Die Grösse von Cloud-Umgebungen in Unternehmen führt zu einer Vielzahl von menschlichen und maschinellen Identitäten. Jede dieser digitalen Identitäten – von Cloud-Administrator:innen bis hin zu Rollen, die für serverlose Funktionen verwendet werden – kann mit Zehntausenden von Berechtigungen für den Zugriff auf Cloud-Dienste, Daten und andere Ressourcen konfiguriert werden. Die meisten Cloud-Teams sind jedoch nicht in der Lage, diese Berechtigungen angemessen einzuteilen. Cloud-Sicherheit ist eine relativ neue und sich weiterentwickelnde Disziplin. 70 Prozent der IT-Führungskräfte geben an, dass es an entsprechenden Qualifikationen fehlt, was ein kritisches Problem darstellt. Selbst mit Hilfe von Technologie kann es für IT-Expert:innen schwierig sein, isolierte Tools zu operationalisieren, um herauszufinden und ständig zu verfolgen, wer Zugriff auf was hat. Es gibt einfach zu viele miteinander verknüpfte Identitäten, mit denen man umgehen muss. Es ist also sehr wahrscheinlich, dass sich in Zukunft übermässige Cloud-Berechtigungen weiterhin anhäufen und zu Cybersecurity-Schulden und Unternehmensrisiken beitragen. Die gute Nachricht: Es entstehen neue Sicherheitslösungen für Cloud-Berechtigungen, um IT-Teams bei der Verringerung dieser Risiken zu unterstützen. Dazu gehören CIEM-Technologien (Cloud Infrastructure Entitlements Management), die sich künstliche Intelligenz (KI) zunutze machen, um falsch konfigurierte und ungenutzte Cloud- Berechtigungen im grossen Massstab zu bereinigen. Wenn IT-Teams der Sicherheit von Cloud-Berechtigungen Priorität einräumen, werden sie zunehmend Probleme verhindern und die Kontrolle wiedererlangen. Mehr Berechtigungen als nötig In der Not wird die Zuteilung von mehr Berechtigungen als nötig häufig zur Standardlösung. Denn dieser Weg ist viel einfacher, als zu versuchen, die richtigen Zugriffsberechtigungen mit den geringsten Privilegien für jede Identität zu identifizieren. Die Gewährung eines breiten Zugriffs für Entwickler:innen, Cloud-Engineering-Teams und Mitarbeitende hilft, Produktivitätsblockaden zu vermeiden und gleichzeitig IT-Tickets und Beschwerden zu begrenzen. Doch Cyber-Angreifer:innen können diese ungenutzten oder unnötigen Berechtigungen ausnutzen. Sobald sie eine Cloud-Identität kompromittiert haben, können sie übermässige Berechtigungen ausnutzen, um sich seitlich durch die Umgebung zu bewegen. Oder sie erweitern Berechtigungen, um ihr Ziel zu erreichen. Angreifer:innen können ebenso viel Schaden anrichten, indem sie Cloud-Administratorkonten mit starken Privilegien ausserhalb des bestehenden PAM-Programms (Privileged Access Management) des Unternehmens kompromittieren oder erstellen.

Schatten-IT in Unternehmen bildet sich dann, wenn die bestehenden IT-Tools und -Prozesse nicht den Anforderungen der Benutzer: innen gerecht werden. Hinzu kommt, dass IT-Abteilungen eine ständig wachsende Zahl von Geräten und Konten überwachen muss. Den Überblick zu bewahren, ist eine herausfordernde Aufgabe. Häufig sind schwerwiegende Sicherheitsprobleme und steigende Kosten die Folgen der nicht autorisierten Nutzung von IT-Ressourcen wie Apps, Programme, Hardware oder Cloud-Diensten und -Tools. Die Everest Group stellt fest, dass über die Hälfte der gesamten IT-Ausgaben in grossen Unternehmen von Schatten-IT verursacht werden. In einer Forcepoint-Umfrage geben 63 Prozent der Teilnehmenden an, private Endgeräte zu nutzen, um auf Dokumente und Dienste ihres Arbeitgebenden zuzugreifen. Private E-Mail- oder File-Sharing-Cloud-Dienste werden von 55 Prozent für Arbeitszwecke verwendet. McAfee befragte 500 IT-Führungskräfte in Deutschland und kommt zu dem Ergebnis, dass mehr als die Hälfte der Mitarbeitenden in Unternehmen Anwendungen benutzen, ohne dass die IT-Abteilung davon weiss. Hinzukommen 41 Prozent der Befragten, die unerlaubte Cloud-Services einsetzen. In aller Regel sind sich Anwender:innen über die Sicherheitsrisiken, die dadurch entstehen, überhaupt nicht im Klaren. Doch auch IT-Abteilungen tragen zu Schatten-IT bei: Häufig werden kurzfristige Entscheidungen über IT-Lösungen getroffen, damit die Produktivität der Mitarbeitenden nicht leidet und der Betrieb reibungslos läuft. Beispielsweise