Weitere exklusive Ressourcen

Begegnen Sie der Bedrohungslandschaft
mit Identitätssicherheit

Die heutige Bedrohungslandschaft ist komplexer als je zuvor. Erfahren Sie, wie Sie Ihr Personal schnell schützen können.

Infografik lesen

5 Schritte zur Verringerung von Cyberrisiken durch Identitätssicherheit

5 Schritte, die Sie unternehmen können, um das Risiko zu minimieren und Ihr Identitätssicherheitsprogramm aufzuwerten.

Überblick lesen

Sicherung von digitalen Identitäten und Risikominimierung im Unternehmen

84 % der Unternehmen sahen sich im letzten Jahr mit personenbezogenen Datenschutzverletzungen konfrontiert. Wie können Sie dies verhindern und Ihr Unternehmen schützen?

Leitfaden abrufen

The post Wissen, wer Zugriff hat appeared first on SailPoint.

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung ist ein Vorfall, bei dem eine unbefugte Partei Zugang zu sensiblen, geschützten oder vertraulichen Informationen erhält. Wenn der Schutz vor Datenschutzverletzungen versagt, können zwei Arten von Daten ohne Genehmigung angesehen und/oder weitergegeben werden:

1. Persönliche Daten (z. B. Sozialversicherungsnummern, medizinische Informationen oder Kreditkartennummern)
2. Unternehmensdaten (z. B. Kundendaten, geistiges Eigentum oder juristische Dokumente)

Bei der Prävention von Datenschutzverletzungen ist es wichtig zu verstehen, dass eine Datenschutzverletzung nicht gleichbedeutend mit einem Cyberangriff ist. Eine Datenschutzverletzung kann das Ergebnis eines Cyberangriffs oder einfach eines Fehlers sein. Die Verhinderung von Datenschutzverletzungen setzt voraus, dass Sie die Verantwortlichen für die Bedrohung kennen, zu denen folgende gehören:

• Versehentliche Insider – z. B. ein Mitarbeiter verliert sein Handy, welches sensible Daten enthält, oder sendet versehentlich vertrauliche Informationen per E-Mail an die falsche Person.
• Böswillige Insider – z. B. verärgerte Mitarbeiter oder ehemalige Mitarbeiter, die ihren autorisierten Zugang ausnutzen, um als Vergeltungsmaßnahme unrechtmäßig Daten preiszugeben, oder ein Mitarbeiter, der Bestechungsgeld annimmt und sensible Daten weitergibt.
• Cyberkriminelle – d. h. böswillige Außenstehende (z. B. Verbrechersyndikate, Hacker oder nationale Akteure), die Cyberangriffe starten, um Daten zu stehlen.

Anatomie einer Datenschutzverletzung

Zur Vorbeugung von Datenschutzverletzungen sollten Sie die drei grundlegenden Phasen von Datenschutzverletzungen durch interne oder externe Akteure kennen:

1. Recherche
2. Angriff
3. Kompromittierung

1. Recherche 
Wenn Sie wissen, wie ein Angriff beginnt, können Sie sich effektiver vor Datenverletzungen schützen. Sobald ein Ziel ausgewählt wurde, sucht der Angreifer nach Schwachstellen, die er ausnutzen kann, um sich Zugang zu verschaffen.

2. Angriff 
Sobald ein Angreifer den Angriffsvektor basierend auf Datenschutz-Schwachstellen identifiziert hat, startet er einen Cyberangriff. In einigen Fällen umgehen Angreifer die Maßnahmen zur Verhinderung von Datenschutzverletzungen, indem sie sich gestohlene Zugangsdaten aus dem Dark Web beschaffen. Die ausgenutzten Lücken oder Schwachstellen stehen in der Regel mit Mitarbeitern, Systemen oder Netzwerken in Verbindung und umfassen Folgendes.

Brute-Force-Angriffe
Um Brute-Force-Angriffe abzuwehren, sollten die Verwendung von starken Passwörtern und eine Multi-Faktor-Authentifizierung vorgeschrieben werden. Brute-Force-Angriffe machen sich schwache Passwörter zunutze und verwenden Software, um sie zu erraten. Durch den Einsatz von künstlicher Intelligenz und maschinellem Lernen werden Brute-Force-Angriffe immer effektiver und können schwächere Anmeldedaten relativ problemlos knacken.

Insider, die ihren privilegierten Zugriff missbrauchen
Selbst der beste Schutz vor Datenschutzverletzungen kann von einem berechtigten Insider durchkreuzt werden, der Schaden anrichten möchte. Aufgrund weitreichender Zugriffsrechte können Insider mit privilegiertem Zugriff Schaden in einem Unternehmen anrichten, indem sie ihren Zugriff nutzen, um sich durch Systeme zu bewegen und sensible Daten zu kompromittieren.

Malware und Ransomware
Bei der Verhinderung von Datenschutzverletzungen wird Malware und Ransomware viel Aufmerksamkeit gewidmet, da sie häufig genutzte Angriffsvektoren sind. Obwohl es Erkennungslösungen gibt, umghen Malware und Ransomware weiterhin den Schutz vor Datenverletzungen, wenn Benutzer diese versehentlich aktivieren oder wenn Systemschwachstellen (z. B. ungepatchte Software) gezielt ausgenutzt werden.

Physische Angriffe oder Verletzungen der Standortsicherheit
Obwohl sich die Prävention von Datenschutzverletzungen in der Regel auf den digitalen Schutz konzentriert, ist es wichtig, die physische Sicherheit nicht zu vergessen. Dazu gehört der unbefugte Zugang zu Aktenschränken und Serverräumen. Auch der Verlust oder Diebstahl von Laptops, mobilen Geräten, Festplatten und USB-Laufwerken, die vertrauliche Daten enthalten, gehört zu den physischen Sicherheitsverletzungen.

Social Engineering-Angriffe
Social Engineering ist beim Schutz vor Datenschutzverletzungen einer der schwierigeren Vektoren, da Menschen als sehr schwaches Glied gelten. Cyberkriminelle nutzen Social-Engineering-Taktiken, um Menschen so zu manipulieren, dass sie Sicherheitssysteme gefährden.

Eine der häufigsten Arten von Social Engineering ist Phishing. Dabei handelt es sich um clevere, aber betrügerische E-Mails, SMS, Inhalte in sozialen Medien und Websites, die Benutzer dazu verleiten, Malware auszuführen oder Zugangsdaten weiterzugeben. Sie sind oft ein Problem bei der Verhinderung von Datenschutzverletzungen.

Gestohlene Zugangsdaten
Passwörter können nicht geschützt werden, wenn Benutzer sie an offensichtlichen physischen oder digitalen Orten aufbewahren. Viele Benutzer schreiben Passwörter immer noch auf Haftnotizen, in Notizbücher oder Tagebücher oder speichern sie in unverschlüsselte Dateien, E-Mail- oder Messaging-Apps und Browsern. Cyberkriminelle nutzen das schlechte Urteilsvermögen der Benutzer aus, um diese leicht zugänglichen Anmeldedaten zu stehlen.

3. Kompromittierung 
Sobald die Maßnahmen zur Verhinderung von Datenschutzverletzungen umgangen wurden, gehen Cyberkriminelle dazu über, Daten zu kompromittieren. Dies kann durch Exfiltration, Zerstörung oder einen Ransomware-Angriff geschehen, bei dem die Daten verschlüsselt werden, bis Lösegeld gezahlt wurde.

Datenschutzverletzungen vorbeugen

Es können viele Sicherheitslösungen zur Verhinderung von Datenschutzverletzungen eingesetzt werden. Nachfolgend finden Sie einige der gängigsten:

• Künstliche Intelligenz (KI) und Automatisierung zur Bedrohungserkennung und -bekämpfung  
  • EDR (Endpunkterkennung und -antwort)
  • SOAR (Security Orchestration, Automation and Response)
  • UEBA (User and Entity Behavior Analytics)
  • XDR (Schichtübergreifende Erkennung und -antwort)
• Hochwertige Verschlüsselung zum Schutz sensibler Daten  
  • AES-256 für Daten im Ruhezustand
  • TLS 1.2+ für Daten bei der Übertragung
• Identitäts- und Zugriffsverwaltung (IAM) 
  • Attributbasierte Zugriffskontrolle (ABAC)
  • Multi-Faktor-Authentifizierung (MFA)
  • Passwort-Manager  
    • Automatische Passwortaktualisierungen
    • Komplexe Passwörter
    • Privilegierte Zugriffsverwaltung (PAM)
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Single Sign-on (SSO)

Darüber hinaus sollten Standard-Sicherheitsmaßnahmen implementiert und in die Prozesse eingebettet werden, einschließlich:

• Datenschutzverfahren, die auf dem aktuellen Stand gehalten werden
• Ordnungsgemäße Datenbank-, Firewall- und Netzwerkkonfigurationen
• Regelmäßige Schwachstellenanalysen
• Geplante Backups
• Richtlinien für starke Passwörter

Weitere Komponenten zur Verhinderung von Datenschutzverletzungen sind:

• Regelmäßige Überprüfung von Apps und Netzwerken, um sicherzustellen, dass sie aktualisiert wurden.
• Entwicklung eines Prozesses zur Identifizierung von Schwachstellen und zur proaktiven Bekämpfung von Bedrohungen im Netzwerk.
• Develop and conduct employee security training regularly with a focus on: 
  • Umgang mit sensiblen Daten gemäß den Sicherheitsprotokollen des Unternehmens
  • Erkennen und Vermeiden von Social Engineering-Angriffen, insbesondere Phishing
  • Reaktion auf Datenschutzverletzungen gemäß den in den Vorfallreaktionsplänen festgelegten Verfahren
• Durchsetzung von BYOD-Sicherheitsrichtlinien (Bring Your Own Device), z. B. die Verpflichtung, dass alle Geräte einen VPN-Dienst und Virenschutz in Unternehmensqualität nutzen müssen.
• Voraussetzung von starken Anmeldedaten und Multi-Faktor-Authentifizierung.
• Patchen von Systemen und Netzwerken, sobald Updates verfügbar sind.
• Regelmäßige Durchführung von Sicherheitsaudits (stellen Sie sicher, dass alle Systeme, die mit dem Netzwerk des Unternehmens verbunden sind, einbezogen werden).
• Verhindern, dass Datenspeichergeräte (z.B. Festplatten und USB-Laufwerke) an ungesicherten Orten in den Büros aufbewahrt werden.
• Aktualisierung von Geräten, wenn die Software vom Hersteller nicht mehr unterstützt wird.
• Anwendung eines Zero-Trust-Sicherheitsmodells, das: 
  • Benutzer, Apps oder Infrastrukturkomponenten kontinuierlich durch kontextbezogene Authentifizierung, Autorisierung und Validierung überprüft, auch wenn sich diese bereits im Netzwerk befinden.
  • Das Prinzip der geringsten Privilegien durchsetzt, d. h. Benutzern, Apps oder Infrastrukturkomponenten nur jenen Zugriff und jene Berechtigungen gewährt, die für die Erfüllung ihrer Aufgaben oder ihrer Rolle erforderlich sind.
  • Sensible Daten identifiziert und Klassifizierung und Schutz anwendet, z. B. Schutz vor Datenverlust (DLP)
  • Eine umfassende, kontinuierliche Überwachung aller Netzwerkaktivitäten implementiert
  • Niemals Benutzern, Apps oder Infrastrukturkomponenten – intern oder extern – vertraut.
  • Einen vollständigen Einblick in das gesamte Netzwerk-Ökosystem des Unternehmens bieten, einschließlich der Art und Weise, wie Benutzer und Unternehmen auf Grundlage ihrer Rollen und Zuständigkeiten auf sensible Daten zugreifen und diese nutzen.
  • Netzwerke segmentiert, um seitliche Bewegungen zu verhindern.

Erstellung eines Vorfallreaktionsplans

Ein gut ausgearbeiteter, getesteter Plan zur Reaktion auf einen Vorfall ist ein wichtiger Bestandteil der Prävention von Datenschutzverletzungen. Er wird zwar erst nach einer Datenpanne angewandt, unterstützt aber die Prävention von Datenpannen, indem er den Schaden und das Ausmaß eines Vorfalls mildert.

Ein Vorfallreaktionsplan ist ein schriftlicher Leitfaden, der Teams darüber informiert, wie sie sich auf einen Cyberangriff vorbereiten, ihn erkennen, auf ihn reagieren und sich von ihm erholen können, falls die Systeme zum Schutz vor Datenverletzungen überwunden werden.

Er sollte auch genaue Informationen darüber enthalten, was eine Datenschutzverletzung ist.

Ein effektiver Plan zur Reaktion auf Datenschutzverletzungen richtet sich in erster Linie an IT-Teams. Er sollte jedoch auch Anweisungen für andere Abteilungen enthalten, die nach einer Datenpanne betroffen und involviert sind, z. B.:

• Kundenservice
• Finanzen
• Personalwesen
• Recht und Compliance
• Marketing und PR
• Vertrieb
• Vertreter der Geschäftsleitung

Ein Plan zur Reaktion auf Datenschutzverletzungen hat viele Vorteile, darunter die folgenden:

• Beschleunigt die Reaktion auf einen Vorfall 
  Ein formeller Plan hilft Unternehmen dabei, ihre Risikobewertung und Reaktionen so auszurichten, dass ein Vorfall oder Angriff schnell erkannt wird.
• Begrenzt den Einsatz von kostspieligen Disaster-Recovery-Plänen (DR)
  Eine schnelle Reaktion nach einer Datenpanne erspart einem Unternehmen oft die Zeit und die Kosten, die für die Durchführung vollständiger Disaster-Recovery- und Business-Continuity-Pläne (BC) anfallen. Selbst wenn Systeme zur Verhinderung von Datenschutzverletzungen kompromittiert sind, kann eine schnelle Reaktion zu einer schnellen Eindämmung und Lösung führen, ohne dass DR oder BC eingesetzt werden müssen.
• Mindert den Schaden durch Bedrohungen, indem er ein frühzeitiges Eingreifen ermöglicht 
  Wenn ein Unternehmen über einen Vorfallsreaktionsplan verfügt, ist das für die Reaktion zuständige Team sofort einsatzbereit und weiß, was zu tun ist. Dies mindert nicht nur den möglichen Schaden und Verlust, sondern verkürzt auch die Dauer des Vorfalls. Darüber hinaus wird die forensische Analyse beschleunigt, was die Wiederherstellungszeit verkürzt.
• Einhaltung gesetzlicher Vorschriften
  Die meisten Aufsichtsbehörden und viele Gesetzgeber (z. B. Federal Information Security Management Act (FISMA), Health Insurance Portability and Accountability Act (HIPAA) und Payment Card Industry Data Security Standard (PCI-DSS)) schreiben vor, dass Unternehmen nicht nur Maßnahmen zum Schutz sensibler Daten durch Maßnahmen zur Verhinderung von Datenschutzverletzungen ergreifen, sondern auch einen Vorfallreaktionsplan haben müssen. Das Fehlen eines Vorfallreaktionsplans kann zu Strafen wegen Nichteinhaltung der Vorschriften führen.

