Form von Licht ausgetauscht, Quinsida spricht von einem „QKD over Li-Fi“-System.

IMRAN KHAN, MANAGING DIRECTOR DER KEEQUANT GMBH BILD: KEEQUANT GMBH

„Intention des Projekts Quinsida ist die Demonstration eines quantenbasierten Datenkommunikationsnetzwerks, welches drahtlos und flexibel mehrere Endnutzer an eine sichere Backbone-Infrastruktur anschließt oder separat als sicheres CampusNetzwerk eingesetzt werden kann.“

Ähnlich funktioniert das „Device independent QKD“, kurz DIQKD: Um verseuchte Geräte daran zu hindern, einen Schlüssel ausgeben, den der Hersteller schon zuvor abgespeichert und womöglich an einen Hacker weitergeben hat, nutzte eine Forschergruppe um LMU-Physiker Harald Weinfurter und Charles Lim von der National University of Singapore (NUS) zwei miteinander verschränkte RubidiumAtome, die über ein 700 Meter langes Glasfaserkabel verbunden waren. Beim Austausch eines Schlüssels messen die beiden Parteien jeweils die Quantenzustände ihrer Atome. Denn wenn ein Dritter versucht, die in einem Quantenzustand übertragenen Informationen zu lesen, werden diese Informationen verändert, die Schlüssellänge variiert dann und der Abhörversuch ist aufgedeckt.

„Mit Device independent QKD können wir nun auch mit potenziellnicht vertrauenswürdigen Geräten geheime Schlüssel sicher erzeugen. Damit legen wir das Fundament für zukünftige Quantennetzwerke, in denen zwischen weit entfernten Orten eine absolut sichere Kommunikation möglich ist.“

QUANTEN-BRUTE-FORCE-ANGRIFFE

Brute-Force-Angriffe stellen eine große Bedrohung für vertrauliche Daten dar. Dabei testet der Angreifer u.a. möglichst viele Passwörter bzw. Schlüssel aus. Die Algorithmen für neue, Quanten-resistenter Kryptogramme dagegen basieren auf mathematischen Konzepten, die für Quantencomputer schwierig oder unmöglich zu implementieren sind. Solche Verschlüsselungsalgorithmen werden unterschieden in Lattice-basierte Algorithmen und Post-Quantum- Algorithmen:

Lattice-basierte Algorithmen wie z. B. Ring-LWE und NTRU verwenden die geometrischen Eigenschaften von Gitterstrukturen, die aus einer Menge von Punkten bestehen, die durch eine Reihe von Regeln miteinander verbunden sind, um Daten zu verschlüsseln. Lattice-basierte Kryptogramme verschlüsseln Daten in diesem Gitter und verwenden dann denselben Schlüssel, um die Daten wieder zu entschlüsseln.

Andere Post-Quantum-Algorithmen wie SPHINCS+ oder CRYSTALS-Kyber sind ebenfalls resistent gegen Quantencomputing. Die Designs der Algorithmen wurden so gewählt, dass ein Quantencomputer, mit dem heutigen Wissensstand, keine realistische Möglichkeit hätte, diese zu brechen. Ob dies auch in Zukunft so bleiben wird, ist unklar. Die benannten Algorithmen befinden sich gerade in der finalen Phase eines Standardisierungsprozesses in den USA und werden als potenzielle Kandidaten für zukünftige quanten-resistente Verschlüsselung angesehen, gerade weil sie sich auf klassischer Computerhardware implementieren lassen. Das am NIST durchgeführte Standardierungsverfahren ist wichtig und notwendig, denn durch dieses wurden zwei bereits als Finalisten eingestufte Algorithmen (Rainbow und SIKE) auf einem handelsüblichen Laptop (!) gebrochen.

HANDLUNGSANWEISUNG FÜR

UNTERNEHMEN

Wir fassen zusammen: Heutige Kryptographie versucht, mathematische Probleme mit klassischen Computern zu lösen oder geheime Schlüssel/Nachrichten zu finden. Künftig werden Quantencomputer

Qubits anstelle von Bits verwenden und so mehrdimensionale Quan -

tenalgorithmen ausführen und komplexe Probleme lösen. Experten gehen davon aus, dass bis zum Ende des Jahrzehnts große Quantencomputer mit mehreren Hundert Qubits verfügbar sein werden, die auch knifflige Algorithmen schnell knacken können.

Sie torpedieren herkömmliche Verschlüsselungsmethoden durch ihre schiere Rechenleistung und stellen in Aussicht, diese Probleme in Stunden oder gar Minuten zu lösen. Eine „quantensichere Kryptographie“ versucht deswegen Algorithmen zu identifizieren, die solchen Angriffen standhalten können.

Für CIOs bedeutet das, dass jetzt gesendete Informationen von einer böswilligen Partei abgefangen und gespeichert und dann in der Zukunft entschlüsselt werden könnten, wenn die Technologie dafür bereit ist. Unternehmen müssen sich daher bereits jetzt mit quantensicherer Verschlüsselung wie QKD beschäftigen und sie so schnell wie möglich einsetzen. Das verlangt übrigens mittlerweile auch das BSI: Zum Schutz von Hochsicherheitsanwendungen müssen deutsche Unternehmen hybride Verfahren verwenden – bei denen sowohl klassische als auch quantensichere Algorithmen genutzt werden.