werden mehrere, isolierte Produkte eingekauft oder Software sogar doppelt angeschafft. Die häufigsten Gründe für Schatten-IT in Unternehmen Mitarbeitenden fehlen die Werkzeuge und Ressourcen, die sie benötigen Mitarbeitenden sind die Cybersicherheitsrisiken nicht bekannt Fehlende IT-Richtlinien und Genehmigungsverfahren (oder sie sind nicht bekannt) Wachsende Anzahl vernetzter Geräte Nicht verwaltete Browser, die sensible Anmeldedaten, Kennwörter und Kreditkarteninformationen speichern Entwickler und DevOps-Teams müssen schnell und effizient arbeiten. Deshalb wird häufig Sicherheit der Geschwindigkeit geopfert. Was tun gegen Schatten-IT? IT-Sicherheitsteams stehen vor der gewaltigen Aufgabe, Licht ins Dunkel zu bringen, um Sicherheitsanforderungen und Datenschutz mit Produktivitätsanforderungen in Einklang zu bringen. Was können Sie dafür tun? Im Austausch mit Fachabteilungen und Mitarbeitenden erhalten Sie einen Überblick, welche Schattenanwendungen bereits genutzt werden. Wenn Sie ein möglichst vollständiges Bild vorliegen haben, prüfen Sie die gefundenen Ergebnisse hinsichtlich Sicherheit und Effizienz und analysieren Sie, welche Anwendungen oder Prozesse beibehalten werden können, oder wo Sie für adäquaten Ersatz sorgen müssen. Legen Sie IT-Richtlinien und Genehmigungsverfahren fest, die einfach und im Unternehmen bekannt sind. Die bisherigen Ausführungen machen deutlich, dass Zero-Trust-Modelle für Informationssicherheit an Bedeutung gewinnen. Auf technischer Ebene bedeutet dies, dass Sie die Effektivität der MFA-Implementierung sicherstellen, Anmeldedaten mit höherem Risiko in einem PAM-System schützen und gerade ausreichenden Zugang zulassen sollten. Einschränkungen sind Benutzer:innen häufig ein Dorn im Auge. Deshalb kommunizieren Sie transparent, dass weniger Privilegien im Interesse jedes Mitarbeitenden sind und die Reduktion von Privilegien im gesamten Unternehmen stattfindet. Machen Sie sich die Mühe, den Benutzer:innen zu erklären, wo Sie Sicherheits- und Compliance-Risiken sehen. Begleiten Sie sie auch bei der Umstellung auf neue Tools und Dienste. Mitarbeitende sollten verstehen, was Schatten-IT ist und welche Risiken sie mit sich bringt. Nur so können Sie nachhaltig verhindern, dass sie sich um eigene praktikable Lösungen bemühen.

Düsseldorf, 6. Oktober  2022 – 57 % der befragten IT-Entscheider in Deutschland wollen Finanzhilfen, die sie im Rahmen des Aufbau- und Resilienzplans der EU erhalten, in die Sicherheit investieren. So lautet ein zentrales Ergebnis einer neuen Untersuchung von CyberArk. Die EU stellt den Mitgliedstaaten im Hinblick auf die wirtschaftlichen und sozialen Auswirkungen der Corona-Pandemie mehr als 700 Milliarden Euro in Form von Darlehen und Finanzhilfen zur Verfügung. Gefördert werden sollen vor allem Maßnahmen in den Bereichen Klimaneutralität und digitaler Wandel. Sicherheitsexperte CyberArk stellt in der neuen Studie „Identity Security Threat Landscape“ die Frage, in welchen Segmenten die Unternehmen in der Digitalen Transformation Investitionen tätigen wollen. Dabei zeigt sich, dass mit 57 % die Mehrheit der deutschen Unternehmen Security als Priorität sieht. 45 % nennen den Ausbau digitaler Angebote und je 43 % die Etablierung hybrider Arbeitsmodelle und die Digitalisierung zentraler Betriebsprozesse. Cyber Security ist ohnehin das dominante Thema bei Investitionen in die IT. Ebenfalls 57 % der befragten Unternehmen in Deutschland haben hier in den letzten zwölf Monaten neue Schutzmaßnahmen ergriffen. Unternehmen reagieren damit auf die steigenden Sicherheitsbedrohungen. Große Gefahren sehen sie dabei vielfach in den unbekannten und nicht verwalteten Identitäten, die in immer größerer Zahl vorhanden sind. Schließlich führt die zunehmende Digitalisierung zu einer höheren Anzahl an Interaktionen zwischen Menschen, Applikationen und Prozessen – und damit auch zu mehr digitalen Identitäten. Für 34 % stellen dabei die Endgeräte der Mitarbeiter – seien es Destop-PCs, Notebooks oder mobile Geräte – das größte Sicherheitsrisiko dar. Die Gefahrenlage betrachtet die deutliche Mehrheit der Befragten als kritisch. So meinen 67 %, dass sie den Zugriff von Hackern auf wichtige