Schritte für die Erstellung eines Vorfallreaktionsplans, um auf Versäumnisse bei der Verhinderung von Datenschutzverletzungen zu reagieren.

Vorausplanung. 
Bevor Sie einen Plan für die Reaktion auf Datenschutzverletzungen erstellen, sollten Sie Datenschutzverletzungen vorbeugen. Daraus lassen sich wertvolle Informationen zur Risikobewertung sensibler Daten gewinnen. Die folgenden Punkte sollten bei der Vorausplanung berücksichtigt werden. Beachten Sie, dass viele dieser Informationen aus Risikobewertungsberichten und Plänen zur Vermeidung von Datenschutzverletzungen entnommen werden können.

• Kategorisierung von sensiblen Daten
• Erfassung, wo sich die sensiblen Daten befinden und wer Zugang zu ihnen hat
• Definition einer Datenschutzverletzung
• Skizzieren von möglichen Cyberangriffsszenarien (z. B. Ransomware, Kompromittierung von Zugangsdaten, Phishing)
• Festlegung, wann der Notfallplan aktiviert werden sollte

Wählen Sie die Mitglieder des Reaktionsteams für den Fall einer Datenpanne aus.   
Das Team für die Reaktion auf eine Datenpanne besteht zum Großteil aus Mitgliedern des IT-Teams, die an der Prävention von Datenpannen beteiligt sind, da sie die Menschen, Systeme und Prozesse, die von einem Vorfall betroffen sind, sehr gut kennen. Neben dem IT-Team sollten, wie oben erwähnt, auch Vertreter anderer Bereiche des Unternehmens einbezogen werden. Der Vorfallreaktionsplan sollte die Kontaktdaten jedes Teammitglieds und Einzelheiten zu seiner Rolle enthalten.

Identifizieren Sie Schwachstellen.  
Die größte und wahrscheinlichste Schwachstelle sind die Mitarbeiter. Nehmen Sie sich Zeit für verpflichtende Cybersicherheitsschulungen, um dieses Risiko zu verringern. Nutzen Sie die Informationen aus der Risikobewertung, um weitere Schwachstellen zu finden, die für Datenschutzverletzungen genutzt werden könnten.

Bestimmen Sie kritische Vermögenswerte.
Risikobewertungsberichten kann ein kategorisiertes Inventar der Vermögenswerte entnommen werden. Dieses sollte genutzt werden, um nach einer Datenpanne Prioritäten zu setzen, indem Sie sich auf jene Systeme konzentrieren, in denen sich kritische Vermögenswerte und sensible Daten befinden.

Stellen Sie sicher, dass automatisierte Datensicherungssysteme vorhanden sind. 
Die Datensicherung sollte automatisiert sein, wobei die Daten außerhalb des Unternehmens gespeichert werden und nicht mit den Netzwerken des Unternehmens verbunden sind. Außerdem sollte mindestens eine Person für die Datensicherung zuständig sein, die Erfahrung mit der Wiederherstellung von Daten hat.

Finden Sie externe Experten für die Wiederherstellung von Daten.  
Alle Unternehmen sollten Experten für Cybersicherheit und Datenwiederherstellung finden und deren Kontaktinformationen zur Verfügung stellen. Diese Ressourcen bieten wertvolles Fachwissen für die Prävention von Datenverletzungen und die Reaktion auf Vorfälle.

Entwickeln Sie eine Checkliste für den Vorfallreaktionsplan. 
Ein weit verbreiteter Rahmen für die Reaktion auf Vorfälle wurde vom SANS Institute entwickelt.

1. Vorbereitung 
   • Entwickeln Sie Sicherheitsrichtlinien zur Vermeidung von Datenschutzverletzungen.
   • Führen Sie eine Risikobewertung durch.
   • Identifizieren Sie sensible Vermögenswerte.
   • Definieren Sie eine Datenschutzverletzung.
2. Identifizierung 
   • Überwachen Sie IT-Systeme, um ungewöhnliche Aktivitäten zu erkennen und festzustellen, ob es sich um Sicherheitsvorfälle handelt.
   • Sammeln Sie zusätzliche Beweise, bestimmen Sie Art und Schweregrad des Vorfalls und dokumentieren Sie alle Ergebnisse.
3. Eindämmung 
   • Leiten Sie eine sofortige und gezielte Eindämmung ein, z. B. durch Isolierung des angegriffenen Netzwerksegments.
   • Gehen Sie zu einer vorübergehenden Eindämmung über, die kurzfristige Reparaturen umfasst, um die Systeme wieder in Betrieb zu nehmen, während die sauberen Systeme wiederhergestellt werden.
4. Entfernung 
   • Entfernen Sie die Malware von allen betroffenen Systemen.
   • Identifizieren Sie die Ursache des Angriffs.
   • Implementieren Sie Abhilfemaßnahmen, um zu verhindern, dass sich ähnliche Angriffe wiederholen.
5. Wiederherstellung 
   • Bringen Sie betroffene Produktionssysteme langsam wieder online, um weitere Angriffe oder die Verbreitung von Malware zu verhindern.
   • Testen, validieren und überwachen Sie die betroffenen Systeme, um sicherzustellen, dass sie normal funktionieren.
6. Gelernte Lektionen 
   • Führen Sie ein Audit des Vorfalls durch.
   • Erstellen Sie eine vollständige Dokumentation des Vorfalls.
   • Ermitteln Sie, ob die Reaktion auf den Vorfall verbessert werden könnte.
   • Aktualisieren Sie den Vorfallreaktionsplan mit den gewonnenen Erkenntnissen.

Erstellen Sie einen Kommunikationsplan. 
Klare und deutliche Kommunikation ist nach einer Datenpanne von entscheidender Bedeutung. Wenn es vorbereitete Erklärungen für die Strafverfolgungsbehörden, die Aufsichtsbehörden, die Mitarbeiter, die Kunden und die Medien gibt, können die Teams diese schnell an die Einzelheiten des Vorfalls anpassen und sie umgehend verbreiten.

Die Entwürfe der Erklärungen sollten einen Zeitplan zur Veröffentlichung und Kontaktinformationen enthalten. Da jeder Staat sein eigenes Gesetz zur Benachrichtigung über Datenschutzverletzungen hat und die Regeln von anderen Behörden diktiert werden, ist es wichtig, dass Sie diese Informationen im Vorfeld einholen und genau wissen, wer wann benachrichtigt werden muss.

Bewerten und aktualisieren Sie den Vorfallreaktionsplan regelmäßig. 
Vorfallreaktionspläne sollten regelmäßig aktualisiert werden, um Änderungen der Daten, der Benutzer und der IT-Infrastruktur zu berücksichtigen. Bei der Überprüfung des Plans sollten auch Änderungen der gesetzlichen Vorschriften berücksichtigt werden.

Bereiten Sie sich auf Datenschutzverletzungen vor und überarbeiten Sie den Plan regelmäßig für mehr Erfolg

Eine erfolgreiche Reaktion auf eine Datenschutzverletzung beginnt mit der Vorbereitung und Planung. Experten sind sich einig, dass die meisten Unternehmen irgendwann von einer Datenpanne betroffen sein werden. Unternehmen mit einem Vorfallreaktionsplan erholen sich schneller und mit geringeren Auswirkungen als solche, die keine Zeit in die Entwicklung und Wartung eines soliden Plans investiert haben.

Das könnte Sie auch interessieren:

Artikel

Was ist eine Sicherheitsverletzung?

Artikel

Was ist eine Datenschutzverletzung?

Blog

Datenschutzverletzungen ade

The post Datenschutzverletzungen vorbeugen appeared first on SailPoint.

Bei der Passwortverwaltung handelt es sich um eine Kombination von Systemen und Prozessen zur sicheren Abwicklung der Vergabe, des Zugriffs, der Speicherung und der Verwaltung von Passwörtern. Aufgrund der steigenden Anzahl an Systemen und Geräten wurde die Passwortverwaltung zu einem festen Aufgabe für jedes IT-Team. Die Passwortverwaltung erleichtert die Umsetzung von Best Practices im gesamten Lebenszyklus von Passwörtern – von der Erstellung bis zur Deaktivierung.

Erfahren Sie, wie Sie mit der Passwortverwaltung die Zahl der Anrufe beim Helpdesk reduzieren, die Sicherheit erhöhen und die Benutzerfreundlichkeit verbessern können.

Da Cyberbedrohungen immer raffinierter und effektiver werden, stellt die Passwortverwaltung einen wichtigen Schutz vor unbefugten Zugriffen auf Systeme, Apps und Daten dar.

Die Passwortverwaltung ermöglicht es Unternehmen, unvorsichtigem Verhalten, das zu Datenschutzverletzungen, führen kann, vorzubeugen und sich dagegen zu wehren, z. B. durch:

• Einfache und leicht zu erratende Passwörter
• Weitergabe von Passwörtern über Gespräche im Büro, durch Dokumente, E-Mails, per Telefon oder per SMS
• Nutzung desselben Passworts für alle Anmeldungen
• Aufschreiben von Passwörtern

Neben einem weniger riskanten Umgang mit Passwörtern bietet die Passwortverwaltung folgende Vorteile:

• Es ist nicht mehr notwendig, sich Passwörter zu merken
• Verschlüsselte Benutzerpasswörter für erhöhten Schutz
• Gewährleistet die Einhaltung von Vorschriften und Best Practices
• Erleichtert die Erstellung sicherer, komplexer und schwer zu erratender Passwörter
• Beschleunigt das Erstellen, Verwalten und Verwenden von Passwörtern und vereinfacht sie
• Minimiert die Wiederverwendung von Passwörtern
• Benachrichtigt Benutzer, wenn Anmeldeinformationen von einer Datenschutzverletzung oder einem Phishing-Versuch betroffen waren
• Ermöglicht es, Anmeldedaten automatisch auszufüllen, wenn ein Anmeldeformular erkannt wird, für das das System über einen Benutzernamen und ein Passwort verfügt
• Unterstützt die Synchronisierung von Anmeldedaten über mehrere Geräte hinweg

Passwort-Manager für Browser

Passwort-Manager für Browser haben sich durchgesetzt, weil Benutzer meistens über Browser auf Websites und Dienste zuzugreifen. Die Passwortverwaltung ist in alle wichtigen Browser integriert.

Die Passwortverwaltung des Browsers ermöglicht es Benutzern, Anmeldedaten für Konten zu speichern. Der Browser füllt sie danach automatisch aus. Viele Benutzer nutzen die Vorteile der Passwortverwaltung des Browsers, ohne sich über die Sicherheitsrisiken im Klaren zu sein. Diese umfassen:

Browser wurden nicht zur Verwaltung von Passwörtern entwickelt. Da die Passwortverwaltung ein Browser-Add-on ist, fehlen den meisten die Sicherheits- und Produktivitätsfunktionen, die speziell entwickelte Lösungen bieten.

Wenn ein Gerät gestohlen wird, können Passwörter aus geöffneten Browsern abgerufen werden. Da die meisten Benutzer sich nicht von Browsern abmelden, ist die Passwortverwaltung im Browser eine risikoreiche Methode der Passwortverwaltung.

Passwörter sind gefährdet, wenn ein Browser angegriffen wird. Browser sind anfällig für Cyberangriffe, die Geräte über bösartige E-Mail-Anhänge, infizierte Dateien, die von Websites heruntergeladen werden, oder Besuche auf infizierten Websites infizieren. Cyberkriminelle gefährden Browser auch durch die Kombination von Malware mit Browser-Erweiterungen und durch bösartige Shareware, Freeware, Adware und Spyware.

Was ist FIDO?

FIDO steht für Fast Identity Online. Die gemeinnützige FIDO Alliance wurde im Juli 2012 von Infineon, PayPal, Lenovo, Nok Nok, Validity Sensors und Agnitio gegründet. Die FIDO-Standards zielen darauf ab, Passwörter durch ein einziges Token zu ersetzen, das für die Authentifizierung verwendet wird, und die Multi-Faktor-Authentifizierung zu nutzen, um die Sicherheit und Benutzerfreundlichkeit zu verbessern.

Mit FIDO melden sich die Benutzer mit Passkeys an, die vor Phishing geschützt sind. Passkeys ersetzen die Anmeldung mit Passwörtern. Mit FIDO können sich Benutzer geräteübergreifend mit Passkeys anmelden, indem sie ein biometrisches Merkmal oder einen Sicherheitsschlüssel verwenden.

Was sind Passkeys?

Passkeys sind Berechtigungsnachweise, mit dem sich Benutzer bei Apps, Websites, Diensten und Systemen anmelden können, ohne ein Passwort eingeben zu müssen, was für Geräte gilt, mit denen sie sich bereits angemeldet haben (z. B. Smartphone oder Laptop). Passkeys basieren auf dem Web-Authentifizierungsstandard und nutzen die Public-Key-Kryptographie für mehr Sicherheit. Dadurch wird verhindert, dass Passkeys bei Cyberangriffen wie Phishing gestohlen werden. Passkeys speichern den privaten Schlüssel auf den Geräten der Benutzer, während sich der öffentliche Schlüssel auf den Servern der Unternehmen befindet.

Die Verwendung von Passkeys zur Benutzerauthentifizierung macht anfällige Benutzernamen und Passwörter überflüssig. Passkeys ersetzen herkömmliche Anmeldedaten durch digitale Anmeldedaten, die physischen Schlüsseln ähneln. Der Zugriff auf diese digitalen Schlüssel erfolgt, indem sich die Benutzer mit einer persönlichen Identifikationsnummer (PIN), einem Entsperrmuster oder biometrischen Merkmalen (z. B. Fingerabdruck) anmelden.

Die gängigsten Vorteile von Passkeys sind:

• Optimierte Authentifizierung für Benutzer
• Mehr Barrierefreiheit für Benutzer mit Behinderungen
• Geringere Belastung des Helpdesks durch Benutzer, die Passwörter zurücksetzen müssen
• Abwehr von Phishing-Angriffen
• Standardbasierter Ansatz, der die Integration von Autorisierungsfunktionen für Entwickler beschleunigt

Wie Passwortmanager funktionieren

Passwortverwaltungslösungen oder Passwortmanager bieten eine Reihe von Funktionen, die passwortbezogene Funktionen automatisieren, optimieren und sichern. Zu diesen Funktionen gehören:

Individuelle Passwortrichtlinien erstellen

Für Unternehmen mit Teams, die unterschiedliche Zugriffsanforderungen haben, können Passwortverwaltungsrichtlinien auf granularer Ebene implementiert werden. So lassen sich beispielsweise für Benutzer, die auf sensible Informationen zugreifen, erweiterte Autorisierungsanforderungen einrichten.

