IT-Sicherheit ist auch 2020 ein großes Thema. Durch immer ausgeklügeltere Angriffe steigen die Schäden für Firmen. Ein Überblick über die wichtigsten Begriffe.
IT-Sicherheit sollte eigentlich für alle Unternehmen ein wichtiges Thema sein. - (Bild: Pixabay)
Durch achtlos programmierte Apps die in erster Linie auf Funktionalität ausgerichtet sind, ohne dabei Sicherheitsaspekte ausreichend zu berücksichtigen und auf per se unsicheren Endgeräten genutzt werden, können neue Einfallstore in der Produktionsumgebung entstehen. Da viele Apps heutzutage eine Maschinensteuerung ermöglichen, ergeben sich hier zahlreiche Eingriffsmöglichkeiten, bis hin zum Abschalten einer kompletten Produktionslinie. Diese Verwundbarkeit beruht im Grundsatz auf dem notwendigen Zugang zur Außenwelt sowie den komplexen Nutzer-Szenarien.
Empfehlung: Der Einsatz von Apps im Unternehmensumfeld setzt das Etablieren eines spezifizierten Testens voraus. Denn in Praxis unterlaufen beim Programmieren Fehler, woraus ein hohes Risikopotential resultiert. Von daher ist es generell empfehlenswert Apps, insbesondere jene für den Einsatz in einer Produktionsumgebung, auf die geläufigen Schwachstellen bei der Programmierung zu überprüfen und im Rahmen des Secure Software Development Lifecycle – durch Etablierung von Prozessen und Nutzung bestimmter Techniken – sicherzustellen, dass definitiv nur geprüfte Versionen zum Einsatz kommen.
Unter dem Begriff Hacking-Angriff lassen sich allgemein alle Aktivitäten subsummieren, mittels derer versucht wird digitale Geräte wie Rechner, Smartphones, Tablets oder sogar ganze Netzwerke zu kompromittieren. Das Motiv hierfür ist in den meisten Fällen die Generierung von finanziellen Gewinnen, das Sammeln von Informationen zum Zwecke der Spionage oder um mittels Manipulation einen Sabotageakt ausführen zu können. Daneben gibt es jedoch immer noch Angreifer, die einfach nur eine Herausforderung suchen.
Diese Ziele haben Hacking-Angriffe in der Regel:
Die fortschreitende Digitalisierung erfordert es, auch in der digitalen Welt einen guten Ruf auzufbauen. Dabei hilft das Online Reputation Management. Alles Wissenswerte zum Thema Online Reputation Management lesen Sie hier.
Unter einem Advanced Persistent Threat (ATP) wird in der Regel ein gezielter Angriff mit komplexen Angriffstechnologien und -taktiken verstanden. Ein APT ist sehr aufwendig, da hierfür extrem viele Hintergrundinformationen über das anzugreifende IT-System sowie dessen Umgebung vonnöten sind. Dabei erfordert es nicht nur einen hohen Aufwand, das System anzugreifen, sondern auch im Bezug darauf, über einen möglichst langen Zeitraum unentdeckt zu bleiben. Denn nur so ist es möglich, kontinuierlich Informationen auszuspähen oder bedeutenden Schaden anzurichten. APTs sind vor allem durch intelligente èMalware wie Stuxnet oder Flame bekannt geworden.
Bon Gelati Übach-Palenberg GmbH & Co. KG
Unter dem Begriff Malware wird Schadsoftware wie Viren, Würmer, Trojanische Pferde, Spyware, Keylogger und Ransomware subsummiert, die Angreifern eine Ausnutzung von Schwachstellen in IT-Systemen oder menschlichen Eigenschaften beziehungsweise Unzulänglichkeiten ermöglicht, um so in Systeme eindringen zu können. Das Einschleusen der Malware beziehungsweise der speziellen Schadfunktionen einer Malware – das Hauptziel sind hierbei IT-Endgeräte – geschieht über E-Mail-Anhänge oder infiltrierte Webseiten mithilfe von so genannten Drive-by-Downloads.