Unternehmenssysteme und -daten nicht zuverlässig verhindern können. Und 65 % halten das eigene Unternehmen gegen zielgerichtete Angriffe etwa durch Phishing-E-Mails für nicht ausreichend gewappnet. Bei den Sicherheitsmaßnahmen, die Unternehmen ergreifen wollen, nimmt die Zero-Trust-Strategie eine prominente Rolle ein. Dabei geht es in erster Linie um den Einsatz von Identitätssicherheitstools, die den Benutzer vor dem Verbindungsaufbau zum Netzwerk identifizieren und validieren. Darüber hinaus haben auch Lösungen für die Anwendungs- und Workload-Sicherheit eine hohe Priorität. Dies betrifft alle Workloads, die mit Anwendungen, digitalen Prozessen oder der Nutzung von Public-Cloud-Ressourcen verbunden sind. „Die Angriffsfläche, die Unternehmen Hackern bieten, wird immer größer. Die zunehmende Digitale Transformation oder Cloud-Nutzung sind dafür nur zwei Gründe. Sie führen unweigerlich zu einer höheren Anzahl digitaler Identitäten, die Unternehmen nur mit einem umfassenden Identity-Security-Ansatz zuverlässig sichern können“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk. „Ein wichtiger Baustein ist dabei das Zero-Trust-Prinzip, das eine Verifizierung sämtlicher Akteure und Prozesse beinhaltet, die eine Verbindung zu kritischen Systemen herstellen wollen. Unsere Untersuchung zeigt, dass Unternehmen die große Bedeutung von Zero Trust auch erkennen. Es bleibt zu hoffen, dass der Einsicht nun Taten folgen.“ Über die Untersuchung Der „2022 Identity Security Threat Landscape Report“ beleuchtet die Ergebnisse einer Untersuchung, die das Marktforschungsunternehmen Vanson Bourne im Auftrag von CyberArk durchgeführt hat. Befragt wurden 1.750 IT-Security-Entscheider in Deutschland, Frankreich, Großbritannien, Italien, Spanien, Australien, Brasilien, Mexiko, Israel, Japan, Singapur und den USA. Download des Reports unter https://www.cyberark.com/ISTL22​ Diese Presseinformation ist im Internet unter https://pr-com.de/companies/cyberark/ abrufbar.

Düsseldorf, 7. September 2022 – Viel ist die Rede von der identitätsbasierten Sicherheit. Sie gewinnt in einer Zeit, in der der Perimeter-Schutz an seine Grenzen gestoßen ist, immer mehr an Gewicht. Doch was sind Identitäten überhaupt und wo sind sie überall zu finden? An diesen Punkten bestehen oft noch Unklarheiten. Sicherheitsexperte CyberArk zeigt, worauf zu achten ist. In der heutigen hybriden und Multi-Cloud-Welt ist jede Identität ein eigener, neue Perimeter. Physische und Netzwerk-Barrieren haben sich aufgelöst und alle Identitäten können einen möglichen Angriffspfad auf unternehmenskritische Ressourcen darstellen, vor allem wenn sie über privilegierte Rechte verfügen. Solche Rechte kann jede Identität besitzen, sei es ein Remote-Mitarbeiter und Drittanbieter oder auch eine Maschine, ein Gerät und eine Applikation. Erschwerend kommt hinzu, dass die Zahl menschlicher und nicht-menschlicher Identitäten kontinuierlich steigt, da im Zuge der Digitalisierung immer mehr Interaktionen zwischen Menschen, Applikationen und Prozessen erfolgen. Die Konsequenz sind steigende Sicherheitsbedrohungen, die insbesondere von den unbekannten und nicht verwalteten Identitäten ausgehen. Wie können Unternehmen diesen Gefahren begegnen? Zunächst müssen sie die menschlichen und nicht-menschlichen Identitäten mit privilegierten Zugriffsrechten kennen. Die menschlichen Identitäten betreffen in erster Linie Personen wie Administratoren oder Superuser, aber etwa auch Entwickler und DevOps-Ingenieure, die auf Source Code zugreifen müssen. Darüber hinaus finden sich privilegierte Rechte in Applikationen, Tools und Systemen. Dabei handelt es sich dann um die nicht-menschlichen Identitäten. • Applikationen: Auf der Applikationsebene geht es um die Applikation-zu-Applikation-Verbindungen. Alle technischen Verknüpfungen zwischen Teilen einer Anwendungslandschaft erfordern einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte geht. Solche Verbindungen bestehen etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten (und von dort wiederum zu weiteren Infrastrukturdiensten) oder auch direkt zwischen Anwendungen. • Tools: Auf der Toolebene ist vor allem die zunehmende Nutzung von Cloud- und Automatisierungs-Services