Änderungen erkennen

Ein Passwortverwaltungssystem kann automatisch Änderungen an Passwörtern erkennen und sie mit allen passenden Apps synchronisieren.

Multi-Faktor-Authentifizierung aktivieren

Die Passwortverwaltung bietet robuste Funktionen zur Multi-Faktor-Authentifizierung, um Benutzer zu überprüfen, die versuchen, Zugang zu erhalten. Dies umfasst die Möglichkeit einer Multi-Faktor-Authentifizierung, wenn ungewöhnliche Verhaltensweisen erkannt werden.

Passwortanforderungen durchsetzen

Die Passwortverwaltung unterstützt Unternehmen bei der automatischen Implementierung und Durchsetzung von Passwortrichtlinien. Alle Anforderungen werden netzwerkweit durchgesetzt, einschließlich der Verwendung sicherer Passwörter, regelmäßiger Passwortaktualisierungen und der Verwendung eindeutiger Passwörter für verschiedene Apps, Dienste und Systeme.

Sichere Passwörter generieren

Ein System zur Verwaltung von Passwörtern kann automatisch eindeutige, starke Passwörter erstellen, die Benutzer nur schwer erstellen können.

Über Geräte und Betriebssysteme hinweg synchronisieren

Da Benutzer auf mehrere Geräte angewiesen sind, gibt die Passwortverwaltung automatisch Passwörter für alle Geräte frei, damit das Passwort nicht mehr manuell auf verschiedenen Geräten eingegeben werden muss.

Weitere Funktionen von robusten Lösungen zur Passwortverwaltung sind:

• Aufzeichnung, Überwachung und Löschung der Passwörter von Benutzern
• Zugriffskontrolle für Mitarbeitergeräte
• Optionen für die Bereitstellung vor Ort und in der Cloud
• Passwortverwaltung auf den Endgeräten der Mitarbeiter
• Tools zur Berichterstattung
• Selbstbedienungsfunktionen

Globale Sicherheitszertifikate für die Passwortverwaltung

Es gibt viele Sicherheitszertifikate im Zusammenhang mit der Passwortverwaltung. Nachfolgend finden Sie Zertifikate, die bei internationalen Unternehmen am beliebtesten sind.

APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules)

APEC CBPR ist ein staatliches Datenschutzzertifikat, mit dem Unternehmen die Einhaltung internationaler Datenschutzbestimmungen nachweisen können. Es legt den Schwerpunkt auf Datenschutzpraktiken, die die personenbezogenen Daten von APEC-Kunden bei der grenzüberschreitenden Übertragung gemäß den vorgeschriebenen Standards schützen.

APEC PRP (Asia-Pacific Economic Cooperation Privacy Recognition for Processors)

APEC PRP ist eine Zertifikat für Datenverarbeiter, die im Auftrag von Kundenorganisationen (Datenverantwortlichen) tätig sind und so nachweisen können, dass sie die Datenschutzanforderungen für die Datenverantwortlichen effektiv umsetzen.

BSI C5 (Cloud Computing Compliance Controls Catalogue)

BSI C5 ist ein geprüfter Standard, der einen verbindlichen Mindeststandard für die Cloud-Sicherheit und den Einsatz von Public-Cloud-Lösungen festlegt. Er wurde in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt.

ISO  27001

ISO 27001 ist eine international anerkannte Norm für ein Information Security Management System (ISMS), das die gesamte Verwaltung der Informationssicherheit bewertet.

SOC2 Type II

Ein SOC-Audit (Service Organization Control) vom Typ II bewertet, wie ein Anbieter von Cloud-basierten Diensten mit sensiblen Daten umgeht. Dazu gehört die Angemessenheit der Kontrollen eines Unternehmens und seine operative Effektivität.

SOC3

Bei einem SOC-III-Audit (Service Organization Control) werden die internen Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit bewertet.

Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist eine Verordnung, die eine Reihe von standardisierten Datenschutzgesetzen in der Europäischen Union (EU) umfasst, um den Datenschutz zu verbessern und die Datenrechte der EU-Bürger zu stärken.

EU-US-Datenschutzschild

Das EU-US-Datenschutzschild ist ein rechtlicher Rahmen, der den transatlantischen Austausch von personenbezogenen Daten zu kommerziellen Zwecken zwischen der Europäischen Union und den Vereinigten Staaten regelt und Datenschutzmaßnahmen vorschreibt.

Herausforderungen bei der Passwortverwaltung

Die Verwaltung von Passwörtern bietet viele Vorteile, birgt aber auch einige bemerkenswerte Herausforderungen. Wenn Sie die Herausforderungen verstehen, können Sie sicher und effektiv den maximalen Nutzen aus Ihren Lösungen ziehen.

Zu den Herausforderungen bei der Passwortverwaltung gehören:

• Kompatibilität
  Da es keine verbindlichen Standards gibt, sind nicht alle Websites mit allen Maßnahmen zur Passwortverwaltung kompatibel.
• Anfälligkeit des Master-Passworts
  Da Lösungen zur Passwortverwaltung ein Master-Passwort nutzen, um auf andere Passwörter zuzugreifen, könnten durch eine Kompromittierung die anderen Passwörter preisgegeben werden. Außerdem könnte der Benutzer bei Verlust des Master-Passworts den Zugang zu Apps, Diensten und Systemen verlieren.
• Sicherheitsbedenken
  Die Passwortverwaltung kann eine einzige Schwachstelle sein, da alle Passwörter veröffentlicht werden könnten, wenn das System kompromittiert wird.
• Benutzerakzeptanz
  In einigen Fällen haben die Benutzer Probleme mit der Einrichtung und Verwendung neuer Passwortverwaltungssysteme.

Weitere Herausforderungen im Zusammenhang mit der Passwortverwaltung sind Cyberbedrohungen, wie Bedrohungen für Passwörter bei:

• Brute-Force-Angriffe
  Es werden automatische Tools verwendet, um Passwörter zu stehlen oder zu erraten.
• Datenschutzverletzungen
  Cyberkriminelle verschaffen sich unbefugten Zugang zu Netzwerken und stehlen Anmeldedaten aus Website-Datenbanken.
• Login-Spoofing
  Cyberkriminelle verwenden Passwörter, die illegal über eine gefälschte Anmeldeseite gesammelt wurden
• Shoulder-Surfing-Angriffe
  Passwörter werden von Cyberkriminellen gestohlen, die den Zugriff der Benutzer auf die Systeme beobachten (z. B. mit einer versteckten Kamera)
• Sniffing-Angriffe
  Passwörter werden mit illegalen Methoden gestohlen, z. B. durch physischen Diebstahl, Keylogging und Malware.

Best Practices der Passwortverwaltung

Untersagen Sie die Wiederverwendung von Passwörtern

Passwörter sollten nicht für verschiedene Geräte oder Apps wiederverwendet werden. Jedes Konto sollte ein eigenes Passwort haben. Ohne Passwortverwaltung kann es schwierig sein, den Überblick zu behalten.

Erstellen Sie eine Richtlinie zur Passwortverwaltung und setzen Sie sie durch

Stellen Sie Mitarbeitern und Administratoren einen klaren Leitfaden für die Verwaltung von Passwörtern zur Verfügung, damit sich die Benutzer an Best Practices halten können, die von Administratoren einfach umgesetzt werden können.

Klären Sie Teammitglieder über Online-Sicherheit auf

Aufklärung ist ausschlaggebend dafür, dass Benutzer die Best Practices der Passwortverwaltung einhalten. Nachstehend finden Sie Möglichkeiten, wie Sie die Bedeutung der Best Practices für die Passwortverwaltung verdeutlichen und Anreize für deren Einhaltung schaffen können, um eine Kultur der Sicherheit aufzubauen und aufrechtzuerhalten.

• Erklären Sie die Rolle der Passwortverwaltung zur Vermeidung von Datenschutzverletzungen.
• Schulen Sie Ihre Mitarbeitern in den Best Practices der Passwortverwaltung.
• Helfen Sie Ihren Mitarbeitern, die Best Practices der Passwortverwaltung mit Hilfe von Automatisierung einzuhalten.
• Bieten Sie ein On-Demand-Schulungsprogramm mit Ressourcen an, auf die die Mitarbeiter nach Belieben zugreifen können.
• Bieten Sie Anreize für die Teilnahme an Schulungen und Übungen zur Passwortverwaltung (z. B. Geldprämien oder Geschenkkarten).

Verbessern Sie den Schutz von privilegierten Benutzerkonten und Passwörtern.

Verwalten Sie privilegierte Zugänge, um Konten, die einen höheren Zugriff auf Daten und Apps bieten und bei Cyberkriminellen begehrt sind, zusätzlich zu schützen.

Erkennen Sie Sicherheitsprobleme schnell und helfen Sie Ihren Mitarbeitern, gefährdete Konten zu reparieren

Die Passwortverwaltung sollte passwortbezogene Sicherheitsprobleme und gefährdete Konten proaktiv erkennen. Wenn Probleme erkannt werden, sollte die Lösung automatische Reaktionen zur Behebung und Warnungen für Konten, die als besonders riskant eingestuft werden, auslösen.

Aktivieren Sie die Multi-Faktor-Authentifizierung

Bei der Multi-Faktor-Authentifizierung (MFA) müssen Benutzer zwei oder mehr Nachweise (Faktoren) erbringen, um ihre Identität zu prüfen, bevor sie Zugang erhalten. Diese Faktoren umfassen:

• Etwas, das Sie wissen – ein Passwort oder eine persönliche Identifikationsnummer (PIN)
• Etwas, das Sie haben – ein Smartphone, Handy oder Token
• Etwas, das Sie sind – biometrische Daten (z. B. Fingerabdruck oder Gesichtserkennung)

Richten Sie verpflichtende Passwortänderungen ein

Verlangen Sie von den Benutzern, dass sie ihre Passwörter nach einer festgelegten Zeit ändern. Die Passwortverwaltung automatisiert diesen Prozess, um die Einhaltung der Vorschriften zu gewährleisten.

Abschaffung der browserbasierten Passwortverwaltung

Die browserbasierte Passwortverwaltung stellt ein Sicherheitsrisiko dar. Unternehmen sollten Pläne zur Abschaffung der browserbasierten Passwortverwaltung erstellen und sie durch eine speziell entwickelte Lösung ersetzen.

Setzen Sie sichere Passwörter voraus

Passwörter sollten komplex und einzigartig sein, damit sie von Cyberkriminellen nicht geknackt werden können. Passwortverwaltungssysteme können automatisch starke Passwörter generieren, die Folgendes enthalten:

• Mehr als acht Zeichen
• Eine Kombination aus Groß- und Kleinbuchstaben
• Verschiedene Zahlen und Sonderzeichen

Speichern Sie Passwörter in einem Passwortverwaltungssystem

Verwenden Sie ein spezielles Passwortverwaltungssystem, um die Abläufe für die Benutzer zu optimieren und die Verwaltung durch IT-Teams zu erleichtern. Dies ermöglicht Regeln für die Passwortverwaltung und erhöht die Sicherheit.

Verwenden Sie Passwortverschlüsselung

Eine unumkehrbare Ende-zu-Ende-Verschlüsselung ist ein Muss für die Passwortverwaltung, um Anmeldedaten zu schützen – denn selbst das stärkste Passwort ist angreifbar, wenn es nicht verschlüsselt ist. Die Passwortverschlüsselung sichert Daten, die gespeichert oder übertragen werden. Bei der Verschlüsselung werden digitale Daten mathematisch kodiert, um zu verhindern, dass sie mit einem Schlüssel oder Passwort gelesen oder entschlüsselt werden können.

Passwortverwaltung: Ein einfaches, aber wirkungsvolles Sicherheitsupgrade

Die Cybersicherheit stellt eine zunehmende Herausforderung dar, da Cyberkriminelle und ihre Taktiken durch moderne Technologien wie künstliche Intelligenz und maschinelles Lernen unterstützt werden. Die gesamte Technologie, die eingesetzt wird, um sie fernzuhalten, wird auch genutzt, um sich unbefugten Zugang zu verschaffen. Sicherheitsteams müssen ein Netz von Lösungen einsetzen, um Schutz zu bieten.

Die Passwortverwaltung ist eine der am einfachsten zu implementierenden Sicherheitslösungen und sehr wirksam. Durch die Passwortverwaltung wird ein viel genutzter Angriffsvektor nahezu eliminiert. Die Passwortverwaltung verhindert die Kompromittierung von Anmeldedaten, die Unternehmen unermesslichen Schaden zufügen kann.

Das könnte Sie auch interessieren:

Produkte

Die Passwortverwaltung vereinfachen und verbessern

Blog

Passwortverwaltung: Der Weg zur IT-Produktivität

Video

In 2 Minuten zur Passwortverwaltung

The post Best Practices der Passwortverwaltung appeared first on SailPoint.

In diesem Artikel erfahren Sie mehr über die Erkennung von und die Reaktion auf Bedrohungen sowie über Beispiele von Cyberbedrohungen und die Nutzung von Bedrohungsanalysen zur Bedrohungsbekämpfung. Entdecken Sie, wie Sie bei der Erkennung von Bedrohungen proaktiv vorgehen können.

Was ist die Bedrohungserkennung und -bekämpfung?

Die Bedrohungserkennung und -bekämpfung ist eine Kombination von Cybersecurity-Praktiken und -Tools zur Erkennung böswilliger Aktivitäten und deren Neutralisierung bzw. Entschärfung, bevor Netzwerke, Systeme oder sensible Daten gefährdet werden.

Die effektivste Bedrohungserkennung und -bekämpfung erfolgt durch eine Mischung aus Technologie, Prozessen und Menschen.

Was ist Bedrohungserkennung?

Es gibt zwei große Kategorien von Bedrohungen: bekannte und unbekannte. Eine Strategie zur Erkennung von Bedrohungen muss die folgenden Funktionen aufweisen, um beide Angriffsarten wirksam zu identifizieren.

• Erkennung von Bedrohungen an Endpunkten
  Identifiziert potenziell böswillige Ereignisse auf Anwendersystemen wie Desktops, IoT-Geräten (Internet der Dinge), Laptops, Smartphones, Servern, Tablets und Workstations.
• Erkennung von Bedrohungen im Netzwerk
  Ermittelt normale Datenverkehrsmuster im Netzwerk und überwacht auf Anomalien.
• Erkennung von Bedrohungen durch Sicherheitsereignisse
  Fasst Daten aus Ereignissen im Netzwerk zusammen, einschließlich Authentifizierung, Netzwerkzugang und Systemprotokolle.
• Penetrationstests
  Simuliert Angriffe auf Systeme zur Bewertung der Sicherheit und zur Ermittlung von Schwachstellen.

Im Folgenden sind drei wichtige Methoden zur Bedrohungserkennung dargestellt.