Trojanische Pferde: Mit Hilfe der Schadfunktion Trojanisches Pferd können von den kompromittierten IT-Systemen unberechtigt Dateien, die zum Beispiel auf Festplatten oder sonstigen Speichermedien abgelegt sind, ausgelesen werden. Dem Angreifer ist es dadurch nicht nur möglich, diese Dateien auszuwerten sondern sie auch zu verwenden. Diese Angriffsmethode ist unter anderem dazu geeignet Wirtschaftsspionage durchzuführen.
Spyware/Adware: Als Spyware – also Spionagesoftware oder Schnüffelsoftware – wird üblicherweise die Schadfunktion bezeichnet, die Daten von einem kompromittierten IT-System ohne Wissen oder Zustimmung des Nutzers an den Hersteller der jeweilig genutzten Software oder an unberechtigte Dritte sendet. Im Falle der Schadfunktion Adware wird diese Software dazu eingesetzt, um dem Nutzer über unerwünschte Werbeeinblendungen Produkte anzubieten und die Aktivitäten an die illegal agierenden Betreiber von Werbeagenturen weiterzuleiten.
Keylogger: Die Schadfunktion Keylogger liest auf einem kompromittierten IT-System Daten wie Passwörter, Nutzernamen oder sonstige schutzbedürftige Informationen aus, während der Nutzer diese über die Tastatur eingibt. Parallel werden sie in so genannte Drop Zones versendet, wo der Angreifer die ausgelesenen Daten dann für die weitere Nutzung abholen kann.
Ransomware: Ransomware ist eine Schadfunktion, die über einen E-Mail-Anhang oder eine infiltrierte/vom Angreifer eigens erstellte Webseite auf den Computer gelangt. Mittels dieser werden Daten auf dem kompromittierten System verschlüsselt. Um den Zugriff auf die Daten wiederzuerhalten – sprich in den Besitz des zur Entschlüsselung notwendigen Schlüssels zu kommen – verlangen die Angreifer die Zahlung eines Lösegelds. Bekannte Angriffe sind WannaCry, Petya, Cerber, CryptoLocker und Locky.
Empfehlung: Das Institut für Internet-Sicherheit if(is) geht zur Zeit davon aus, dass auf jedem zehnten IT-Endgerät intelligente Malware vorhanden ist, die über ein Botnet gesteuert wird. Von daher ist hier eine Überprüfung von bestimmten Endgeräten ratsam.
Als Phishing wird die entsprechende Technologie bezeichnet, die zur Ausführung eines Social Engineering-Angriffs Anwendung findet. Um das Ziel Identitätsdiebstahl – also relevante Daten eines Nutzers abgreifen zu können – zu erreichen, wird beim klassischen Phishing wahllos eine große Anzahl an E-Mails versendet. Die Angreifer spekulieren dabei darauf, dass die Empfänger entweder aus Naivität oder im guten Glauben auf einen schädlichen Link klicken und vertrauliche Informationen preisgeben. Hierfür erstellen die Angreifer eine präparierte Webseite, die einer realen aufgrund des imitierten Corporate Design – beispielsweise das einer Bank – täuschend ähnlich sieht und von daher den Nutzer dazu verleitet, Daten wie etwa Nutzername und Passwort preiszugeben.
Spear-Phishing: Beim Spear-Phishing ist der Empfänger sorgfältig ausgewählt worden. Dem Angriff voran geht eine gründliche Recherche – das Internet eröffnet hier ein breites Spektrum nicht nur für die Suche nach Kontaktdaten sondern auch bezüglich weiterer Hinweise zur Person. Da der Angreifer vorab genügend Informationen über den Empfänger gesammelt hat, ist es möglich, die E-Mail mit exakter Anrede und persönlich zugeschnitten zu formulieren. Aufgrund dessen wirkt diese nicht nur extrem glaubwürdig sondern auch vertrauenserweckend. Dadurch erhöht sich die Wahrscheinlichkeit, dass der Empfänger den Anweisungen in der E-Mail folgt und zum Beispiel ein Attachment öffnet, in dem ein Schadcode enthalten ist, der dem Angreifer einen Zugriff auf den Computer, hier unter anderem auf vertrauliche Daten, ermöglicht.