zu beachten. Dies betrifft etwa Lösungen wie Red Hat OpenShift, Jenkins, Puppet, Chef, Ansible oder auch RPA-Lösungen, die Zugang zu unternehmenskritischen Systemen benötigen. Relevant sind außerdem Tools, die über privilegierte Rechte bis hin zum Domain-Admin-Level verfügen: ein Beispiel hierfür sind Schwachstellen-Scanner. Nicht vergessen werden sollten auch Skripte, die weiterhin häufig zur Automation eingesetzt werden. • Systeme: Auf der technologischen Systemebene sind die System-zu-System-Verbindungen zu berücksichtigen, vor allem die vielfach vorhandenen Service-Accounts. Windows etwa verfügt über eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen. Welche konkreten Maßnahmen können Unternehmen nun zur Gefahrenabwehr ergreifen? In erster Linie sollten sie eine Identity-Security-Lösung nutzen. Zu deren Aufgaben gehört, eine Identität sicher zu authentifizieren, sie mit den richtigen Berechtigungen zu autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen zu gewähren. Es geht dabei um die Etablierung eines Zero-Trust-Prinzips, das die Überprüfung jeder Identität – sei es Mensch oder Maschine – beinhaltet. „Rein auf Perimeter-Schutz ausgerichtete Sicherheitsmaßnahmen reichen in der heutigen Zeit nicht mehr aus, um vertrauliche Systeme, Applikationen und Daten zu schützen“, betont Michael Kleist, Area Vice President DACH bei CyberArk. „Stattdessen sollte ein Unternehmen einen identitätsbasierten Sicherheitsansatz verfolgen, der alle User, Systeme, Applikationen und Prozesse berücksichtigt. Ein solches Sicherheitskonzept betrachtet die Identität als zentrale Verteidigungslinie eines Unternehmens – und zwar unabhängig davon, ob es sich um eine Person, eine Applikation oder eine Maschine handelt.“

Eine der derzeit grössten Herausforderungen für die Unternehmens-IT ist es, Geschäftsrisiken zu verringern, gleichzeitig die Benutzerzufriedenheit sicherzustellen und Mitarbeitenden produktives Arbeiten zu ermöglichen. Egal mit welchem Endgerät, an welchem Ort oder zu welcher Zeit. Ausserdem müssen die Unternehmensrichtlinien und gesetzlichen Vorschriften vollständig eingehalten werden. Komplexe IT-Infrastrukturen, wie sie heute in den meisten Unternehmen zu finden sind, öffnen Tür und Tor für Angriffe auf die Sicherheit. Viele IT-Abteilungen mühen sich mit manuellen Tests ab, die enorm viel Zeit und damit personelle Ressourcen kosten. Seit einigen Jahren beliebt ist auch das sogenannte Crowdtesting. Hier testet gegen Bezahlung eine grosse Menge von unabhängigen Testern über das Internet die gewünschten Anwendungen. Oder ganz anders: An der internationalen Hacking-Konferenz «Le HACK» im Juni dieses Jahres hatten rund 150 Hacker aus aller Welt 24 Stunden Zeit, um die 300 Webservices der Schweizerischen Post zu hacken und in die Systeme der Post zu gelangen. Die Hacker haben in dieser Zeit 22 Schwachstellen gefunden. Die meisten davon waren leichte oder mittlere Schwachstellen, eine war ernsthaft und eine kritisch. So die Auskunft des Unternehmens. Machen Sie es sich einfacher mit automatisierten Penetrationstests Ein effizientes und effektives Mittel, Angreifer:innen zuvorzukommen, sind automatisierte Penetrationstests (auch Pen-Test oder Ethical Hacking). Dabei handelt es sich um einen simulierten Cyberangriff auf Ihre IT-Infrastruktur, um nach ausnutzbaren Schwachstellen zu suchen. Die gewonnenen Erkenntnisse können Sie zur Feinabstimmung Ihrer Sicherheitsrichtlinien und zur Behebung von Schwachstellen, wie Softwarefehler, Designmängel oder Konfigurationsfehler, nutzen. Unternehmen sollten kontinuierlich automatisierte Penetrationstests durchführen, um sicherzustellen, dass ihre IT-Infrastruktur stabil und gut geschützt bleibt, ganz unabhängig von der Branche, in der sie tätig sind. In der Regel werden Penetrationstests nicht in der Häufigkeit durchgeführt, wie es notwendig wäre, zum Beispiel bei Änderungen in der Unternehmensinfrastruktur, bei der Einführung neuer Anwendungen, wenn Sicherheits-Patches angewendet werden oder wenn Sie in neue Räume umziehen. Egal ob erfolgreicher Angriff auf eine Ihrer Anwendungen, Ihren Online-Shop oder Datenschutzverletzungen – der Schaden für Ihr Unternehmen kann erheblich sein.