Aber welche Zertifikate sind zukunftssicher und können jetzt bedenkenlos implementiert werden? Traditionelle PKI-Zertifikate stellen heute den Goldstandard für die Authentifizierung und Verschlüsselung digitaler Identitäten dar. Diese Zertifikate werden als „traditionell“ bezeichnet, da sie vorhandene ECC- oder RSA-Verschlüsselungsalgorithmen nutzen. Sie werden aber in Zukunft durch Quantencomputer überflüssig gemacht.

QUANTENSICHERE OPTIONEN

GIBT ES DERER DREI:

1. Quantensichere Zertifikate, also X.509-Zertifikate, die quantensichere Verschlüsselungsalgorithmen verwenden.

2. Hybridzertifikate, also kreuzsignierte Zertifikate, die sowohl einen herkömmlichen (RSA oder ECC) Schlüssel und eine Signatur als auch einen quantensicheren Schlüssel und eine Signatur enthalten.

3. Zusammengesetzte Zertifikate verwenden eine Kombination aus vorhandenen und quantensicheren Verschlüsselungsalgorithmen.

Ziel eines Unternehmens muss es sein, alle Systeme so schnell wie möglich auf rein quantensichere Zertifikate umzustellen. Eine direkte Migration in einem großen Projekt birgt jedoch Risiken. Wenn ein einzelnes System nicht ordnungsgemäß aktualisiert wird, kann es nicht mehr mit anderen Systemen zusammenarbeiten, Störungen bei kritischen Geschäftsanwendungen sind fast sicher die Folge. Darüber hinaus stehen möglicherweise nicht alle Systeme und Umgebungen gleichzeitig für den Einsatz quantenkryptografischer Algorithmen bereit.

Zum Glück müssen nicht alle Systeme gleichzeitig aktualisiert werden. Ein schrittweiser Ansatz mit Hybridzertifikaten ermöglicht eine behutsame Migration. Sobald alle Systeme quantensichere Kryptographie unterstützen, können die Hybridzertifikate gegen vollständig quantensichere Zertifikate getauscht werden. Hier empfiehlt sich ein automatisierter Ansatz zur Zertifikatsverwaltung. Er stellt außerdem sicher, dass Unternehmen ihre kryptografische Agilität beibehalten und sich an die sich entwickelnden quantensicheren kryptografischen Techniken herantasten können.

Autor: Dr. Dietmar Müller

Schluss mit Russisch Roulette:

Identitäten absichern mit MFA und starken Passwörtern

DIE VERWALTUNG VON PASSWÖRTERN STELLT FÜR UNTERNEHMEN

Die Fakten sprechen eine klare

Sprache: Laut Verizon Data Breach

Investigations Report lassen sich

74 Prozent der Sicherheitsverletzungen im Jahr 2022 auf die Ausnutzung menschlicher Schwäche

– u.a. im Hinblick auf gestohlene

Zugangsdaten – zurückführen.

Zudem bringen Umfragen immer

wieder ans Licht, dass viele Menschen für berufliche und private Konten nach wie vor dieselben

Passwörter verwenden. Und last but not least zeigt die Statistik, dass 2022 weit über 20 Milliarden

Anmeldedaten im Darknet gehandelt wurden.

Klar ist, dass Passwörter in naher Zukunft nicht verschwinden werden. Selbst wenn Szenarien rund um eine passwortlose Authentifizierung mittlerweile im geschäftlichen

Alltag ankommen: Es wird nach wie vor Situationen geben, in denen Passwörter zwangsläufig erforderlich sind. Daher sollten Unternehmen handeln, um dem Russisch Roulette bei der Zugangsabsicherung ein für alle Mal ein Ende zu bereiten.

BOC IT-Security GmbH

Hier spielt die neue WatchGuardLösung „AuthPoint Total Identity Security“ ihre Stärken aus. Das Leistungspaket erweitert die bereits etablierte Multifaktor-Authentifizierung „WatchGuard AuthPoint“ um einen Dark Web Monitor Service sowie einen passenden PasswortManager. Damit lassen sich nicht nur die Kosten für die Verwaltung von Anmeldedaten senken. Der Schutz von Identitäten wird gleichzeitig effektiv erhöht und das Risiko potenzieller Phishing- und SocialEngineering-Angriffe in Zusammenhang mit dem Diebstahl von Anmeldedaten entscheidend gemindert.

AUTHPOINT MFA

– Die umfassende Lösung für Multifaktor-Authentifizierung mit Single Sign-On (SSO)-Option ebnet der risikobasierten Authentifizierung den Weg und gewährleistet eine einfache Verwaltung, die auf maximale Anwenderfreundlichkeit ausgelegt ist.

DARK WEB MONITOR

– Der AuthPoint Dark Web Monitoring-Service benachrichtigt Nutzer proaktiv, wenn kompromittierte Anmeldedaten von überwachten Domänen in einschlägigen oder neuen Datenbanken für Zugangsinformationen auftauchen.

