Top-5 Sicherheitsprobleme: Immer das Gleiche

Das Research- und Analystenhaus techconsult gab zum Jahresanfang eine Zusammenfassung der fünf größten Schwachstellen in Mittelstand und öffentlichen Verwaltungen heraus. Die Studie Security-Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit auf Basis einer repräsentativen Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits. Die Ergebnisse sind – alle Jahre wieder – leider nicht sonderlich überraschend. Es ist nicht so, dass die befragten Institutionen kein Problembewusstsein hätten, oder kein Geld für deren Lösung ausgeben würden. Sie tun es nur an den falschen Stellen, inkonsequent oder zu spät.

Die Nationale Wirtschaftsschutzstrategie und das wahre Leben

Wenn es um die Cyber-Sicherheit geht, mischt die öffentliche Verwaltung in jedem Land mehr oder weniger intensiv mit. Auch Deutschland ist nicht arm an Initiativen und Organisationen, die Firmen in punkto digitaler Sicherheit auf die Sprünge helfen wollen. Leider mahlen die Mühlen recht langsam, wie beispielsweise die gerade vorgestellte Nationale Wirtschaftsschutzstrategie zeigt. Neben den Spitzenverbänden BDI und DIHK sind verschiedene Sicherheitsbehörden an der Initiative beteiligt, darunter der Verfassungsschutz, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik. Angekündigt im August 2013, vergingen fast drei Jahre, bis diese Woche etwas Vorzeigbares vorgestellt wurde. Im Großen und Ganzen beschränkt sich die Wirtschaftsschutzstrategie auf Broschüren und Erklärfilme, die vor allem den Mittelstand für Sicherheitsbedrohungen – nicht nur im Bereich IT – sensibilisieren sollen. Konkrete Hilfe, zum Beispiel durch finanzielle Unterstützung, wenn Unternehmen zertifizierte Sicherheitsberater buchen oder Sicherheitsprojekte umsetzen, gibt es nicht.

Ein Netzwerk voller Spione

Seit Edward Snowden im Jahr 2013 das Ausmaß der staatlich geförderten Spionage über das Internet enthüllte, sind sich Unternehmen sehr wohl bewusst, wie anfällig ihre Datenkommunikation für Lauschangriffe ist. Dass Cyberkriminelle im selben Zeitraum ihre Bemühungen im Bereich der Unternehmensspionage ebenfalls intensiviert haben, ist kein Zufall. Zu verzeichnen ist beispielsweise ein drastischer Anstieg des Einsatzes von Advanced-Persistent-Threat-Malware (APT) und Ransomware zur Erbeutung wertvoller Finanzinformationen und Kundendaten in der Absicht, daraus Kapital zu schlagen. Keine Verteidigungsmethode ist jemals hundertprozentig sicher. Dennoch kann das Risiko des Ausspähens und des Diebstahls sensibler Daten mittels Verschlüsselung beim Einsatz von VPNs beachtlich reduziert werden.

Open Haus: Multi-Faktor-Authentisierung [VIDEO]

NCP war in diesem Jahr bei einer ganzen Reihe von Veranstaltungen vertreten: von der it-sa in Nürnberg über den SC Congress in New York bis hin zur INTERFACE in Denver. Diese Zusammenkünfte sind eine gute Gelegenheit, um wieder in Kontakt mit Freunden und Geschäftspartnern zu treten sowie auf neue Kunden zuzugehen. Gleichzeitig bieten diese Veranstaltungen wertvolle Momente, um sozusagen das Klima in der Branche auszuloten. In diesem Jahr gab es eine Sache, die nahezu jedermanns Gedanken beschäftigte: Es ging um den wachsenden Bedarf nach Zwei-Faktor- bzw. Multi-Faktor-Authentisierung. Datenangriffe mittels Taktiken wie Spear-Phishing und Social Engineering werden mittlerweile häufiger ausgeführt und verursachen auch größere Schäden. Daher entwickelt sich die Multi-Faktor-Authentisierung zu einer Vernunftlösung, wenn es um die Verringerung der Erfolgsquote solcher Cyberangriffe geht. Leider ist dies nicht so einfach wie das Umlegen eines Schalters. Auch wenn die Budgets für Cybersecurity-Maßnahmen größer werden, so kämpfen IT-Experten immer noch mit der Vielzahl an Ressourcen, die ihnen zur Verfügung stehen. Sie sind sich nicht sicher, wohin sie ihre Prioritäten verlagern sollen, wie sie die Multi-Faktor-Authentisierung für Nutzer implementieren sollen oder wie sie herausfinden sollen, welche VPN- oder Defense-in-Depth-Lösung die beste mehrschichtige Lösung für ihr Unternehmen ist. So funktioniert es: Genau das ist es, was NCPs Secure Enterprise Management (SEM) solch einen Vorsprung gegenüber dem Wettbewerb verschafft. Anders als andere Anbieter von Secure Remote Access VPN-Lösungen bietet die NCP-Lösung Schutz durch integrierte Multi-Faktor-Authentisierung und trägt so zur Sicherheit Ihres Unternehmens bei. Login-Daten mit lediglich einem Nutzernamen und einem Passwort zu schützen, ist nicht mehr sicher. Für Hacker ist es viel zu einfach, diese zu erraten; insbesondere dann, wenn ohnehin so viele Nutzer einfache Passwörter...