Düsseldorf, 28. Juni 2022 – QR-Codes finden sich nahezu überall und fast jeder nutzt sie bedenkenlos. Das Sicherheitsrisiko, das QR-Codes darstellen, wird dabei in der Regel völlig unterschätzt. Sicherheitsexperte CyberArk gibt sieben Tipps für den sicheren Umgang mit QR-Codes. QR-Codes sind aus dem heutigen Lebensalltag nicht mehr wegzudenken. Sie ersetzen Speisekarten in Restaurants, Gutscheine oder Anzeigen in U-Bahn-Stationen. In der Covid-Pandemie spielen sie eine wichtige Rolle bei der Rückverfolgung von Kontaktpersonen oder der Überprüfung des Impfstatus. Prinzipiell sind QR-Codes leicht zugänglich und einfach zu produzieren. Zugleich sind sie aber auch eine perfekte Möglichkeit für Cyberkriminelle, persönliche Daten abzugreifen. Das FBI warnte Anfang 2022 deshalb auch vor der zunehmenden Gefahr des QR-Code-Betrugs. Solche QR-Code-Angriffe finden inzwischen mit alarmierender Häufigkeit statt. In Deutschland etwa haben Cyberangreifer Online-Banking-Kunden mit Phishing-Mails, die QR-Codes enthielten, auf gefälschte Webseiten geführt, um die Zugangsdaten zu entwenden. CyberArk zeigt sieben Möglichkeiten, wie sich Nutzer vor dem QR-Code-Phishing besser schützen können: 1. Nicht scannen Jeder seriöse QR-Code sollte eine zugehörige URL besitzen, die den Nutzern ein direktes Aufrufen der Webseite ermöglicht. Fehlt die URL, ist Vorsicht angebracht. 2. Langsam starten Bevor ein Nutzer einen QR-Code scannt, sollte er sich mehrere Fragen stellen: „Weiß ich, wer den QR-Code dort platziert hat? Kann ich darauf vertrauen, dass er nicht manipuliert wurde? Ist es in dieser Situation überhaupt sinnvoll, einen QR-Code zu verwenden?“ 3. QR-Code-URLs überprüfen Nutzer sollten nach dem Scannen des QR-Codes die URL überprüfen, zu der er führt, bevor sie fortfahren. Dabei ist etwa zu kontrollieren, ob der QR-Code mit der richtigen Organisation verbunden ist. Man kann auch eine schnelle Websuche nach der URL durchführen, um die Echtheit des QR-Codes zu ermitteln. 4. Auf Anzeichen für physische Manipulationen achten Vor allem an Orten wie Restaurants, an denen QR-Codes häufig verwendet werden, ist Vorsicht geboten. Zu achten ist beispielsweise darauf, ob ein QR-Code-Sticker mit einem anderen überklebt ist. 5. Niemals Apps über QR-Codes downloaden Webseiten sind für Angreifer leicht zu klonen und zu fälschen. Apps sollten deshalb immer über einen offiziellen App-Store heruntergeladen werden. 6. Keine elektronischen Zahlungen über QR-Codes tätigen Zahlungsvorgänge sollten ausschließlich über native Apps oder über die Anmeldung an einer offiziellen Domain erfolgen. 7. Multi-Faktor-Authentifizierung (MFA) nutzen Eine MFA-Lösung trägt zum Schutz von vertraulichen Accounts bei, etwa bei Bankgeschäften, der E-Mail-Kommunikation oder bei Social-Media-Anwendungen. Eine zusätzliche Authentifizierungsebene verhindert dabei, dass ein Cyberkrimineller bereits mit einer Login-Information und einem Passwort auf Daten zugreifen kann. „Durch mehr als zwei Jahre pandemiebedingter Internetkriminalität sind viele Verbraucher bei ihren digitalen Aktivitäten vorsichtiger geworden. E-Mails, Anrufe und sogar Textnachrichten werden genau geprüft. QR-Codes