CORPORATE PASSWORT-MANAGER

– Speziell für den Einsatz in Unternehmen entwickelt sorgt dieser für die Etablierung eines hohen Passwort-Standards – mit mehr Kontrolle über die Qualität von Passwörtern bei gleichzeitig weniger Anfragen zum Zurücksetzen von Passwörtern.

„Ein einziges kompromittiertes Kennwort reicht für einen erfolgreichen Ransomware-Angriff aus.“

Wie die künstliche Intelligenz der Cybersecurity Vorschub leistet

Für aussagekräftige KI-gestützte Ergebnisse sind große Mengen hochwertiger Daten und eine fortschrittliche Engine zum Training der KI erforderlich. Die Cloud-Sicherheitsplattform Zscaler Zero Trust Exchange durchlaufen täglich mehr als 300 Mrd. Transaktionen von Usern,

Künstliche Intelligenz (KI) kann in der Sicherheit durch Geschwindigkeitsvorteile punkten und zur Automatisierung von Prozessen beitragen

IoT-/OT-Geräten, Cloud Workloads und B-to-B-Kommunikation. Ein Datenpool dieser Größe kann für kundenspezifische Vorhersagen von Sicherheitsempfehlungen und zur Erkennung von Sicherheitsverletzungen eingesetzt werden. Mit dieser Unterstützung ermöglicht KI eine frühzeitige Erkennung und die Reaktion auf sich ändernde Bedrohungslagen sowie die Prävention von Vorfällen.

Die Proxy-basierte Architektur der Plattform und der Security Data Lake in Kombination mit Large Language Models (LLM) bieten einen umfassenden Einblick in die IT-Sicherheitslage eines Unternehmens. Sie liefert große Mengen an anonymisierten Trainingsdaten, um KI-Modelle kontinuierlich zu verbessern und Verstöße zutreffend vorherzusagen. So wird der Security Autopilot von Zscaler für die Vorhersage von Sicherheitsvorfällen eingesetzt. Durch die Empfehlung von Richtlinien und die Durchführung von Wirkungsanalysen vereinfacht er Sicherheitsabläufe und trägt dazu bei, die Kontrolle über die Sicherheitslage zu verbessern und zukünftige Sicherheitsverletzungen zu verhindern.

Darüber hinaus bieten Risk360 und Breach Prediction zwei neue Services, die mit Hilfe von KI in Kombination mit externen Datenquellen Vorschläge liefern, wie Risiken aktiv mitigiert werden können. Dabei hilft die ganzheitliche Sicht auf die Bedrohungslandschaft, vorhandene Policies und Konfigurationen, um Lücken aufzuzeigen. Auf diese Weise lassen sich überprivilegierte Zugriffs -

zscaler.de

berechtigungen auf sensible Applikationen und Daten herausfiltern und der manuelle Korrelationsaufwand lässt sich reduzieren. Mit Hilfe von KI kommt die ITAbteilung schneller und mit weniger Aufwand zu höherer Sicherheit, indem die Angriffsfläche von

druck erhält die Security-Abteilung Empfehlungen, die höhere Sicherheit und Risikomitigierung ermöglichen. Zu höherer Sicherheit trägt allerdings auch eine Segmentierung des Anwendungszugriffs auf Basis von Zero TrustPrinzipien bei. Entscheidend für die Sicherheit von Unternehmen

Unternehmen reduziert wird. Bei dem Thema der Breach Prediction unterstützt KI dabei, potenzielle Cyberrisiken und deren Auswirkungen automatisiert zu verhindern. Die Sicherheitsplattform kombiniert dabei in der Cloud erkannte Bedrohungen oder Fehlverhalten von Usern und Anomalien in Datenströmen mit externen Quellen für Risikofaktoren und reagiert aktiv. Auf Knopf-

ist, dass sie Einblick in alle Datenströme zurückerlangen. Denn nur, wenn das Sicherheitsteam alle Kommunikationswege überwachen kann, kann es dort auch versteckte Bedrohungen aufspüren. Dies kann schnell sehr komplex werden. KI unterstützt dabei Muster zu erkennen und erstellt Regelvorschläge, um den Anwendungszugriff und die Angriffsfläche weiter zu reduzieren.

Unternehmen sollten zur Risikominderung auf schnelle Reaktion und vorbeugendes Handeln durch KI setzen.

Head of Field CTOs International Zscaler

Security everywhere your business meets the world

· Secure your Apps & APIs

· Defend against DDoS attacks

· Protect against fraud and abuse

· Enable Zero Trust

· Cloud Security

Akamai.de

Das war’s, ich geb auf…

Ich gebe ja wirklich mein Bestes. Viren, Trojaner, Ransomware, Rootkits, DDoS, MITM-Angriffe, Adware, SQL Injection, Spyware – aber die IT-Sicherheit ist hier einfach nicht zu schlagen. Ich versuch’s bei einem Unternehmen ohne Firewall-Server von Thomas-Krenn.

Todsicherer Schutz für Ihre IT direkt vom Server-Hersteller

Jetzt bestellen:

thomas-krenn.com/sicher

+49 (0) 8551.9150-300