Whaling: Whaling basiert auf der Methode des Spear-Phishing. Jedoch handelt es sich hierbei um einen Angriff, der – in Analogie zu dem „großen Fisch“ – gezielt auf Führungskräfte ausgerichtet ist.
Supply Chain-Angriffe: Supply Chain-Angriffe zielen auf kleinere Unternehmen ab – im Wesentlichen aus zwei Gründen: Zum einen sind große Unternehmen weitaus besser geschützt als kleinere, da letztere davon ausgehen, dass sie per se kein lohnendes Ziel für Angreifer darstellen. Zum anderen eröffnet sich bei Supply Chain-Angriffen dadurch, dass eine Firma kompromittiert wird der Zugang zu unzähligen (Klein-)Unternehmen.
Denn diese Art von Angriffen basiert meist darauf, dass ein Dienst oder Programm, das seit längerem im Unternehmen im Einsatz ist, durch einen illegalen Zugriff –beispielsweise initiiert durch das Einspielen eines neuen Versionstands – schädlich wird. In den letzten Jahren gab es mehrere solcher Vorfälle mit unterschiedlicher Komplexität und Destruktivität: Zum Beispiel NonPetya, der als Verteilungsvektor eine Buchhaltungssoftware nutzte, deren Aktualisierungsprogramm durch Angreifer kompromittiert worden war. Beim nächsten Update wurde die eingeschleuste Ransomware an alle Kunden des Unternehmens verteilt.
Social Engineering basiert darauf, dass Menschen manipulierbar sind und dass diese Eigenschaft für kriminelle Zwecke instrumentalisiert werden kann. Zur Anwendung der Methode muss ein Angreifer lediglich Schwächen, Vorlieben oder sonstige Knackpunkte des von ihm anvisierten Mitarbeiter in Erfahrung bringen und genau diese nutzen, um sein Ziel zu erreichen. So kann beispielsweise bei einer Person mit Autoritätshörigkeit der Angreifer als Helpdesk-Mitarbeiter sehr bestimmend und durch Aufbau von Druck erreichen, dass ihm (innerhalb kürzester Zeit) Passwörter preisgegeben werden. Technologisch umgesetzt werden kann diese Methode mittels Phishing.
USB-Sticks, verseuchte: Für Angreifer sind USB-Sticks immer noch ein probates Werkzeug, um ohne große Umstände èMalware auf einen Computer aufspielen zu können. Das lässt sich auch gezielt planen – etwa auf einer Messe, indem jedem Standbesucher eines bestimmten Unternehmens ein USB-Stick überreicht wird oder indem USB-Sticks geschickt vor dem Eingang eines Unternehmens platziert werden. Die Chancen, dass diese Methode erfolgreich ist, stehen gut. Denn: nahezu kein Nutzer kann seiner Neugier widerstehen, wenn er einen USB-Stick geschenkt bekommt oder findet. Beispiele dafür gibt es einige: Vor einiger Zeit wurden auf einer Sicherheitsmesse USB-Sticks verlost, von denen etliche mit einer Malware infiziert waren. Mittels dieser hätte im Weiteren initiiert werden können, Daten von den jeweiligen verseuchten Computern an den Webserver der Angreifer zu übermitteln.
Sie möchten Ihr Unternehmen von den Profis von @-yet testen lassen. Dann melden Sie sich per Email direkt bei Gabriel Pankow, Leiter Redaktion Digital PRODUKTION.
Rechner müssen vor Angreifern geschützt werden. Hierzu gilt es einen gewissen Grundschutz vor Malware zu etablieren. Dieser lässt sich durch den Einsatz von Anti-Malware, also einem speziellen Software-Programm – mittels dem schädliche Programme auf individuellen Computer- und IT-Systemen erkannt sowie vernichtet werden, um deren Ausführung zu verhindern – sicherstellen.