hingegen werden nicht wirklich als potenziell gefährlich eingestuft. Sie werden von den meisten Menschen – ohne groß zu überlegen – gescannt“, erklärt Len Noe, Technical Evangelist und White Hat Hacker bei CyberArk. „Da QR-Codes aber zunehmend zu einer beliebten Phishing-Methode der Angreifer werden, ist bei der Nutzung immer Skepsis angebracht. Wie generell im digitalen Bereich sollten immer die möglichen Sicherheitsrisiken bedacht werden. Unsere sieben Tipps können dabei eine erste Hilfestellung geben.“

Düsseldorf, 14. Juni 2022 – Die Cyberrisiken steigen kontinuierlich. Die erforderlichen Investitionen in die IT-Sicherheit bleiben aber oft unzureichend, weil viele Unternehmen sich ausreichend geschützt fühlen. Das ist aber häufig ein Trugschluss und mit extrem hohen Sicherheitsrisiken verbunden, meint Sicherheitsexperte CyberArk. Viele Unternehmen treiben die Digitalisierung aktiv voran. Das Thema Cybersicherheit wird dabei aber vernachlässigt. Dies bestätigen 73 Prozent der befragten IT-Entscheider in Deutschland in einer aktuellen Untersuchung von CyberArk (1). Unternehmen begründen den Verzicht auf Investitionen in die Sicherheit unterschiedlich. Gängige Aussagen sind: • „Wir sind schon genug abgesichert, etwa durch den Perimeterschutz.“ • „Was soll denn geschehen? Wir sind doch zu klein und damit uninteressant für Hacker.“ • „Bisher ist ja noch nichts passiert.“ Diese Einschätzungen werden der aktuellen IT-Sicherheitslage nicht gerecht. Schließlich nehmen die Sicherheitsrisiken auf breiter Front zu. Dafür gibt es verschiedenste Gründe wie raffiniertere Methoden der Hacker oder die zunehmende Nutzung von Cloud-Services. Die Cloud ist ein gutes Beispiel dafür, dass klassische Sicherheitsmaßnahmen, die auf den Netzwerkperimeter abzielen, an Bedeutung verlieren. Als neuer Perimeter hat sich die Identität herauskristallisiert. Sie ist damit die wichtigste Verteidigungslinie für Unternehmen. Deshalb sollten Unternehmen auch eine identitätsbasierte Sicherheitsstrategie verfolgen, die alle User, Systeme, Applikationen und Prozesse berücksichtigt. Wichtige Aspekte sind dabei Zero Trust, Least Privilege und MFA. • Das Zero-Trust-Prinzip sieht unter anderem die Überprüfung sämtlicher Akteure und Prozesse vor, die eine Verbindung zu kritischen Systemen herstellen wollen. Jede Identität, die auf Unternehmensressourcen zugreifen will, wird dabei immer mit mehreren Faktoren verifiziert – je kritischer der Zugriff, desto stärker die Authentisierung. • Least-Privilege- und Just-in-Time-Ansätze vermeiden eine dauerhafte Rechteansammlung und geben Anwendern abhängig von der durchzuführenden Tätigkeit passende Rechte. Damit wird auch die potenzielle Angriffsfläche für Hacker deutlich reduziert. • Die Multi-Faktor-Authentifizierung (MFA) gehört in einer Zeit zunehmender Cyberangriffe zu den elementaren Sicherheitskontrollen. Von Vorteil ist insbesondere die Nutzung einer adaptiven, kontextbasierten MFA, die einerseits die Produktivität aufrechterhält und andererseits die Sicherheitsrisiken minimiert. „Als Hersteller von Sicherheitslösungen stehen wir im Wettbewerb mit zahlreichen anderen Anbietern. Auf die Frage nach