1. Verhaltensbasierte Bedrohungserkennung 
Verhaltensbasierte Erkennungsmethoden identifizieren abnormales Verhalten, das auf Aktivitäten auf Geräten oder in Netzwerken hinweisen könnte. Bei diesem Modell zur Bedrohungserkennung werden Grundlinien für normale Verhaltensmuster entwickelt und regelmäßig aktualisiert, beispielsweise von wo aus sich ein Benutzer normalerweise anmeldet, zu welcher Tageszeit er online ist und auf welche Ressourcen er zugreift. Wenn das Verhalten von den gängigen Mustern abweicht, wird eine Warnmeldung über potenziell böswillige Aktivitäten verschickt.

2. Auf maschinellem Lernen basierende Bedrohungserkennung 
Riesige Datenmengen aus zahlreichen Quellen wie Protokolldateien, Sicherheitssystemen und Cloud-Diensten werden durch Modelle des maschinellen Lernens verarbeitet. Algorithmen des maschinellen Lernens nutzen Statistiken und Wahrscheinlichkeiten, um schnell Muster zu erkennen, die für Menschen unmöglich zu erfassen wären. Durch die Gewinnung von Erkenntnissen aus der gesamten Angriffsoberfläche spielt die Bedrohungserkennung durch maschinelles Lernen eine entscheidende Rolle bei der Erkennung unbekannter Bedrohungen. 

3. Signaturbasierte Bedrohungserkennung 
Bei der signaturbasierten Bedrohungserkennung wird der Netzwerkverkehr nach Indikatoren für bekannte Bedrohungen durchsucht (z. B. Hashes, Dateinamen, Registrierungsschlüssel oder Zeichenfolgen, die in einer Datei auftauchen). Wenn eine Übereinstimmung gefunden wird, wird eine Warnung ausgegeben.

Was ist die Reaktion auf Bedrohungen?

Nach der Bedrohungserkennung besteht die Reaktion auf Bedrohungen aus den Schritten, die zur Minimierung der Auswirkungen von Cyberangriffen und anderen böswilligen Aktivitäten unternommen werden. Eine wirksame Reaktion auf Bedrohungen hängt von einem genauen Plan ab, der Teams ein rasches Handeln ermöglicht.

In Plänen zur Reaktion auf Bedrohungen sollten Rollen und Zuständigkeiten festgelegt werden. Die an der Reaktion auf Bedrohungen beteiligten Personen werden als CIRT (Cyber Incident Response Team) bezeichnet. CIRTs umfassen in der Regel Vertreter aus dem gesamten Unternehmen (z. B. Sicherheit und IT, Führungskräfte, Rechtsabteilung, Personalabteilung, Compliance, Risikomanagement und Öffentlichkeitsarbeit).

Nachfolgend finden Sie sechs Schritte für eine wirksame Reaktion auf Bedrohungen.

1. Vorbereitung 
Die Wirksamkeit der Reaktion auf Bedrohungen hängt von der Bereitschaft ab. Das heißt, dass alle Aspekte des Maßnahmenplans bei Bedrohungen erstellt und regelmäßig überprüft werden müssen, damit die Schritte schnell befolgt werden können und der aktuellsten Bedrohungslage Rechnung tragen. Diese Vorbereitung sollte Strategien, Richtlinien und Pläne zur Minimierung von Unterbrechungen und Schäden umfassen.

2. Identifizierung und Analyse 
Bei der Erkennung von Bedrohungen werden Vorfälle anhand von Daten aus verschiedenen Quellen wie Protokolldateien, Überwachungstools, Fehlermeldungen, Systemen zur Erkennung von Eindringlingen und Firewalls identifiziert. Nach der Erkennung der Bedrohung sollte eine Analyse durchgeführt werden, um die genaue Art und den Umfang des Angriffs zu erfassen. Diese Informationen gewährleisten eine möglichst effiziente Reaktion.

3. Eindämmung 
Die Eindämmungsmaßnahmen sollten so schnell wie möglich nach der Entdeckung der Bedrohung beginnen. In dieser Hinsicht gibt es zwei Phasen der Eindämmung:

1. Kurzfristige Eindämmungsmaßnahmen konzentrieren sich auf die Isolierung der betroffenen Systeme, um eine Ausbreitung der Bedrohung zu verhindern. Häufig werden infizierte Geräte offline geschaltet.
2. Langfristige Eindämmungsmaßnahmen werden ausgeweitet, um die Abwehrmaßnahmen zum Schutz nicht betroffener Systeme zu verstärken. Manchmal werden sensible Ressourcen durch Netzwerksegmentierung physisch getrennt.

4. Beseitigung
Während der Beseitigungsphase muss das Team nach allen Spuren der Bedrohung auf den betroffenen und nicht betroffenen Systemen suchen und diese entfernen. Dies kann die Zerstörung von Malware, die Bereitstellung von Patches, die Wiederherstellung von Systemen anhand von Backups oder die endgültige Außerbetriebnahme von Systemen beinhalten.

5. Wiederherstellung
Bevor die Systeme wieder in Betrieb genommen werden, werden sie getestet, überwacht und validiert, um zu bestätigen, dass die Beseitigungsmaßnahmen wirksam waren. Bei größeren Vorfällen muss in der Wiederherstellungsphase auch entschieden werden, wann der Betrieb wieder aufgenommen werden soll. In einigen Fällen werden zuerst die nicht betroffenen Systeme wieder in Betrieb genommen, während die infizierten Systeme zusätzlichen Tests unterzogen werden.

6. Überprüfung nach dem Vorfall
Nachdem die Bedrohung beseitigt und alle Abläufe wiederhergestellt wurden, prüft ein Team die während der einzelnen Schritte der Bedrohungsbekämpfung gesammelten Informationen, um nachzuvollziehen, was passiert ist und wie es in Zukunft verhindert werden kann. Die daraus gezogenen Lehren werden an interne Teams und oft auch an Dritte weitergegeben, um anderen zu helfen, eine ähnliche Situation zu vermeiden. Eine Ressource für die Meldung von Cyberkriminalität ist das Internet Crime Complaint Center (IC3) des FBI, die zentrale Stelle der USA für die Meldung von Cyberverbrechen, die bedrohungsbezogene Daten sammelt.

Beispiele für Cyberbedrohungen

Die Kenntnis der Arten von Cyberbedrohungen, mit denen Unternehmen konfrontiert sind, ist für die Erkennung von Bedrohungen und die Reaktion darauf entscheidend. Zu den häufigsten Bedrohungen gehören:

• Fortgeschrittene, anhaltende Bedrohungen (Advanced Persistent Threats, APT)
• Verteilte Netzwerkangriffe (Distributed Denial-of-Service- bzw. DDoS-Attacken)
• Insiderbedrohungen – böswillig und fahrlässig
• Malware
• Phishing
• Social Engineering
• Ransomware
• Angriffe auf die Lieferkette
• Zero-Day-Bedrohungen

Nutzung von Bedrohungsdaten

Bedrohungsdaten werden gesammelt, verarbeitet und analysiert, um Erkenntnisse über Motive, Ziele und Angriffsverhalten zu gewinnen. Sicherheitsentscheidungen können schneller getroffen werden und von reaktiv auf proaktiv umgestellt werden. Beispiele für Informationen zu Bedrohungen sind:

• Hinweise zur Abwehr von Angriffen
• Anomales Verhalten
• Taktiken, Techniken und Verfahren bei Angriffen (TTPs)
• Bekannte Bedrohungen und Angreifer
• Beweggründe für einen Angriff
• Ursprung eines Angriffs
• Arten von Malware oder Angreifer-Infrastruktur
• Unbekannte Bedrohungen und Angreifer
• Schwachstellen

Reaktion auf Sicherheitsvorfälle

Bei der Reaktion auf Sicherheitsvorfälle ist Schnelligkeit entscheidend. Die Zeit von der Erkennung der Bedrohung bis zur Eindämmung sollte so kurz wie möglich sein, um den Schaden zu minimieren.

Wie oben ausgeführt, sollte ein Plan zur Reaktion auf Bedrohungen für jedes Unternehmen von höchster Priorität sein. Unabhängig von der Größe ist jedes Unternehmen für Cyberangriffe anfällig und wird in Mitleidenschaft gezogen, wenn nicht schnell und effektiv gehandelt wird.

Zu den Fragen, die geprüft und beantwortet werden müssen, um eine möglichst proaktive Reaktion auf einen Sicherheitsvorfall zu gewährleisten, gehören:

• Gibt es Teams, die auf Warnungen über erkannte Bedrohungen reagieren können?
• Wissen die Teams, wer für die einzelnen Phasen des Reaktionsplans auf Bedrohungen zuständig ist?
• Gibt es eine Kommunikationskette, und ist sie allen Teammitgliedern gut bekannt?
• Sind allen Teammitgliedern die Bedingungen für eine Eskalation klar?
• Sind alle Werkzeuge und Systeme vorhanden, um rasch auf Bedrohungswarnungen zu reagieren?

Proaktive Bedrohungserkennung

Die proaktive Erkennung von Bedrohungen hängt davon ab, dass die Möglichkeiten von Technologie und Menschen optimal genutzt werden. Die Tools dienen der Automatisierung, um mühsame manuelle Aufgaben zu beseitigen und die Erkennung von Bedrohungen über das hinaus zu verbessern, was Menschen leisten können. Das menschliche Element bietet die Fähigkeit, Nuancen zu erkennen und Entscheidungen zu treffen, die Maschinen nicht übernehmen können.

Zu den wichtigen Ressourcen für die proaktive Bedrohungserkennung gehören:

• Auf künstlicher Intelligenz (KI) und maschinellem Lernen basierende Lösungen
• Kontinuierliche Überwachung und Analyse
• Penetrationstests
• Pläne zur proaktiven Bedrohungserkennung und -bekämpfung sowie entsprechende Teams
• Threat Hunting

Die wichtige Rolle der Erkennung von und Reaktion auf Bedrohungen

Die meisten Experten sind sich einig, dass die Erkennung von und Reaktion auf Bedrohungen ein Muss für jedes Unternehmen ist. Die Tiefe und Breite dieser Systeme richtet sich nach der Art und Größe des Unternehmens und den Informationen, die es sammelt, verwendet und speichert. Die gute Nachricht ist, dass es Lösungen gibt, die die spezifischen Anforderungen eines jeden Unternehmens erfüllen.

Das könnte Sie auch interessieren:

Artikel

Was ist ein Bedrohungsvektor? Beispiele aus dem Bereich der Cybersicherheit

Artikel

Was ist eine Insiderbedrohung?

Video

Wissen, wer da ist

The post Bedrohungserkennung und -bekämpfung appeared first on SailPoint.

Warum Unternehmen Ransomware-Abwehr einsetzen müssen

Mit einem Ransomware-Abwehrplan kann das Unternehmen seine Daten, seine Mitarbeiter und das Unternehmen als Ganzes schützen. Ransomware zählt zu den schwierigsten Bedrohungen in der Abwehr, und angesichts ihres wachsenden Ausmaßes ist jedes Unternehmen einem Risiko ausgesetzt. Durch einen Plan zur Risikominderung kann das Unternehmen proaktiv Schritte unternehmen, um Lücken in seiner Verteidigung zu identifizieren und zu schließen.

Schutz von Daten

Die Sicherung Ihrer Daten ist der wichtigste Aspekt Ihrer allgemeinen Cybersicherheitsstrategie und besonders wichtig bei der Abwehr von Ransomware. Ein Angriff durch Ransomware kann nicht nur die Datenverfügbarkeit beeinträchtigen, sondern auch den Datenschutz und die Integrität der Daten.

Ransomware-Angreifer wenden inzwischen häufig ein doppeltes Erpressungskonzept an: Sie verschlüsseln nicht nur Daten, um Lösegeld zu erpressen, sondern stehlen diese auch, damit die Opfer zur Zahlung gezwungen werden, wenn sie nicht möchten, dass ihre sensiblen Daten offengelegt werden.

Außerdem kann der Ver- und Entschlüsselungsprozess die Daten verfremden oder sogar zerstören.

Schutz der Mitarbeiter

Mitarbeiter vor einem Ransomware-Angriff zu schützen, ist genauso wichtig wie der Schutz der Daten. Mitarbeiter können ein „leichtes Ziel“ für bösartige Akteure sein. Durch eine Kombination aus Social Engineering und roher Gewalt machen diese Akteure Mitarbeiter oft zu unwissenden Akteuren in ihrem heimtückischen Plan und missbrauchen sie, um Zugriff auf Unternehmenssysteme zu erhalten.

Schutz des Unternehmens

Maßnahmen zur Bekämpfung von Ransomware schützen Unternehmen vor einer Vielzahl von Auswirkungen, die von Finanzverlusten bis hin zu Rufschädigung reichen. Das gilt besonders dann, wenn das Unternehmen börsennotiert ist und sich gegenüber Vorstandsmitgliedern, Aktionären und Aufsichtsgremien zu verantworten hat. Laut Untersuchungen haben 42 % der Unternehmen, die Opfer von Ransomware-Angriffen wurden, Kunden aufgrund dieser Angriffe verloren.

Ransomware wird immer verbreiteter

Ransomware hat sich zu einem verbreiteten Problem entwickelt, das Unternehmen aller Größen und Branchen betrifft. Einer der wachsenden Trends ist dabei Ransomware-as-a-Service. Hierbei wird Cyberkriminellen die Einstiegshürde genommen, indem eine fertige Infrastruktur, Code und andere Komponenten zur Verfügung gestellt werden, mit denen ohne jegliche technische Kenntnisse ein Angriff gestartet werden kann.

Ransomware bietet Cyberkriminellen zudem eine bessere Investitionsrendite als andere Angriffsarten. Das Zusammenspiel dieser beiden Faktoren deutet darauf hin, dass diese Bedrohung wahrscheinlich weiter zunehmen wird.

Ransomware-Abwehr und Identity Security

Identity Security ist ein Bestandteil der gesamten Cybersicherheitsstrategie, die Ransomware abwehren kann. SailPoint bietet eine Vielzahl von Lösungen, mit denen Unternehmen sicherstellen können, dass die richtigen Benutzer zur richtigen Zeit den richtigen Zugriff haben. Wir zeigen Ihnen, wie wir Unternehmen wie Ihrem dies ermöglichen.

Das könnte Sie auch interessieren:

Artikel

Sechs Cybersecurity-Risiken und wie Sie sich darauf vorbereiten

Video

Ransomware, Gesichtserkennung und Liz Wharton

Blog

Ransomware erfordert besondere Fähigkeiten

The post Ransomware-Abwehr appeared first on SailPoint.

Eine Insider-Bedrohung ist ein Sicherheitsrisiko, das innerhalb einer Organisation entsteht und von Mitarbeitern, ehemaligen Mitarbeitern und Dritten ausgelöst wird. Eine Insider-Bedrohung wird zwar häufig mit böswilligen Absichten in Verbindung gebracht, kann aber auch aus Unfällen resultieren. Sie bezieht sich in der Regel auf Cyber-Ereignisse, die dazu führen, dass legitime Benutzerzugriffsrechte genutzt werden, um unbefugt Zugriff auf sensible Daten, Netzwerke und Systeme zu erhalten.