Gehacktes E-Mail-Konto von CIA-Direktor zeigt Notwendigkeit der Multi-Faktor-Authentisierung

Die Art, wie die US-Regierung das Thema Datenverschlüsselung und Datenschutz für die Bürger angeht, während sie gleichzeitig Opfer eines umfangreichen Datenangriffs aufgrund von peinlichen Sicherheitsversäumnissen wird, birgt eine gewisse Ironie. Noch bis vor kurzem hatten Exekutivbehörden wie das FBI sich vehement dafür eingesetzt, dass Unternehmen wie Apple und Google dazu gezwungen werden, „Hintertüren“ bei der Verschlüsselung ihrer Dienstleistungen (wie beispielsweise iMessage) zu programmieren. Dadurch sollten Behörden in der Lage sein, die ansonsten blockierte Kommunikation von mutmaßlichen Kriminellen oder Terroristen abzuhören. Silicon Valley antwortete, die Öffnung einer „Hintertür” zur Strafverfolgung wäre im Endeffekt gleichbedeutend mit der Öffnung einer Hintertür für jeden – eine Einstellung, die das Weiße Haus im Endeffekt teilte. FBI und NSA argumentierten dagegen, dass sie diese Türen kontrollieren würden und die Nutzerdaten bei ihnen sicher wären. Diese Argumentation konnten Datenschützer damals nur schwer hinnehmen. Und jetzt, angesichts eines neuen Datenschutzskandals, dürfte es sogar noch unwahrscheinlicher sein, jemanden dafür zu gewinnen. Die Tageszeitung The Guardian berichtete kürzlich, es sei einem Hackerpärchen gelungen, auf die privaten AOL-E-Mail-Konten von John Brennan, dem Direktor der CIA, zuzugreifen. Damit jedoch nicht genug: Die Daten, die aufgrund des Angriffs kompromittiert wurden – darunter Namen, Kontaktdaten, Sicherheitsfreigaben und Sozialversicherungsnummern von rund 20 CIA-Mitarbeitern – sickerten durch und wurden auf Twitter veröffentlicht. Das Magazin Fortune nannte den Inhalt der E-Mails „banal“ und „Kleinigkeiten, sofern reale Erkenntnisse und öffentliches Interesse betroffen sind“. Dennoch bleibt die Tatsache, dass es einem Paar jugendlichen Hackern nachweislich gelungen ist, das E-Mail-Konto des amerikanischen CIA-Direktors zu hacken. Der Witz liegt quasi auf der Hand. Nicht lustig ist dagegen die Häufigkeit dieser erstaunlichen Cybersecurity-Versäumnisse, bei denen sensible Daten exponiert werden – im...

Mit zwei Faktoren authentisieren, aber richtig!

Zwei-Faktor- oder Multi-Faktor-Authentisierung wird heute von sehr vielen Webseiten wie Dropbox, Google, Apple, Facebook oder PayPal unterstützt. Sie hebt den Sicherheitslevel, weil neben einem Faktor den man kennt (das Passwort) ein weiterer Faktor, den man hat (Zwei-Faktor) oder der man ist (Multi-Faktor) für den erfolgreichen Einlog-Vorgang notwendig sind. Durch diese relativ einfache Erweiterung der Authentisierung sind erbeutete Passwort-Dateien schlichtweg wertlos. Ohne den oder die weiteren Faktor(en), häufig ist das eine PIN, die per SMS oder (weniger sicher) per Mail verschickt wird, ist keine Anmeldung möglich. Aber nur weil Zwei-Faktor Authentisierung eingesetzt wird, ist die Anmeldung noch nicht automatisch sicher. So sind zwei Faktoren die auf dem gleichen Endgerät auflaufen, auch wenn sie über zwei verschiedene Kommunikationskanäle übertragen werden, kein Gewinn für die Sicherheit. Eine PIN, die per SMS gesendet wird, mit einem Schlüsselwort über E-Mail oder durch eine App abzusichern, ist zu Zeiten von Smartphones mit standardmäßig eingebauten Mail-Clients nicht mehr sinnvoll. Bei hohen Sicherheitsansprüchen ist es auch wichtig, den Code für die Authentisierung erst dann zu generieren, wenn die Session gestartet und die Authentisierung mit dem ersten Faktor bereits durchgeführt wurde. Es ist zwar aus verschiedenen Gründen einfacher, wenn die Endgeräte mit vorgefertigten Codes ausgestattet werden, doch sind solche Implementationen systembedingt leichter angreifbar. Sie benötigen in der Regel eine Seed-Datei deren Inhalt die Ausgangsdaten für die später erzeugten Codes enthält. Wird die Seed-Datei gestohlen oder kompromittiert, könnten auch die damit erzeugten Codes repliziert werden. Ebenfalls wichtig: der erzeugte Code für ein Endgerät darf nur auf diesem Endgerät nutzbar sein. Sollte der Code abgefangen werden, ist er auf einem anderen Endgerät wertlos. Damit werden Man-in-the-Middle-Attacken erschwert. Egal wie der...