Insgesamt schützt Anti-Malware-Software vor Infizierungen durch eine ganze Reihe an Malware. Dazu gehören Viren, Würmer, Trojanische Pferde, Spyware/Adware, Keylogger und Ransomware.
Anti-Malware lässt sich auf einzelnen Rechnern, Gateway-Servern oder dedizierten Netzwerk-Appliances installieren.
Die Begriffe Antiviren-Software und Anti-Malware-Software werden oftmals synonym verwendet.
Der Begriff Backup, also Datensicherung, bezeichnet das Kopieren von Daten auf ein externes Speichermedium zur Vorbeugung von Datenverlusten. Denn im Falle eines Angriff wie etwa der Verschlüsselung von Dateien mittels Ransomware können diese redundant gesicherten Daten von dem Speichermedium in das System übertragen werden.
Die Wiederherstellung der Originaldaten aus einer Sicherungskopie bezeichnet man als Datenwiederherstellung oder mit dem englischen Begriff Restore. Insgesamt leistet diese Maßnahme einen elementaren Beitrag zur Datensicherheit.
Grundsätzlich ist eine Firewall ein Sicherungssystem, das ein gesamtes Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt, indem mittels bestimmter Softwarekomponenten der Zugriff auf dieses beschränkt wird. Dafür bedarf es der Festlegung entsprechender Regeln, die auf Absender oder Ziel und genutzten Diensten basieren und die vorgegeben, welche Netzwerkpakete durchgelassen und welche abgeblockt werden. Die Implementierung der Firewall-Software findet entweder direkt auf dem Rechner statt und wird als Desktop/Personal Firewall bezeichnet.
Im Gegensatz dazu ist bei einer Netzwerk-Firewall die Software nicht auf dem zu schützenden Objekt selbst im Einsatz, sondern auf einem separaten System, das die Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewall-Software gleichzeitig den Zugriff zwischen den Netzen beschränkt. Somit stellt dieses System den "Common Point of Trust" für den Übergang zwischen unterschiedlichen Netzen dar – mit anderen Worten, es besteht nur ein einziger Weg zwischen den Netzen und dieser lässt sich über das Firewall-System kontrollieren.
Wird die Firewall als Teil des Sicherheitskonzeptes verstanden, dann besteht dieses System in der Regel aus einem oder mehreren Firewall-Elementen, mittels denen ein aktives Eingreifen in die Kommunikation zwischen dem zu schützenden sowie dem unsicheren Netz gewährleistet ist. Ein Firewall-Element ist ein separates Kommunikations-Sicherheitssystem und kann Packet Filter, Stateful Inspection, Application Gateway mit Proxys repräsentieren.
Empfehlung: Der Einsatz einer Firewall erfordert die Akzeptanz und aktive Unterstützung aller Beteiligten innerhalb eines lokalen Netzwerks. Nur so lässt sich gewährleisten, dass diese effektiv funktioniert. Aber: Firewall-Systeme, die die Absicherung der Kommunikation sowohl zwischen als auch im Internet und Intranet ermöglichen sind sehr komplex. Zudem können selbst aufwendig konzipierte Firewall-Systeme keinen hundertprozentigen Schutz gewährleisten.
Als Public Key-Infrastrukturen (PKI) werden Infrastrukturen zur Verwaltung etwa von Identitäten, Schlüsseln, Zertifikaten oder Attributen bezeichnet. Grundsätzlich stellen Public Key-Infrastrukturen eine Vertrauensdienstleistung zur Verfügung. Denn die Idee ist, dass PKIs zum Verwalten von Zertifikaten mit öffentlichen Schlüsseln und weiteren Attributen über deren gesamten Lebenszyklus fungieren – das beginnt mit deren Erstellung geht über die Aufbewahrung und Verwendung bis hin zu deren Löschung. Neben der sicheren Generierung und Speicherung gültiger Schlüssel kommt es hierbei auch auf die Verifizierung der ursprünglichen Identität ihrer Inhaber – also der Nutzer der PKI – an.
Generell ermöglichen vertrauenswürdige elektronische Identitäten für Personen, Dienste oder Dinge somit eine starke Authentifizierung, Datenverschlüsselung sowie digitale Signaturen.