Erfahren Sie, wie das Risikomanagement für Nicht-Mitarbeiter dazu beiträgt, Insider-Bedrohungen durch eine vollständige Transparenz des Zugriffs auf die Identität von Dritten abzuschwächen.

Ein Insider ist „jede Person, die autorisierten Zugang zu den Ressourcen eines Unternehmens hat oder hatte, einschließlich Personal, Einrichtungen, Informationen, Ausrüstung, Netzwerke und Systemen.“

-Cybersecurity & Infrastructure Security Agency (CISA)

Eine Insider-Bedrohung mit böswilligen Absichten zielt meist auf finanziellen Gewinn ab. Ihr Ziel ist eine Datenschutzverletzung, ein Betrug oder ein Ransomware-Angriff. Einige böswillige Insider-Bedrohungen zielen jedoch darauf ab, das Unternehmen aus terroristischen oder Rachegründen zu stören.

Eine versehentliche bzw. unbeabsichtigte Insider-Bedrohung kann auf viele Arten ausgelöst werden, z. B. durch das Anklicken eines Phishing-Links oder durch Social-Engineering. Auch unschuldige Benutzer können zu einer Insider-Bedrohung werden, indem sie versehentlich auf sensible Daten zugreifen, ohne dazu berechtigt zu sein, oder sie per E-Mail verbreiten.

Arten von Insider-Bedrohungen

Eine Insider-Bedrohung wird in der Regel als böswillig oder versehentlich einstuft. Ein böswilliger Insider ist eine Person (z. B. ein Angestellter oder ein Dritter), die ihre Zugriffsrechte nutzt, um ein Unternehmen zu bestehlen oder ihm Schaden zuzufügen. Diese Art von Insider-Bedrohung wird auch als vorsätzliche Insider-Bedrohung bezeichnet, da Mitarbeiter Unternehmensdaten stehlen, um sie an Hacker, Drittorganisationen oder konkurrierende Unternehmen zu verkaufen. Eine versehentliche Insider-Bedrohung kann auf viele Arten entstehen, z. B. durch laxe Sicherheitsrichtlinien des Unternehmens, mangelnde Mitarbeiterschulung und unvorsichtige Teammitglieder.

Innerhalb dieser beiden Kategorien sind mehrere Unterkategorien zu beachten, darunter folgende:

Ausscheidende Mitarbeiter

Wenn ein Mitarbeiter ein Unternehmen freiwillig oder unfreiwillig verlässt, wird er oft zur Insider-Bedrohung. Manchmal geschieht dies versehentlich, da ein Mitarbeiter unbeabsichtigt interne Informationen mitnimmt. In anderen Fällen handelt es sich um böswillige Handlungen, bei denen ausscheidende Mitarbeiter Informationen zur persönlichen Bereicherung stehlen (z. B. Geschäftsgeheimnisse, Kundenlisten) oder sensible Daten aus Rache preisgeben.

Insider-Agenten

Spionage zielen auf Unternehmen ab und nehmen Positionen als Mitarbeiter oder Dritte ein, um Zugang zu sensiblen Daten und Informationen zu erhalten. Insider-Agenten arbeiten oft im Auftrag einer externen Gruppe.

Ehemalige Mitarbeiter

Ehemalige Mitarbeiter können in Unternehmen mit laxen Entlassungsprozessen weiterhin Zugang zu Systemen haben. Einige ehemalige Mitarbeiter werden zu einer Insider-Bedrohung, indem sie ihren Zugang nutzen, um Schaden anzurichten oder Daten zu stehlen, oder indem sie ihren Zugang an böswillige Personen oder Gruppen weitergeben.

Maulwürfe

Maulwürfe sind eine externe Bedrohung, da sie autorisierte Mitarbeiter oder Dritte manipulieren, um Zugang zu Systemen und Daten zu erhalten. Maulwürfe wenden in der Regel Social-Engineering-Taktiken an.

Sicherheitsumgehungen

Eine hybride Insider-Bedrohung: Sicherheitsumgehungen gefährden Unternehmen, indem sie vorsätzlich und manchmal böswillig Sicherheitsvorkehrungen ignorieren, umgehen oder außer Kraft setzen.

Dritte, die keine Mitarbeiter sind

Auch wenn es sich nicht um Mitarbeiter handelt, können Dritte, die keine Mitarbeiter sind, eine Insider-Bedrohung darstellen. Bei einem Nicht-Mitarbeiter handelt es sich um einen Partner, Auftragnehmer, Verkäufer, eine Tochtergesellschaft, einen externen Mitarbeiter, einen Freiwilligen, einen Studenten oder einen Dienstleister mit Zugriff auf die Systeme, Daten und Apps eines Unternehmens.

Das Risiko durch Dritte kann genauso bedrohlich oder in einigen Fällen sogar noch bedrohlicher sein als andere Insider-Bedrohungen, da viele Dritte nicht über dasselbe Maß an Sicherheitsmaßnahmen verfügen wie die Unternehmen, die sie beauftragen.

Unbeabsichtigte Insider

Eine unbeabsichtigte Insider-Bedrohung, die auch als fahrlässige Insider-Bedrohung bezeichnet wird, wird meist als gefährlicher eingestuft als eine böswillige Insider-Bedrohung, da die Person oft nicht weiß, dass sie kompromittiert wurde. Dies kann auf verschiedene Weise geschehen, z. B. wenn ein Benutzer:

• ein unverschlüsseltes Arbeitsgerät unbeaufsichtigt lässt
• unsichere Kommunikationskanäle verwendet
• auf einen Phishing-Betrug hereinfällt
• auf Social-Engineering-Taktiken hereinfällt

Eine Insider-Bedrohung ist zwar ernst zu nehmen, lässt sich aber leichter bekämpfen als andere Cyberbedrohungen, da das Risiko durch bewährte Sicherheitsmaßnahmen erheblich reduziert werden kann.

Erkennen einer Insider-Bedrohung

Obwohl sie in der Regel unbemerkt bleiben, gibt es mehrere Cyber-Warnsignale, die auf eine Insider-Bedrohung hindeuten können. Wenn Sie verstehen, wie eine Insider-Bedrohung entstehen kann, und Verhaltensmuster und Aktivitäten erkennen, die auf eine Bedrohung hindeuten, können Sie sensible Daten, Netzwerke und Systeme proaktiv schützen.

So entsteht eine Insider-Bedrohung

Eine Insider-Bedrohung tritt auf, wenn legitime Anmeldedaten verwendet werden, um „autorisierten“ Zugang zu den Systemen, Daten oder Netzwerken eines Unternehmens zu erhalten. Egal, ob versehentlich oder böswillig: eine Insider-Bedrohung umfasst den Missbrauch von Benutzerdaten zum Nachteil eines Unternehmens.

Verhaltensmuster von Insider-Bedrohungen

Eine Insider-Bedrohung kann oft aufgrund von Warnzeichen im Verhalten erkannt werden. In vielen Fällen können Verhaltensänderungen eines Benutzers oder ungewöhnliche Verhaltensweisen ein Hinweis auf eine Bedrohung sein. Auch wenn ein einzelner Vorfall nicht unbedingt auf eine Bedrohung hindeutet, sollte eine Person als potenzielle Insider-Bedrohung betrachtet werden, wenn mehrere Faktoren zutreffen.

• Zugriff auf Informationen, die nicht mit ihrer Arbeit zusammenhängen
• Versuche, die Sicherheitsprotokolle zu umgehen
• Plötzliche Käufe von Luxusgütern (z. B. Urlaub, Schmuck, Auto, Haus)
• Konflikte mit Kollegen
• Kopieren von Daten auf persönliche Geräte
• Eröffnung von nicht autorisierten Konten
• Verärgertes Verhalten gegenüber Arbeitskollegen
• Herunterladen ungewöhnlich großer Datenmengen
• Interesse an sensiblen Projekten, die nichts mit ihrer Arbeit zu tun haben
• Häufige Krankenstände
• Häufige Verstöße gegen Datenschutz- und Compliance-Regeln
• Häufige Besuche im Büro außerhalb der normalen Arbeitszeiten
• Erhöhter Stresspegel
• Unzufriedenheit am Arbeitsplatz
• Mangelndes Interesse an arbeitsbezogenen Projekten und Aufträgen
• Anmeldungen im Netzwerk zu ungewöhnlichen Zeiten
• Schlechte Bewertungen in Leistungsberichten
• Missbräuchliche Verwendung von Reisen und Spesen
• Plötzliche Änderungen des Lebensstils
• Diskussionen über neue Arbeitsstellen oder Gedanken an eine Kündigung
• Verstöße gegen die Unternehmensrichtlinien

Hinweise auf Insider-Bedrohungen

Weitere Anzeichen für eine Insider-Bedrohung durch einen Benutzer sind die Verwendung von Tools zu folgendem Zweck:

• Zugriff auf oder Herunterladen von großen Datenmengen
• Änderung der Passwörter von nicht autorisierten Konten
• Umgehen von Zugangskontrollen
• Verbindung von externe Technologien oder persönlichen Geräten mit den Systemen des Unternehmens
• Horten von Daten oder Kopieren von Dateien aus sensiblen Ordnern
• Demontieren, Ausschalten oder Vernachlässigen von Sicherheitskontrollen (z. B. Verschlüsselung, Antivirenprogramme, Firewall-Einstellungen)
• Versand von sensiblen Daten per E-Mail außerhalb des Unternehmens
• Zugriff auf Daten oder Apps, die nicht mit der Rolle oder den Verantwortlichkeiten der betreffenden Person in Verbindung stehen
• Installation von Hardware oder Software, um aus der Ferne auf die Systeme des Unternehmens zuzugreifen
• Installation von nicht autorisierter Software oder Malware
• Verschieben von Unternehmensdaten in persönliche Versionen der genehmigten Apps
• Durchsuchen von Netzwerken und andere Suchen nach sensiblen Daten
• Aufhebung von Sperren bei Versuchen, Daten zu exfiltrieren
• Eskalieren der Zugangsberechtigungen
• Umbenennen von Dateien, damit die Dateierweiterung nicht mit dem Inhalt übereinstimmt
• Suchen und Scannen nach Sicherheitslücken
• Versenden von Anhängen über einen nicht genehmigten verschlüsselten E-Mail-Dienst
• Übertragung von Daten außerhalb des Unternehmens
• Verwendung nicht autorisierter Speichergeräte (z. B. USB-Laufwerke, externe Festplatten)

Beispiele für Insider-Bedrohungen

Ein kompromittierter Mitarbeiter

Hacker hackten mit Hilfe einer telefonischen Spear-Phishing-Kampagne mehrere hochkarätige Twitter-Konten und verschafften sich Zugang zu Support-Tools, mit denen sie mehr als 100 Twitter-Konten knacken konnten.

Ein ausscheidender Mitarbeiter

In diesem Beispiel für eine Insider-Bedrohung stahl ein Mitarbeiter firmeneigene Produktinformationen, nachdem er ein Jobangebot von der Konkurrenz erhalten hatte. Der Mitarbeiter lud mehr als eine halbe Million Seiten des geistigen Eigentums seines Arbeitgebers auf persönliche Geräte herunter, da er wusste, dass die Informationen für den neuen Job hilfreich sein würden.

Ein Mitarbeiterfehler

Ein unschuldiger städtischer Angestellter löschte mehr als 20 TB (Terabytes) Daten. Unter den zerstörten Dateien befanden sich mehr als 10 TB Videos, Fotos und Fallunterlagen.

Ein ehemaliger Mitarbeiter

Ein ehemaliger Mitarbeiter wurde zur Insider-Bedrohung, als er aus Enttäuschung über seinen Arbeitgeber ein geheimes Konto nutzte, das er während seiner Beschäftigung eingerichtet hatte. Über dieses griff er auf das Versandsystem des Unternehmens zu und löschte Versanddaten, wodurch sich wichtige Produktlieferungen verzögerten.

Ein die Sicherheitsmaßnahmen missachtender Mitarbeiter

Ein Mitarbeiter schickte eine vertrauliche Tabelle per E-Mail an seine Frau und bat sie um Hilfe bei der Lösung eines Formatierungsproblems. Die Tabelle enthielt in verborgenen Spalten zehntausende persönliche Daten der Mitarbeiter. Die Umgehung von Sicherheitsprotokollen und der Versand der Tabelle an ein ungesichertes Gerät an eine Nicht-Mitarbeiterin führte dazu, dass Identifikationsnummern, Geburtsorte und Sozialversicherungsnummern der Mitarbeiter kompromittiert wurden.

Ein gekündigter Mitarbeiter

Dieses Beispiel für eine Insider-Bedrohung ereignete sich, als ein gekündigter Mitarbeiter vertrauliche Vertriebsdaten stahl, indem er die Schutzmaßnahmen vor Datenverlust (DLP) umging und wichtige Dokumente auf ein USB-Laufwerk herunterlud und weitergab.

Ein Dritter, der kein Mitarbeiter ist

Cyberangreifer nutzten die Anmeldedaten der Mitarbeiter von Dritten, um eine App zu hacken, die von Tausenden Unternehmen genutzt wird. Die Angreifer stahlen Millionen von Datensätzen mit personenbezogenen Daten, was zu einer Geldstrafe von fast 20 Millionen Dollar führte.

So schützen Sie Ihr Unternehmen vor Insider-Bedrohungen

Obgleich es keine Möglichkeit gibt, das Risiko einer Insider-Bedrohung zu eliminieren, können Schritte zu seiner Eliminierung unternehmen. Zur Bekämpfung von Insider-Bedrohungen:

• Bedenken Sie, dass diese ein von Menschen verursachtes Problem sind
• Halten Sie Sicherheitslösungen und -abläufe auf dem aktuellen Stand
• Seien Sie sich darüber im Klaren, wo sich sensible Daten und Ressourcen befinden und wer Zugang dazu hat
• Achten Sie darauf, welche Zugriffe Sie Nicht-Mitarbeitern gewähren
• Überwachen Sie fortlaufend die Benutzer- und Netzwerkaktivitäten
• Ergreifen Sie sofort Maßnahmen, wenn ein Sicherheitsvorfall festgestellt wird
• Stellen Sie sicher, dass Sie detaillierte Einblicke in alle Systemaktivitäten haben
• Stellen Sie Systeme so ein, dass bei anormalen Aktivitäten Warnungen ausgelöst werden.
• Untersuchen Sie die Ursache von Sicherheitsvorfällen.
• Legen Sie Regeln für normales Benutzerverhalten fest.
• Segmentieren Sie Netzwerke, um Vorfälle einzudämmen.
• Setzen Sie das Prinzip der geringsten Privilegien durch.
• Verwenden Sie virtuelle private Netzwerke (VPNs), um Daten zu verschlüsseln und es Benutzern zu ermöglichen, ihre Browsing-Aktivitäten zu anonymisieren.
• Entwickeln Sie robuste Sicherheitsrichtlinien und -programme und setzen Sie diese durch.