unserem größten Wettbewerber müssen wir aktuell allerdings sagen: Es ist die Haltung einiger Unternehmen, die in Sachen Sicherheit keinen größeren Handlungsbedarf sehen. Das ist aber eine Fehleinschätzung, die schnell nach hinten losgehen kann“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk. „Nicht umsonst warnt etwa das Bundesamt für Sicherheit in der Informationstechnik regelmäßig vor einer wachsenden Bedrohungslage, und zwar nicht nur für große Unternehmen, sondern gerade auch für den deutschen Mittelstand. Digitalisierung und Sicherheit müssen im Einklang entwickelt werden.“

2021 war ein Rekordjahr in Bezug auf neu entdeckte CVEs (Bekannte Schwachstellen und Anfälligkeiten). Der Einsatz von mehr Software und ein wachsender digitaler Fussabdruck sind Gründe dafür, dass Sicherheitslücken immer grösser werden. Ihre unüberschaubare Anzahl macht die Arbeit von Cybersecurity-Expert:innen extrem aufwendig und schwierig. Zum Glück bedeutet «angreifbar» nicht automatisch «ausnutzbar». Tatsächlich liegt das Verhältnis zwischen Theorie und Praxis bei 1:100. Die Fragen, die es zu beantworten gilt, sind: Kennen Sie das tatsächliche Sicherheitsrisiko Ihres Unternehmens zu einem bestimmten Zeitpunkt? Wissen Sie, wo die Schwachstellen sind? Und wie können sich Sicherheitsteams auf die wahre Schwachstelle im Heuhaufen der Schwachstellen konzentrieren? Wir zeigen Ihnen Massnahmen, die Sicherheitsexpert:innen ergreifen können, um das reale Risiko für ihr Unternehmen zu erkennen und wie sie die ausnutzbaren Schwachstellen aus der Masse herausfiltern können. Nehmen Sie die gegnerische Perspektive ein Die einzige Möglichkeit, den Heuhaufen von Schwachstellen zu durchforsten, ist der Versuch, sie auszunutzen. Genau das würde auch ein:e Angreifer:in tun. Auf diese Weise erhalten Sicherheitsteams einen präzisen Angriffsvektor, der auf das schwächste Glied des Unternehmens verweist. Von hier aus werden die an die IT-Abteilung weitergeleiteten Abhilfemassnahmen gezielt, überschaubar und auf die Auswirkungen auf das Unternehmen abgestimmt. Und der Rest der Schwachstellen kann auf die laufenden Patch-Management-Aufgaben warten. Die Sichtweise des Angreifenden ermöglicht es Ihnen, ein proaktives Sicherheitsprogramm durchzuführen, anstatt auf Vorfälle zu reagieren, wenn sie (unvermeidlich) auftreten. Abdeckung des gesamten Spektrums potenzieller Angriffe Angreifer:innen nehmen den Weg des geringsten Widerstands zu den kritischen Ressourcen. Dies bedeutet, dass sie die ganze Bandbreite der ihnen zur Verfügung stehenden Techniken nutzen, um einen Angriff voranzutreiben und dabei jede Schwachstelle und die entsprechenden Korrelationen auszunutzen. Dementsprechend müssen die verwendeten Validierungsmethoden angepasst werden. Sie müssen über einen statischen Schwachstellenscan oder die Simulation eines Kontrollangriffs hinausgehen und einen vollständigen Penetrationstest umfassen. Dieser bietet unter anderem Angriffsemulationen für Sicherheitskontrollen, Angriffe auf Schwachstellen, Prüfung der Stärke von Anmeldeinformationen, Tests von Netzwerkausrüstungen, Prüfungen des privilegierten Zugriffs und Schritte für seitliche Bewegungen.