Empfehlung: Unter Einsatz von PKIs lässt sich in aktuellen IT-Systemen ein organisationsübergreifendes Key Management realisieren, das einfach zu handhaben ist. Insgesamt sorgt die PKI auch für die Basis einer sicheren Kommunikation zwischen Menschen, Software und Geräten.
Ein Betriebsablauf ohne den Einsatz von Software ist mittlerweile undenkbar – zunehmend wird Anwendungssoftware in Unternehmen für Geschäftsprozesse eingesetzt, die kritisch sind für das erfolgreiche Agieren im Markt. Da Anwendungssoftware generell mit speziellen Funktionen ausgestattet ist, um für den jeweiligen Anwendungszweck perfekt einsetzbar zu sein, wird diese jeweils von Spezialisten entwickelt, für die die Funktionalität im Vordergrund steht. Von den Anwendungsentwicklern wird Sicherheit gar nicht oder nur am Rande betrachtet, wodurch zwangsläufig Sicherheitslücken in der Anwendungssoftware entstehen, die von Angreifern ausgenutzt werden können.
Bislang konnten Unternehmen nur versuchen, dieser Bedrohung mittels externalisierter Abwehrmechanismen wie Firewall, Intrusion Detection oder Anti-Malware entgegenzuwirken. Die Krux dabei: Wenn eine Anwendungssoftware Sicherheitslücken enthält, dann lassen sich diese mittels extern hinzugefügter Sicherheitskomponenten keinesfalls immer ohne Funktionalitätsverlust schließen.
De facto wird sich, ohne Verbesserung der Sicherheit in Anwendungssoftware, das Lagebild hinsichtlich der Bedrohungspotentiale nicht substanziell verbessern lassen. Entsprechend sind die Hersteller von Anwendungssoftware aufgefordert zu reagieren und die Sicherheit ihrer Produkte zu verbessern statt kontinuierlich auftretende Sicherheitslücken mittels Patches zu beheben.
Diese Anforderung lässt sich dadurch realisieren, dass Sicherheit bereits in der Designphase für den gesamten Lebenszyklus berücksichtigt wird. Des Weiteren ist es unvermeidlich eine Integration von Sicherheitsvorgaben und -praktiken in den Entwicklungsprozess der Software vorzunehmen, unter anderem durch die Etablierung einer "Security as Code"-Kultur, die verbindlich eine kontinuierliche sowie flexible Zusammenarbeit zwischen Release-Engineers und Security-Teams festschreibt.
Verschlüsselung von Daten bedeutet, diese einer mathematischen Transformation zu unterziehen – also Verschlüsselungsalgorithmen zu nutzen – damit es für einen Unbefugten unmöglich wird, die Originaldaten daraus zu rekonstruieren. Da die Verschlüsselung dazu dient, nur den illegalen Zugriff auf Daten zu verhindern, muss hingegen sichergestellt sein, durch Anwendung einer inversen Transformation wieder die Originaldaten generieren zu können, damit sie für den legitimen Nutzer verwendbar sind.
Das generelle Ziel der Verschlüsselung kann demnach folgendermaßen formuliert werden: Die Entschlüsselung darf nur dem legitimen Empfänger einer Nachricht beziehungsweise dem legitimen Nutzer von gespeicherten Informationen möglich sein, keinesfalls jedoch weiteren Personen. Folglich darf die Kenntnis über die zur Entschlüsselung benötigten Informationen nur der legitimierten Person (Empfänger/Besitzer) vorliegen und ebenso muss gewährleistet sein, dass es ohne dieses Wissen nicht möglich ist, die Originaldaten aus dem Schlüsseltext zu erzeugen. Voraussetzung für einen hohen Wirkungsgrad ist die Verwendung von sicheren Algorithmen und Schlüssellängen.