Welche Unternehmen sehen sich mit Insider-Bedrohungen konfrontiert?

Insider-Bedrohungen gefährden Unternehmen aller Art, da die Motive der Täter im Falle von böswilligen Insidern sehr vielfältig sind und jeder Mitarbeiter jedes Unternehmens versehentlich zum Insider werden kann. Am anfälligsten für Angriffe auf Daten sind jedoch diejenigen, die sensible Daten sammeln und speichern.

Zu den Daten, auf die Insider-Bedrohungen häufig abzielen, gehören:

• Steuerdaten
• Sensible Regierungsdaten
• Geistiges Eigentum
• Kreditkartendaten
• Personenbezogene Daten
• Geschützte Gesundheitsdaten
• Studentendaten und Ausbildungsunterlagen, die durch den Family Educational Rights and Privacy Act (FERPA) geschützt sind

Häufig gestellte Fragen über Insider-Bedrohungen

Wie können Insider-Bedrohungen verhindert werden?

Auch wenn es keine Garantie dafür gibt, dass Insider-Bedrohungen verhindert werden können, so können sie doch reduziert werden. Dies ist durch die kontinuierliche Überwachung der physischen und digitalen Aktivitäten und des Verhaltens der Benutzer, der Netzwerkaktivitäten und der Systemprotokolle sowie durch regelmäßige Sicherheitsschulungen möglich.

Welche Risiken sind mit Insider-Bedrohungen verbunden?

Die Liste der Risiken, die von Insider-Bedrohungen ausgehen, ist lang. Zu den am häufigsten genannten Risiken gehören Datenbeschädigung, Datendiebstahl, Finanzbetrug und Ransomware-Angriffe.

Woher kommen Insider-Bedrohungen?

Eine Insider-Bedrohung geht von einem Benutzer aus, der legitimen Zugang zu den Ressourcen eines Unternehmens hat:

• Ein böswilliger Mitarbeiter, der seinen Zugang nutzt, um sensible Daten zu stehlen.
• Ein fahrlässiger Dritter, der die Sicherheit gefährdet, da er bewährte Sicherheitsmaßnahmen nicht befolgt.
• An employee or third-party non-employee who 
  • einen Computer und/oder einen Netzwerkzugang erhalten hat
  • mit einem Ausweis oder Zugangsgerät ausgestattet wurde
  • privilegierten Zugang zu sensiblen Daten und Ressourcen hat
  • die Abläufe eines Unternehmens kennt
  • unbeabsichtigt oder vorsätzlich die Cybersicherheitsmaßnahmen missachtet
• Ein Mitarbeiter, der entlassen wurde oder gekündigt hat, aber aktive Anmeldedaten oder aktivierte Profile behält und verwendet.
• Jeder, der die Grundlagen des Unternehmens kennt, einschließlich der Preisgestaltung, der Zukunftspläne, der Produktentwicklung sowie der Stärken und Schwächen des Unternehmens.

Welche drei Kategorien von Insider-Bedrohungen gibt es?

1. Kompromittiert – Ein Cyberkrimineller nutzt die von einem rechtmäßigen Mitarbeiter gestohlenen Anmeldedaten und gibt sich als autorisierter Benutzer aus, um sensible Daten zu stehlen – oft ohne das Wissen des Benutzers.
2. Fahrlässig – Ein rechtmäßiger Mitarbeiter missbraucht versehentlich vertrauliche Informationen oder gibt sie preis, was oft durch Social Engineering, verlorene oder gestohlene Geräte oder den unberechtigten Versand von E-Mails oder Dateien passiert.
3. Böswillig – Ein autorisierter Benutzer (z. B. ein aktueller oder ehemaliger Mitarbeiter, ein Dritter oder ein Partner) missbraucht vorsätzlich einen privilegierten Zugang, um sensible Daten für Betrug, Sabotage, Lösegeld oder Erpressung zu stehlen.

Welche zwei Arten von Insider-Bedrohungen gibt es?

Zu den Insider-Bedrohungen gehören Pawns (Bauernfiguren) und Turncloaks (Abtrünnige). Pawns sind Mitarbeiter, die durch einen Trick dazu gebracht werden, einen Cyberangriff zu unterstützen (z. B. indem sie auf Social Engineering hereinfallen und ihre Anmeldedaten preisgeben oder indem sie zum Herunterladen von Malware verleitet werden).

In der Regel handelt es sich bei Turncloaks um Mitarbeiter, die ihren Arbeitgeber absichtlich ausnutzen, um Gewinne zu machen oder dem Unternehmen zu schaden. In einigen Fällen sind Turncloaks nicht böswillig, wie z. B. im Fall eines Whistleblowers.

Heimliche Insider-Bedrohungen bekämpfen

Unternehmen geben sehr viel Geld für die Bekämpfung von externen Bedrohungen aus. Auch wenn diese ein ernstes Problem darstellen, darf die heimliche Bedrohung durch Insider nicht übersehen werden. Eine Insider-Bedrohung, die sich oft im Verborgenen abspielt, kann genauso viel oder sogar mehr Schaden anrichten als eine externe Bedrohung.

Die gute Nachricht ist, dass eine Insider-Bedrohung in den meisten Fällen leichter zu erkennen und zu stoppen ist als eine externe Bedrohung. Mit der richtigen Überwachung und Schulung können Insider-Bedrohungen eingedämmt werden. In den meisten Fällen können viele der Tools, die zur Bekämpfung von externen Bedrohungen eingesetzt werden, auch dazu verwendet werden, eine Insider-Bedrohung zu stoppen, bevor es zu einem Vorfall kommt.

Das könnte Sie auch interessieren:

Video

Risikomanagement für Nicht-Mitarbeiter

Artikel

Anzeichen für Insider-Bedrohungen: Ein umfassender Leitfaden

Artikel

Leitfaden zu Insider-Bedrohungen in der Cybersicherheit

The post Was ist eine Insider-Bedrohung? appeared first on SailPoint.

Ein Cyberangriff ist jeder unbefugte Zugriff auf Computersysteme, digitale Geräte oder Netzwerke, der explizit darauf abzielt, Daten, Apps oder andere digitale Ressourcen zu verändern, zu blockieren, zu kontrollieren, zu löschen, zu zerstören, zu deaktivieren, zu stören, offenzulegen, zu manipulieren oder zu stehlen. Es gibt viele Gründe für einen Cyberangriff und noch mehr Arten von Cyberangriffen. Die Gemeinsamkeit ist, dass es Cyberangriffe schon fast so lange wie digitale Systeme gibt. Mit der zunehmenden Nutzung dieser Systeme stiegen auch Umfang, Geschwindigkeit und Raffinesse der Cyberattacken.

Warum gibt es Cyberangriffe?

Cyberangriffe zielen darauf ab, Schaden anzurichten – doch ihre Ziele variieren je nach Zielorganisation und Täter. Zu den häufigsten Gründen für einen Cyberangriff gehören:

• Wirtschaftsspionage
• Cyberkriegsführung oder Cyberspionage gegen einen anderen Staat
• Finanzieller Gewinn
• Hacktivismus, der politisch oder anderweitig motiviert sein kann oder ein bestimmtes Ziel verfolgt
• Anerkennung und Erfolg (d. h. Angeberei)
• Vergeltung durch einen Insider aufgrund eines Konflikts

Wer verübt Cyberangriffe?

Personen, die den folgenden Kategorien angehören, führen die meisten Cyberangriffe aus:

• Kriminelle Organisationen
• Von der Regierung unterstützte Gruppen
• Allein handelnde Einzelpersonen
• Böswillige Insider

Wer ist das Ziel von Cyberangriffen?

Ein Cyberangriff hat fast immer ein bestimmtes Ziel. Oft werden Cyberangriffe gestartet, um etwas zu bekommen, das für den Täter von Wert ist, wie:

• Finanzielle Daten
• Kundenlisten
• Kundendaten (z. B. personenbezogene Daten und andere sensible Informationen)
• Störung (z. B. zur Ablenkung zur Begehung einer anderen Straftat, Vergeltung)
• E-Mail-Adressen
• Geistiges Eigentum (z. B. Geschäftsgeheimnisse oder Produktdesigns)
• Anmeldedaten
• Geld

Der Täter wählt sein Ziel basierend auf dem Grund für den Cyberangriff aus. Sobald ein Zielunternehmen ausgewählt wurde, richtet sich der Angriff auf Einzelpersonen.

Cyberangreifer suchen nach Personen, die leicht zu kompromittieren sind, wie Personen mit leicht auffindbaren Identitäten (z. B. Personen mit öffentlich zugänglichen Kontaktdaten auf Blogs, Unternehmenswebsites oder Social Media-Plattformen).

Bei den angegriffenen Personen handelt es sich häufig nicht um die Führungskräfte eines Unternehmens (z. B. C-Level-Führungskräfte oder Direktoren), sondern eher um Personen, die Zugang zu den Führungskräften haben, wie die Assistenten eines leitenden Angestellten.

Die Unternehmen, die am häufigsten Ziel eines Cyberangriffs werden, gehören zu verschiedenen Branchen, darunter:

• Kritische Infrastruktur
• Bildung
• Energie- und Versorgungsunternehmen
• Finanzinstitute
• Regierungs- und Militärbehörden
• Gesundheits- und medizinische Einrichtungen

Wie sind Unternehmen von Cyberangriffen betroffen?

Obgleich die kurzfristigen Auswirkungen eines Cyberangriffs auf ein Unternehmen erheblich sein können, können die langfristigen Folgen noch schlimmer sein. Wenn Cyberangriffe erfolgreich sind, können sie einem Unternehmen in vielen Bereichen großen Schaden zufügen, darunter:

Unterbrechung des Betriebs

Eine Unterbrechung des Betriebs aufgrund eines Cyberangriffs führt zu Ausfallzeiten und verzögerten Services, die schwerwiegende Auswirkungen auf das gesamte Unternehmen haben können – sie beeinträchtigen die Produktivität, verursachen finanzielle Verluste und gefährden in einigen Fällen sogar Menschenleben.

Finanzieller Verlust

Zu den finanziellen Verlusten für Unternehmen im Falle eines Cyberangriffs gehören:

• Diebstahl sensibler Finanzdaten
• Betrügerische Transaktionen
• Lösegeldforderungen zur Entsperrung verschlüsselter Daten sowie damit verbundene Geldstrafen und Rechtskosten
• Zeitlicher und finanzieller Aufwand für die Untersuchung und Abwehr eines Cyberangriffs

Verlust von geistigem Eigentum

Cyberangriffe zielen in der Regel auf geistiges Eigentum ab, z. B. firmeneigene Informationen, Forschungsergebnisse, Daten und Geschäftsgeheimnisse. Dies kann nicht nur den Wettbewerbsvorteil und die Marktposition eines Unternehmens gefährden, sondern auch andere Auswirkungen, wie vergeudete Projektinvestitionen und entgangenen Umsätze, haben.

Konsequenzen betreffend die Einhaltung von Gesetzen und Vorschriften

Unternehmen riskieren als Folge eines Cyberangriffs schwerwiegende rechtliche und regulatorische Konsequenzen. Wenn ein Cyberangriff die Folge eines Versagens der Sicherheitsmaßnahmen ist, könnte ein Unternehmen gegen Datenschutzgesetze, Branchenvorschriften und vertragliche Verpflichtungen verstoßen. Jeder dieser Punkte kann zu Geldstrafen, rechtlicher Haftung und Gerichtsverfahren führen.

Risiken für die nationale Sicherheit

Die nationale Sicherheit kann gefährdet sein, wenn ein Cyberangriff eine Regierungsbehörde zum Ziel hat. So könnte ein Cyberangriff beispielsweise sensible Informationen offenlegen, wichtige Dienste unterbrechen oder die nationale Verteidigung gefährden, wenn kritische Infrastrukturen, Regierungssysteme oder militärische Einrichtungen angegriffen werden.

Rufschädigung

Ein Cyberangriff, insbesondere eine Datenpanne, führt häufig zu einer erheblichen Schädigung des Rufs von Regierungen und Unternehmen, wie:

• Mangelndes Vertrauen bei Kunden, Partnern und in der Öffentlichkeit
• Verlust von Kunden, Partnern und Geschäftsmöglichkeiten
• Negative Publicity und Schädigung des Rufs der Marke

Arten von Cyberangriffen

Cyberangriffe werden in mehrere Kategorien eingeteilt. So gibt es aktive und passive Cyberangriffe.

Ein aktiver Cyberangriff zielt darauf ab, die Vertraulichkeit, Integrität oder Verfügbarkeit eines Systems zu beeinträchtigen (die CIA-Triade bestehend aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) ist die Grundlage von Cybersicherheitssystemen). Ein passiver Cyberangriff hat keine Auswirkungen auf Systeme, sondern zielt auf den Zugriff auf Daten ab.

Eine weitere Möglichkeit, einen Cyberangriff zu klassifizieren, ist die Einteilung in syntaktische oder semantische Angriffe. Ein syntaktischer Cyberangriff bezieht sich auf bösartige Software, die einen Computer über verschiedene Kanäle infiziert. Bösartige Software kann den Zugriff auf Dateien blockieren, Daten zerstören, den Systembetrieb stören, Systeme funktionsunfähig machen oder Informationen stehlen.

Ein semantischer Cyberangriff verfolgt einen subtileren Ansatz, indem er das Verhalten des Ziels manipuliert. Obwohl bösartige Software genutzt werden kann, liegt der Schwerpunkt weniger auf der Software, sondern darauf, das Ziel dazu zu bringen, eine gewünschte Aktion auszuführen. Phishing und Ransomware kombinieren beispielsweise einen syntaktischen Cyberangriff mit einem semantischen Cyberangriffsansatz.

Beispiele für syntaktische Cyberangriffsvektoren

Cross-Site-Scripting 
Ein Cross-Site-Scripting- oder XSS-Cyberangriff fügt einer legitimen Webseite oder App bösartigen Code hinzu. Wenn ein Benutzer die kompromittierte Seite oder App besucht, wird der bösartige Code automatisch im Webbrowser des Benutzers ausgeführt. Cross-Site-Scripting wird in der Regel dazu verwendet, vertrauliche Informationen zu stehlen, die in Formulare auf der seriösen Website eingegeben werden, oder den Besucher auf eine gefälschte, betrügerische Website weiterzuleiten.

Denial-of-Service 
Ein verteilter Denial-of-Service-Angriff (DDoS) überflutet den Server eines Ziels mit einer überwältigenden Anzahl von gleichzeitigen Datenanfragen. Dieser künstliche Datentraffic wird häufig von Botnets erzeugt, einem Netzwerk aus kompromittierten Geräten (z. B. Geräte des Internets der Dinge, mobile Geräte und Laptops), die mit Malware infiziert wurden.