Fehlkonfigurationen in Netzwerken gibt es in zahlreicher Weise und aus vielen verschiedenen Gründen. Sie beruhen häufig darauf, dass nur die üblichen Standardeinstellungen genutzt werden. Und auf der mangelnden Kenntnis darüber, dass eben diese von Natur aus bereits Sicherheitsfehlkonfigurationen enthalten. Wie das auch auf Firewall-Konfigurationen zutrifft, zeigen wir Ihnen im Folgenden. Zwei häufige Fehlkonfigurationen der Firewall: Bind-Shell und Whitelisting Werfen wir zuerst einen Blick auf die Gefahr geschlossener Ports. Die meisten Unternehmen verlassen sich auf ihre organisatorische Domänen-Firewall und neigen dazu, die Firewall auf der Ebene des lokalen Rechners abzuschalten. Infolgedessen vernachlässigen sie oft die sorgfältige Wartung der Firewall. Das erkennt man gut an den Ports, die von Diensten und Anwendungen benötigt werden. Diese Ports werden in der Regel auf Anfrage von der IT-Abteilung oder dem Netzwerkteam an der Unternehmensfirewall geöffnet. Man unterscheidet drei Arten: • Offener Port: Die Anwendung oder der Dienst wird ausgeführt und nimmt Verbindungen über den Port an. • Gefilterter Port: Eine Firewall oder ein Filter blockiert den Port. Das können beispielsweise eine Server-Firewall, eine Netzwerk-Firewall, ein Router oder ein anderes Sicherheitsgerät sein. • Geschlossener Port: Er zeigt an, dass eine Anwendung oder ein Dienst nicht aktiv nach Verbindungen an diesem Port sucht. Ein geschlossener Port kann jedoch jederzeit geöffnet werden, wenn eine Anwendung oder ein Dienst gestartet wird. Im Lauf der Zeit werden viele Dienste oder Anwendungen von einem Endgerät entfernt oder gelöscht. Die lokale Firewall-Regel, die die Verbindungen zu diesen Ports zulässt, wird jedoch oft vernachlässigt und bleibt im Status "geschlossen", da die Anwendung nicht mehr auf Verbindungen wartet. Mit anderen Worten: Angreifer:innen können geschlossene Ports nutzen, um eine Verbindung zwischen ihrer "Angriffsbox" und dem Computer des Opfers herzustellen und darüber bösartige Befehle zu erteilen. Dies wird als Bind-Shell bezeichnet. Die Praxis der Whitelisting-Dienste und -Anwendungen ist eine weitere häufige Quelle für gefährliche Fehlkonfigurationen. Whitelists sind eine Art Filter, der die auf der Liste enthaltenen E-Mail- und IP-Adressen sowie Domains als besonders sicher und seriös einstuft. Zu liberale Whitelisting-Richtlinien können von Angreifer:innen ausgenutzt werden, um NTLM-Passwort-Hashes oder sogar Klartextpasswörter von Domänen- oder lokalen Benutzer:innen über den LSASS-Prozess zu extrahieren. Das bedeutet, dass Angreifer:innen in der Lage sind, einen Computer über eine kritische Sicherheitslücke zur Remotecodeausführung ohne vorherige Authentifizierung auszunutzen und die Domäne weiter zu missbrauchen.

Im Rahmen der digitalen Transformation entwickeln Unternehmen neue Produkte und Dienstleistungen. Dazu ist es notwendig, riesige Datenmengen zu sammeln, zu verarbeiten, zu analysieren und zu speichern – einschliesslich personenbezogener Daten. Daten sind buchstäblich überall, von Desktops und Laptops bis hin zu Servern, von der Nutzung in Abteilungen bis hin zur Nutzung im Unternehmen. Daten bewegen sich immer schneller, und sie wachsen geradezu unkontrolliert. Die Folge ist häufig ein Datenchaos: Daten sind redundant, nicht klassifiziert und werden an verschiedene Orte kopiert. Viele davon sind der zentralen IT-Abteilung überhaupt nicht bekannt. Eine Studie des Softwareentwicklers Aparavi aus dem Jahr 2021 unter rund 250 deutschen Führungskräften und IT-Entscheider:innen kommt zu dem Ergebnis, dass nur knapp ein Drittel der Befragten weiss, welche Daten überhaupt im Unternehmen verfügbar sind. 40 Prozent geben immerhin an, im Bilde zu sein, welche Art Daten sie erfassen. Tatsächlich greifen nur 20 Prozent der Firmen aktiv auf sämtliche Datensätze zu, werten sie aus und nutzen sie. 34 Prozent der Umfrageteilnehmenden verwerten immerhin fast alle Daten. Beunruhigendes Fazit: Für etwa die Hälfte der Unternehmen spielen Big Data und Data Analytics keine Rolle. Was früher ein IT-Problem war, ist heute ein dringendes Thema für alle, einschliesslich Unternehmensvorstände, Aufsichtsbehörden, Geschäftspartner:innen, Kund:innen und Mitarbeitende. IT-Abteilungen und -Anbieter müssen umdenken und den Datenschutz in ihre Prozesse einbeziehen. Auf der einen Seite müssen sie sicherstellen, dass die Daten ihrer Kund:innen und Nutzer:innen bestmöglich vor Missbrauch geschützt sind. Denn die Datenschutzgesetze verlangen, dass Daten als privat und sensibel betrachtet und geschützt werden. Auf der anderen Seite geht es darum, unternehmensinterne Informationen zu sichern und zu verhindern, dass sie in falsche Hände gelangen.