Originaldaten = Klartext oder clear text, plain text, message
Transformierte Daten = Schlüsseltext oder Chiffretext, Chiffrat, Kryptogramm, cypher text
Transformation = Verschlüsselung oder Encryption
Inverse Transformation = Entschlüsselung oder Decryption
Empfehlung: Verschlüsselungsverfahren sind für verschiedene Einsatzzwecke geeignet. Deren Anwendung ist unter anderem auch davon abhängig, was durch die Verschlüsselung geschützt werden soll – dies fängt an bei der Beschränkung des Zugriffs auf bestimmte Daten im Falle der gemeinsamen Nutzung eines Rechners von verschiedenen Mitarbeitern bis hin zur Absicherung der Kommunikation für die Versendung sensibler Informationen.
1. Datenspeicherung, verschlüsselt sichern: Hier können grundsätzlich verschiedene Ansätze zum tragen kommen – Verschlüsselung im Betriebssystem oder mittels Software oder Hardware-unterstützt.
Verschlüsselung im Betriebssystem: Das Betriebssystem Windows bietet mit dem Encrypted File System (EFS) die Möglichkeit, Dateien und Ordner zu verschlüsseln, die auf Festplatten mit dem Dateisystem NTFS gespeichert sind. FileVault ist eine Funktion des Betriebssystems Mac OS X. Hierüber werden – auch in Abhängigkeit der Betriebssystem-Version – verschiedene Optionen für den Schutz der Daten bereitgestellt.
Verschlüsselung mittels Software: Hier stehen zahlreiche, teilweise kostenlos zugängliche Programme zur Verfügung, die die Verschlüsselung einzelner Dateien und Ordner oder ganzer Datenträger ermöglichen.
Hardwareunterstützte Verschlüsselung von PCs und Notebooks: Dieser Chip kann als Schlüsselspeicher bei der Verschlüsselung von Daten dienen. Einige Computer, vor allem Notebook-Modelle für Geschäftskunden, sind mit einem Trusted Platform Module (TPM) ausgestattet.
2. E-Mail-Kommunikation, verschlüsselt kommunizieren: Grundsätzlich gibt es zwei Arten der E-Mail-Verschlüsselung – die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung sowie die Ende-zu-Ende-Verschlüsselung.
Bei der Ende-zu-Ende-Verschlüsselung müssen Schlüssel zwischen den Kommunikationspartnern getauscht werden, die zum Ver- und Entschlüsseln der Nachrichten genutzt werden zu können. Hierzu gibt es das symmetrische und asymmetrische Verfahren – beide bergen Vor- und Nachteile. Unter bestimmten Umständen könnte es sinnvoll erscheinen, wenn Sender und Empfänger eine nur ihnen bekannte Transformation untereinander vereinbaren und die Kenntnis darüber geheim halten. Dieser Ansatz ist jedoch aufgrund mehrerer Gründe nicht praktikabel – unter anderem, weil die Definition ebenso wie die Realisierung eines Verschlüsselungsalgorithmus einen erheblichen Aufwand erfordert.
Als VPN wird ein virtuelles privates Netzwerk bezeichnet. Die Besonderheit ist hier, dass keine spezielle physische Verbindung genutzt wird, sondern ein bestehendes Kommunikationsnetz als Transportmedium Verwendung findet. Da ein virtuelles privates Netzwerk in sich abgeschlossen ist, kann es der verschlüsselten beziehungsweise sicheren Kommunikation sowie Übersendung von Daten über das Internet dienen. Aufgrund dessen ist es möglich, Mitarbeitern von Zuhause oder unterwegs den Zugriff auf das Unternehmensnetz zu gestatten und ihnen so die gleichen Arbeitsbedingungen wie im Büro zu bieten.
Bei Herstellung der Verbindung kann beispielsweise ein VPN-Client auf dem eigenen Rechner oder Laptop aber auch auf dem Smartphone eingesetzt werden. Ein VPN-System kann mittels IPSec oder SSL umgesetzt werden, auf der Unternehmensseite kommen typischerweise Gateways zum Einsatz und auf den zugreifenden Rechner sind im Regelfall mit VPN-Software ausgestattet, die entsprechende Authentifikation erfolgt über Security Tokens.