Diese Malware verschafft Cyberkriminellen Zugang zu der Computerleistung, die sie für einen DDoS-Angriff benötigen. Das Volumen und die Geschwindigkeit des Datentraffics machen es den Servern unmöglich, seriöse Anfragen zu bearbeiten, wodurch der normale Betrieb gestört wird. Oft wird ein DDos-Angriff eingesetzt, um Sicherheitsteams von einem anderen Angriffsvektorabzulenken.

Domain Name System Spoofing 
Beim DNS-Spoofing oder DNS-Poisoning werden DNS-Einträge heimlich geändert und die IP-Adresse (Internetprotokoll) einer seriösen Website durch eine Adresse ersetzt, die auf eine betrügerische Version dieser Website weiterleitet. Von dieser betrügerischen Website aus stehlen Cyberkriminelle Daten oder verbreiten Malware.

DNS-Tunneling 
DNS-Tunneling ist ein raffinierter syntaktischer Cyberangriff. Cyberkriminelle verschaffen sich einen dauerhaften Systemzugang (d. h. einen Tunnel) zu den Systemen der Zielpersonen und schaffen so einen Zugang, der Firewalls und andere Sicherheitsmaßnahmen umgeht

Der betrügerische Datentraffic wird dann in Paketen durch den DNS-Tunnel geleitet. DNS-Tunnel werden auch zur heimlichen Extraktion von Daten oder zur Herstellung von Verbindungen zwischen Malware und einem Command-and-Control-Server verwendet.

Drive-by 
Cyberkriminelle infizieren oft seriöse Websites mit Malware. Wenn ein Benutzer eine infizierte Website besucht, wird das System des Benutzers ebenfalls infiziert.

Fileless
Bei einem dateilosen Cyberangriff (Fileless) werden Schwachstellen in seriöser Software ausgenutzt, um bösartigen Code in den Speicher eines Systems einzufügen. Dateilose Cyberangriffe ändern in der Regel Systemkonfigurationen oder stehlen Passwörter.

Trojaner 
Trojaner sind nach dem trojanischen Pferd benannt, das von den Griechen im Trojanischen Krieg eingesetzt wurde. Bei einem Cyberangriff sieht ein Trojaner harmlos aus, enthält aber eine bösartige Nutzlast.

Trojaner werden für verschiedene Arten von Cyberangriffen verwendet. Sie sind als Apps getarnt oder in seriöse Software eingebettet, um Benutzer zur Installation zu verleiten.

Remote-Access-Trojaner 
Ein Remote-Access-Trojaner bzw. RAT erstellt eine geheime Hintertür zum Zielsystem und verwendet diese dann, um sich Zugang zum System und zum Trojaner zu verschaffen. Der Cyberangriff wird von dem Trojaner ausgeführt, der zusätzliche Malware installiert.

Spyware  
Spyware wird über eine andere Art von Schadsoftware (z. B. Wurm, Virus oder Trojaner) in ein System eingeschleust. Ein Spyware-Angriff läuft meist im Hintergrund ab, ohne dass die Benutzer des Systems etwas von der Präsenz der Spyware mitbekommen. Spyware sammelt heimlich Daten (z. B. Kreditkartennummern, Benutzernamen und Passwörter) und sendet diese Informationen an die Cyberkriminellen, die den Angriff gestartet haben.

SQL-Injection 
Eine SQL-Injection (Structured Query Language) ist ein Versuch, die Kontrolle über ein System zu übernehmen und Informationen auszuspionieren. Der betrügerische Code wird in die Backend-Datenbank einer Website oder App injiziert.

Sobald der Code platziert wurde, können Cyberkriminelle Schwachstellen in datengesteuerten Apps ausnutzen. So können sie beispielsweise Befehle über benutzerorientierte Felder wie Suchleisten und Anmeldefenster eingeben, die an die Datenbank weitergeleitet werden, welche die gewünschten sensiblen Daten (z. B. Kreditkartennummern oder persönliche Daten von Kunden) zurücksendet.

Viren 
Ein Virus ist eine bösartige Software, die sich selbst repliziert und sich an eine andere Datei oder ein Programm anhängen kann, um sich zu verbreiten. Viren sind ein häufig genutzter Angriffsvektor im Internet und sind häufig in Dateidownloads und E-Mail-Anhängen zu finden. Sobald ein Download gestartet wird, wird der Virus aktiviert, repliziert sich und breitet sich auf andere Benutzer und Systeme aus.

Würmer 
Würmer gelten als die am häufigsten verwendete Schadsoftware für syntaktische Cyberangriffe. Sie sind selbstreplizierend und können sich schnell über Apps und Geräte verbreiten.

Wie Viren werden auch Würmer in der Regel über Dateidownloads und Anhänge verbreitet. Im Gegensatz zu Viren sind Würmer aber selbständig und nicht auf eine andere Datei angewiesen, um sich zu verbreiten. Würmer sind eine ausgeklügelte Schadsoftware und können über das Netzwerk, das sie infiltriert haben, Daten sammeln, die sie an einen bestimmten Ort übertragen.

Beispiele für semantische Cyberangriffsvektoren und -methoden

Identitätsbasiert 
Ein identitätsbasierter Cyberangriff liegt vor, wenn Cyberkriminelle Anmeldedaten stehlen, um auf Systeme zuzugreifen und diese zu verwalten. Dort stehlen sie sensible Daten oder stören den Betrieb eines Unternehmens. Eine Art des identitätsbasierten Cyberangriffs ist Credential Stuffing, bei dem Cyberkriminelle gestohlene Anmeldedaten verwenden, um auf andere Systeme zuzugreifen. Eine andere Art des identitätsbasierten Angriffs ist der Brute-Force-Angriff, bei dem Angreifer durch Ausprobieren versuchen, Zugangsdaten (z. B. Benutzernamen, Passwörter und Verschlüsselungsschlüssel) zu erraten.

Man-in-the-Middle 
Bei einem Man-in-the-Middle-Angriff verschaffen sich Cyberkriminelle Zugang zum System, indem sie die Kommunikation zwischen zwei Personen oder zwischen einem Benutzer und einem Server abfangen. Sobald der Zugang hergestellt ist, kann der Cyberkriminelle Daten stehlen, Malware verbreiten oder auf andere Systeme zugreifen.

Phishing 
Phishing ist eine Form von Social Engineering, bei der E-Mail-Nachrichten so gestaltet werden, dass die Empfänger sie öffnen, auf betrügerische Links klicken, eine kompromittierte oder gefälschte Website besuchen, einen Anhang herunterladen und öffnen oder vertrauliche Informationen weitergeben. Phishing ist einer der am weitesten verbreiteten semantischen Cyberangriffsvektoren und stellt für Cyberkriminelle nach wie vor ein effektives Tool dar.

SMiShing 
SMiShing, auch SMS-Phishing genannt, wendet das Konzept des Phishings auf Textnachrichten an. Genau wie beim Phishing erhalten die Opfer SMS, die sie dazu verleiten sollen, auf einen betrügerischen Link zu klicken oder eine infizierte Datei zu öffnen.

Ransomware 
Einer der meistgefürchteten semantischen Cyberangriffe ist Ransomware. Ransomware, eine Kombination aus Malware und menschlicher Interaktion, verschlüsselt in der Regel Dateien und Ordner auf lokalen Laufwerken, verbundenen Laufwerken und vernetzten Computern.

Cyberkriminelle bieten der Zielperson dann an, ein Lösegeld zu zahlen, um ihre Daten zurückzuerlangen. In einigen Fällen besteht die Bedrohung darin, dass die Dateien verschlüsselt und unzugänglich bleiben. In anderen Fällen besteht die Bedrohung darin, dass sensible Informationen öffentlich zugänglich gemacht werden.

Scareware 
Scareware ist eine weitere Form des Social Engineering, bei der gefälschte Nachrichten verwendet werden, um die Zielpersonen dazu zu bringen, eine gewünschte Aktion durchzuführen, z. B. eine gefälschte Website zu öffnen, betrügerische Software herunterzuladen oder vertrauliche Informationen preiszugeben. Ein Cyberkrimineller verschickt beispielsweise eine Nachricht, die scheinbar von den Strafverfolgungsbehörden kommt und behauptet, dass der Empfänger etwas tun muss, um ernsthafte – wenn auch erfundene – Konsequenzen zu vermeiden.

Lieferkette 
Ein Cyberangriff auf die Lieferkette zielt auf Dritte ab, die Verbindungen zu einem Zielunternehmen haben. Oft sind diese Dritten weniger gut geschützt als das Zielunternehmen, weshalb sie leichter zu kompromittieren sind. Cyberkriminelle nutzen diese Schwachstellen als Einstiegspunkte, um ihren Angriff auf das Ziel zu starten.    

Cyberangriffe erkennen

Das Stattfinden eines Cyberangriffs lässt sich nicht verhindern – aber wenn Sie die Anzeichen erkennen, können Sie Cyberkriminelle daran hindern, Erfolg zu haben. Zu den von Experten empfohlenen Tools und Ansätzen zur Erkennung eines Cyberangriffs gehören:

• Antiviren- und Antimalware-Software
• Informationen über Cyberbedrohungen
• Analysen der Cybersicherheit
• Erkennen von Endpunkt-Bedrohungen
• Kennzeichnung von ungewöhnlichen E-Mails
• Fallen für Eindringlinge oder Honeypots
• Erkennen von Netzwerkbedrohungen
• Erkennen von ungewöhnlichen Anmeldeaktivitäten
• Penetrationstests
• Proaktive Suche nach Bedrohungen
• Meldung eines Netzwerks, das langsamer als normal läuft
• Technologie zur Erkennung von Sicherheitsereignissen
• SIEM-Systeme (Security Information and Event Management), die Bedrohungsdaten enthalten
• Tools zur Erkennung von Bedrohungen
• Analyse des Benutzer- und Entitätsverhaltens (UEBA)

So reagieren Sie auf Cyberangriffe

Eine schnelle Reaktion ist die effektivste Möglichkeit, um den Schaden und die Ausfallszeit im Falle eines Cyberangriffs zu minimieren. Die folgenden acht Schritte werden als Grundgerüst für einen Reaktionsplan auf Cyberangriffe empfohlen:

1. Vorbereitung
   Erstellen Sie einen Plan für den Umgang mit jenen Arten von Cyberangriffen, die das Unternehmen treffen könnten.
2. Erkennen und Analysieren
   Verwenden Sie Tools zur frühzeitigen Erkennung verdächtiger Aktivitäten, die ein Anzeichen für einen Cyberangriff sein könnten. Falls ein Angriff bereits begonnen hat, analysieren Sie die verfügbaren Informationen, indem Sie Computer- und Netzwerkprotokolle auswerten, um die Quelle und den Umfang des Angriffs zu ermitteln.
3. Eindämmung des Angriffs
   Die Eindämmung ist von entscheidender Bedeutung, da sich Malware schnell über Systeme und Netzwerke verbreiten kann.
4. Beseitigung der betrügerischen Software und Schließen der verwendeten Schwachstellen
   Sobald der Angriffsvektor identifiziert und eingedämmt wurde, sollte er neutralisiert und zerstört werden. Lücken sollten geschlossen und damit verbundene Schwachstellen beseitigt werden.
5. Bewertung des Schadens
   Die Bewertungsphase kann dem Sicherheitsteam wertvolle Informationen liefern, die es zur Identifizierung noch bestehender Schwachstellen nutzen kann. Dies ist auch wichtig, da die Art der Daten und Systeme, die kompromittiert wurden, bestimmen kann, welche Folgemaßnahmen erforderlich sind, um alle rechtlichen und Compliance-Anforderungen zu erfüllen.
6. Beratung mit den Rechts- und Compliance-Teams des Unternehmens
   Es ist wichtig, dass Sie die Offenlegungsanforderungen nach einem Cyberangriff kennen. Abhängig vom Umfang, Ausmaß und Inhalt des Cyberangriffs können die Anforderungen unterschiedlich sein – einige Maßnahmen sind sogar vorgeschrieben.
7. Benachrichtigung der betroffenen Parteien
   Sobald die betroffenen Parteien, die benachrichtigt werden müssen, identifiziert sind, müssen sie rechtzeitig kontaktiert werden. Wenn Sie bereits vor einem Vorfall Entwürfe für diese Mitteilungen erstellt haben, können Sie einen reibungslosen Benachrichtigungsablauf sicherstellen und die Nachricht so formulieren, dass Ihr Ruf nicht zu viel Schaden nimmt.
8. Wiederherstellung
   Der normale Betrieb sollte so schnell wie möglich wieder aufgenommen und alle verlorenen oder beschädigten Daten aus Backups wiederhergestellt werden.

Cyberangriffe vorbeugen

Cyberangriffe sind zwar allgegenwärtig und oft effektiv, es gibt aber viele Methoden, die den Start von Angriffen erschweren. Zu den häufig eingesetzten Lösungen und Taktiken zur Verhinderung von Cyberangriffen gehören:

• Sichern Sie Ihre Daten regelmäßig.
• Führen Sie regelmäßig Penetrationstests durch.
• Halten Sie Systeme und Apps mit den neuesten Patches und Versionen auf dem aktuellen Stand.
• Verwalten und überwachen Sie die Benutzeridentitäten genau.
• Lernen Sie aus früheren Cyberangriffsversuchen.
• Bieten Sie Schulungen zum Sicherheitsbewusstsein an.
• Setzen Sie eine Multi-Faktor-Authentifizierung und starke Passwörter voraus.
• Schränken Sie den Zugang zu Systemen und Daten ein und wenden Sie das Zero-Trust-Prinzip an.
• Überprüfen und testen Sie Reaktionspläne für Cyberangriffe regelmäßig.
• Use proven solutions, such as: 
  • Antiviren- und Antimalware
  • Verwaltung von Angriffsflächen (ASM)
  • Schichtübergreifende Erkennung und -antwort (XDR)
  • Firewalls
  • Identitäts- und Zugriffsverwaltung (IAM)
  • Security Orchestration, Automation and Response (SOAR)
  • Einheitliche Endpunktverwaltung (UEM)

Verringerung des Risikos von Cyberangriffen

Dieser Überblick über Cyberangriffe ist ein erster Schritt, um zu verstehen, worum es sich dabei handelt. Nehmen Sie sich Zeit für eine gründliche Analyse und bewerten Sie, was Ihr Unternehmen zur Abwehr von Cyberangriffen unternehmen und die vorhandenen Reaktionspläne. Vorbeugung ist ideal, aber Cyberkriminelle sind raffiniert und finden immer wieder Wege, um selbst die besten Abwehrmaßnahmen zu umgehen. Daher ist es wichtig, Angriffe zu erkennen und einzudämmen, um den Schaden zu minimieren.

Das könnte Sie auch interessieren:

Artikel

Wie KI helfen kann, Cyberangriffe zu stoppen

Artikel

Was ist Cyber-Resilienz?

Artikel

Cyberrisiko

The post Was ist ein Cyberangriff? appeared first on SailPoint.

Immer mehr Unternehmen stellen auf Remote-Arbeit um, wodurch die Workloads zunehmend aus den traditionellen Netzwerken ausgelagert werden und sich die Angriffsfläche für Cyberattacken vergrößert. Gleichzeitig werden die Methoden der Cyberangreifer immer raffinierter und passen sich den zunehmend erfahrenen Unternehmen in Bezug auf die Erkennung von Cyberangriffen und die Reaktion darauf an. Viele Cyberkriminelle setzen inzwischen erweiterte Techniken ein, wodurch ihre Aktivitäten schwer zu erkennen sind, nutzen Automation, um ihren Erfolg zu steigern, und konzentrieren ihre Angriffe auf die wertvollsten Assets eines Unternehmens. Dies zahlt sich immer mehr aus: Es wird erwartet, dass Cyberkriminalität bis zum Jahr 2025 die Welt 10,5 Billionen Dollar pro Jahr kosten wird.[iii]

Sechs Cybersecurity-Bedrohungen, die Sie im Auge behalten sollten

Welchen Cybersecurity-Bedrohungen sind Unternehmen also ausgesetzt? Cyberkriminelle haben unzählige Wege gefunden, um Unternehmen zu kompromittieren. Hier sind sechs Cyberbedrohungen, vor denen jedes Unternehmen auf der Hut sein sollte:

1. Ransomware: Ransomware ist eine Form von Malware, bei der der Angreifer die Dateien eines Unternehmens verschlüsselt und dann eine Lösegeldzahlung für die Wiederherstellung des Zugriffs auf die Daten verlangt. Diese Art von Cybersecurity-Angriffen hat exponentiell zugenommen. Mittlerweile wird alle 10 Sekunden ein neues Unternehmen Opfer von Ransomware.[iv] Einer Umfrage zufolge ist die Hälfte aller Unternehmen innerhalb der letzten zwei Jahre Opfer eines Ransomware-Angriffs geworden. [v] Und angesichts der durchschnittlichen Kosten eines Ransomware-Angriffs von 4 Millionen Dollar,[vi] können die Auswirkungen verheerend sein. Ein Beispiel dafür ist der jüngste Ransomware-Angriff auf Colonial Pipeline. Der Angriff, der auf ein einzelnes kompromittiertes VPN-Passwort zurückgeführt werden konnte, sorgte für Treibstoffengpässe und lange Warteschlangen an Tankstellen entlang der amerikanischen Ostküste. Das VPN-Konto nutzte keine Multi-Faktor-Authentifizierung, was es den Hackern leicht machte, in das Netzwerk von Colonial einzudringen.

• Phishing: Bei einem Phishing-Scam sendet ein Angreifer einer Person eine E-Mail, die vorgibt, von einer seriösen Person oder Einrichtung zu stammen, um die Person dazu zu bringen, vertrauliche Informationen preiszugeben, Malware herunterzuladen, eine gefälschte Rechnung zu bezahlen oder eine andere für den Angreifer vorteilhafte Handlung vorzunehmen. Phishing-Angriffe machen mehr als 80% aller gemeldeten Sicherheitsvorfälle aus, wobei jede Minute fast 18.000 Dollar durch diese Art von Angriffen verloren gehen.[vii] Leider werden Phishing-E-Mails immer raffinierter und die Angreifer finden Wege, um diese E-Mails wie legitime E-Mails von vertrauenswürdigen Kollegen, Lieferanten und Partnern aussehen zu lassen.

• Credential Stuffing: Beim Credential Stuffing erlangen Angreifer Benutzernamen und Passwörter, die bei Datenverstößen durchgesickert sind, um sich bei beliebten Websites und Services anzumelden. Da die Erfolgsquote gering ist, setzen die Hacker in der Regel auf Automation, um die Website mit unzähligen Zugangsdaten zu „füllen“, bis sie eine passende finden. Sobald die Angreifer eine erfolgreiche Kombination aus Benutzername und Passwort gefunden haben, missbrauchen sie diese Zugangsdaten, um im Internet betrügerische Käufe zu tätigen oder auf Kreditkarteninformationen, Sozialversicherungsnummern und andere sensible Daten zuzugreifen. Credential Stuffing macht sich die Tatsache zunutze, dass die meisten Menschen dasselbe Passwort für mehrere Konten verwenden – und diese Art von Angriffen ist sowohl weit verbreitet als auch kostspielig. Laut dem Ponemon Institute entstehen Unternehmen durch diese Form von Cyberangriffen durchschnittlich 6 Millionen Dollar pro Jahr.[viii]

• DDoS-Angriffe: Bei einem DDoS-Angriff (Distributed Denial of Service) versucht der Hacker, die Unternehmenssysteme lahmzulegen, indem er das Netzwerk oder die Server mit Internettraffic in Form von zahlreichen Zugriffsanforderungen überflutet. Dies ist zwar eine der eher rudimentären Arten von Cyberangriffen, sie kann jedoch sehr große Auswirkungen haben und die Website eines Unternehmens und andere digitale Services tage- oder sogar wochenlang lahm legen. Im Jahr 2020 wurde eine Rekordzahl von 10 Millionen DDoS-Angriffen verzeichnet, was einem Anstieg von 20 % gegenüber dem Vorjahr entspricht.[ix] DDoS-Angriffe wurden bereits gegen ein großes Spektrum von Unternehmen in den Bereichen Finanzdienstleistungen, Gesundheitswesen, Kommunikation, Technologie und Produktion durchgeführt.

• Angriffe auf die Lieferkette: Hier wird versucht, ein einzelnes Unternehmen zu kompromittieren, um dann andere Unternehmen innerhalb der gleichen Lieferkette zu befallen. Durch die Kompromittierung des E-Mail-Kontos eines Lieferanten können Cyberkriminelle z.B. das größere Unternehmen dazu bringen, eine gefälschte Rechnung zu bezahlen oder zukünftige Rechnungsbeträge auf ein betrügerisches Bankkonto zu überweisen. Wenn es Hackern gelingt, alle Unternehmen in der Lieferkette eines Konzerns zu kompromittieren, können sie die gesamte Lieferkette lahmlegen. Ein bekanntes Beispiel ist der russische Angriff auf die IT-Management-Software von SolarWinds, durch den Hunderte von Regierungsbehörden und Sicherheitsfirmen ausspioniert wurden. Die Hacker verschafften sich Zugang zu SolarWinds, indem sie bösartigen Code in Software-Updates für das Tool zur Netzwerküberwachung des Unternehmens, Orion, einbauten. Kunden, die dann einen Orion-Patch installierten, erhielten die russische Malware in ihre Netzwerke eingeschleust. Leider sind Angriffe auf die Lieferkette auf dem Vormarsch: Im Jahr 2020 waren fast 700 Unternehmen von dieser Art von Cyberangriffen betroffen.[x]

• Deep Fakes: Deep Fakes sind Bilder, Tonaufnahmen und Videos, die mithilfe künstlicher Intelligenz fingierte Geschehnisse vortäuschen. Deep Fakes werden einerseits zur Verbreitung von Fehlinformationen verwendet, können aber auch für Cyberangriffe genutzt werden. So überwies beispielsweise der CEO einer britischen Tochtergesellschaft 243.000 Dollar auf ein ungarisches Konto, nachdem er von jemandem angerufen wurde, der die Stimme seines Chefs bei der deutschen Muttergesellschaft nachahmte.[xi] Der Cyberkriminelle hinter dem Angriff auf den CEO setzte offenbar eine KI-basierte Software ein, um die Stimme des Chefs am Handy nachzuahmen. Diese neue Form von Cyberangriff dürfte in den kommenden Jahren zunehmen, da die Deep Fakes immer besser werden und schwerer zu erkennen sind.

Verteidigung gegen Cyberangriffe

Um ein Unternehmen vor Cyberangriffen zu schützen, ist kontinuierliche Arbeit nötig, die ständige Wachsamkeit erfordert. Mit den folgenden Tipps können Sie sich besser vorbereiten:

• Bewerten Sie die Angriffsfläche Ihres Unternehmens und dessen Widerstandsfähigkeit gegenüber Bedrohungen, um zu ermitteln, wo Kontrollmaßnahmen am dringendsten erforderlich sind.
• Verfolgen Sie einen zentralisierten Cybersecurity-Ansatz, um sicherzustellen, dass Sie den Überblick über das gesamte Unternehmen behalten.
• Stellen Sie sicher, dass Ihre Cybersicherheitsmaßnahmen sowohl Möglichkeiten zur Vorhersage und Vorbeugung von Cyberangriffen als auch Möglichkeiten zur Erkennung und Abwehr eines möglichen Angriffs umfassen.
• Erzwingen Sie strenge Passwort-Richtlinien, die erfordern, dass Passwörter häufig geändert werden und komplex sind.
• Setzen Sie die Multi-Faktor-Authentifizierung ein, um mehrere Passwortschutzebenen einzurichten, die den Gebrauch gestohlener Zugangsdaten verhindern.
• Implementieren Sie Tools für das Privileged Access Management (PAM), um sicherzustellen, dass privilegierte Konten nicht in die falschen Hände geraten.
• Verwenden Sie zuverlässige Phishing- und Spam-Filter für die E-Mail-Konten Ihres Unternehmens.
• Bieten Sie allen Ihren Mitarbeitern obligatorische Trainings zum Thema Cyber-Sicherheit an.
• Senken Sie Ihre Anfälligkeit, indem Sie die Aktualität aller Betriebssysteme, Sicherheitssoftware, Anwendungen und Tools sicherstellen.
• Erarbeiten Sie einen Abwehrplan, der ein Backup von IT-Systemen und Daten beinhaltet, um eine Unterbrechung des Betriebs im Falle eines Cyberangriffs zu verhindern.
• Überwachen Sie die Entwicklung der Risiken und verbessern Sie kontinuierlich die Abwehr neuer Bedrohungen im Bereich der Cybersicherheit.

Reduzierung Ihrer Angreifbarkeit

Für moderne Unternehmen stellt sich nicht die Frage, „ob“ ein Cyberangriff erfolgt, sondern „wann“. Während die Unternehmen ihre Schutzmechanismen ausbauen, passen Cyberkriminelle ihre Strategien weiter an, und es tauchen ständig neue Bedrohungen auf. Auch wenn Unternehmen diese Bedrohungen nicht gänzlich ausschalten können, so können sie doch mit einem starken Cybersicherheitskonzept und der ständigen Beobachtung neuer Bedrohungen ihre Anfälligkeit reduzieren und Cyberkriminelle so von sich weg lenken.

Abschließende Gedanken

Mit SailPoint Identity Security können Sie manuelle Prozesse in automatisierte umwandeln, Ihren Sicherheitsansatz von technologiezentriert zu menschenzentriert verlagern und statische Richtlinien so weiterentwickeln, dass sie selbstlernend und adaptiv sind.

Sehen Sie, welche Vorteile SailPoint Identity Security Ihrem Cloud-Unternehmen bieten kann.

[i] Forbes, „Alarming Cybersecurity Stats – What You Need to Know for 2021“, https://www.forbes.com/sites/chuckbrooks/2021/03/02/alarming-cybersecurity-stats——-what-you-need-to-know-for-2021/?sh=668e99e058d3

[iii] Cybercrime Magazine, „Cybercrime to Cost the World $10.5 Trillion by 2025“, https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/

[iv] InfoSecurity Magazine, „One Ransomware Victim Every 10 Seconds in 2020“, https://www.infosecurity-magazine.com/news/one-ransomware-victim-every-10/

[v] Randori, „The Rising Cost of Ransomware – 2021 Report“, https://www.randori.com/2021-the-cost-of-ransomware/

[vi] Beta News, „The impact and cost of ransomware in 2020“, https://betanews.com/2020/10/09/ransomware-in-2020/#:~:text=The%20global%20cost%20of%20ransomware,t%20get%20their%20data%20back.

[vii] CSO, „Top cybersecurity facts, figures and statistics“, https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html

[viii] Ponemon Institute, „The Cost of Credential Stuffing“, https://library.idgcommunications.net/idgcampaigns/documents/uploaded_data/d40/97b/1c-/original/the-cost-of-credential-stuffing_EN.pdf?1526474825

[ix] Netscout, „Netscout Threat Intelligence Report“, https://www.netscout.com/threatreport

[x]SecureWorld, „More than SolarWinds: Supply Chain Attacks Increasing“, https://www.secureworldexpo.com/industry-news/supply-chain-attacks-increasing

[xi] Wall Street Journal, „Fraudsters Use AI to Mimic CEO’s Voice in Unusual Cybercrime Case“, https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402

Das könnte Sie auch interessieren:

Artikel

Datenschutzverletzungen vorbeugen

Artikel

Best Practices der Passwortverwaltung

Artikel

Bedrohungserkennung und -bekämpfung

The post Sechs Cybersecurity-Risiken und wie Sie sich davor schützen können appeared first on SailPoint.

One-Pager

Identity Security, die den Weg zu mehr IT-Effizienz ebnet

Ressourcen

Leitfaden zur Sicherung digitaler Identitäten und Risikominimierung im Unternehmen

Der Schritt-für-Schritt-Leitfaden zu Risikominderung und mehr Schutz im Unternehmen.

Mehr erfahren

5 Schritte zur Minimierung des Cyberrisikos mit Identity Security

Ein erweitertes Identity Security-Programm als Grundlage zur Eindämmung von Cyber- und Unternehmensrisiken sollte für alle, die sich mit Cybersicherheit und ITRisikomanagement befassen, ganz oben auf der Tagesordnung stehen.

Mehr erfahren

Die neue Ära der IT- und Kosteneffizienz

Benutzer unterstützen und IT-Teams mit moderner Identitätssicherheit entlasten.

Mehr erfahren

Zunächst brauchen wir nur ein paar Angaben

The post Identity Security, die den Weg zu mehr IT-Effizienz ebnet appeared first on SailPoint.

eBook

Die neue Ära der IT- und Kosteneffizienz

Ressourcen

Leitfaden zur Sicherung digitaler Identitäten und Risikominimierung im Unternehmen

Der Schritt-für-Schritt-Leitfaden zu Risikominderung und mehr Schutz im Unternehmen.

Mehr erfahren

5 Schritte zur Minimierung des Cyberrisikos mit Identity Security

Ein erweitertes Identity Security-Programm als Grundlage zur Eindämmung von Cyber- und Unternehmensrisiken sollte für alle, die sich mit Cybersicherheit und ITRisikomanagement befassen, ganz oben auf der Tagesordnung stehen.

Mehr erfahren

Identity Security, die den Weg zu mehr IT-Effizienz ebnet

Lassen Sie sich bei wichtigen unternehmerischen Prioritäten nicht durch Sicherheitsbedenken einschränken.

Mehr erfahren

Von führenden Unternehmen geschätzt

The post The new era of IT and cost efficiency appeared first on SailPoint.