Ein VPN bietet Unternehmen die folgenden Sicherheitsfunktionen:
Wir zeigen Ihnen in diesem Beitrag, was Online Reputation Management (ORM) Prozess ist und wie er auch in Ihrem Unternehmen etabliert werden kann. Wie Sie einen ORM Prozess in Ihrem Unternehmen etablieren können.
Mithilfe eines Zonenkonzepts ist ein Stück weit das Problem lösbar, dass viele Komponenten im Produktionsnetzwerk nicht mit standardisierten Sicherheitsmechanismen wie beispielsweise Virenscannern ausgerüstet oder mit den jeweils aktuellen Sicherheitspatches versehen werden können. Denn diese Maßnahmen würden eine Systemlast erzeugen, die bei Echtzeit-Anwendungen nicht tolerierbar ist oder die Herstellerkonfiguration so verändern, dass die Gewährleistung erlischt.
Durch die Entwicklung eines Zonenkonzept hingegen lassen sich die Voraussetzungen dafür schaffen, Absicherungsmaßnahmen außerhalb der Fertigungs-/Automationsebene, also um das System herum, zu installieren. Dabei kommen Techniken der logischen Netztrennung, der Kontrolle der Verkehrsflüsse an Netzübergängen sowie gegebenenfalls auch der Zugangskontrolle an den Übergängen der verschiedenen Netzen zum Einsatz.
Generell kann die Segmentierung der Netzwerke – also Umsetzung eines Zonenkonzepts – als eine sowohl einfache als auch wirksame Methode zur Erhöhung des Sicherheitsniveaus bezeichnet werden. Unter Experten gilt dieses Konzept nach wie vor als probates Mittel, um Angreifer abzuwehren – nicht zuletzt, da bereits vielfach durch Penetrationstests belegt wurde, dass ab einer bestimmten Stufe keine weiteren Zugriffe mehr möglich sind.
IT-Systeme sind zahlreichen Angriffen ausgesetzt, die auf unterschiedlichste Weise erfolgen können. Neben potentiellen Schwachstellen verursacht durch eingesetzte Technologien, wie etwa Anwendungssoftware (Software- Entwicklung, sichere), gibt es einen Risikofaktor, der verstärkt im Fokus stehen muss – die Mitarbeiter. Diese stellen ein beliebtes Angriffsziel dar, da sie mittels spezieller Praktiken, etwa Social Engineering dazu gebracht werden können, infiltrierte E-Mail-Anhänge zu öffnen oder Passwörter preiszugeben.
Dieses Gefährdungspotential lässt sich durch Awareness-Schulungen minimieren, indem den Mitarbeitern das notwendige Wissen über bestehende Gefahren bezüglich der IT-Systeme und dem Umgang mit Daten vermittelt wird.
Grundsätzlich umfasst die Aufklärung und Schulung der Mitarbeiter zwei Bereiche:
Empfehlung: Jedes Unternehmen hat spezifische Anforderungen, die in der Awarenss-Schulung Berücksichtigung finden müssen. Die nachfolgend genannten Lösungsansätze für die Umsetzung dienen hierfür als erste Orientierung.
Als Incident oder Vorfall wird die unplanmäßige Unterbrechung eines IT-Services bezeichnet. Aber auch eine auftretende Minderung der Leistung stellt bereits einen Incident dar – ebenso wie ein Ereignis, etwa der Ausfall einer Festplatte in einem RAID-Verbund, das in der Zukunft einen IT-Service beeinträchtigen könnte. Hier ist eine adäquate Vorgehensweise unabdingbar, um Incidents in der angemessenen Zeit beheben zu können und die daraus resultierenden Folgen möglichst gering zu halten – diese Verfahrensweise beschreibt ein so genanntes Eskalationsmanagement.
Für die Festlegung der Regeln zur Eskalation können unter anderem folgende Kriterien Verwendung finden:
1. Was löst die Notwendigkeit zur Eskalation aus?
2. Festlegung der Reihenfolge der Ansprechpartner in Form einer Eskalationshierarchie, beispielsweise
3. Zuordnung von Auslösern und Eskalationshierarchie; hier sind jene Bedingungen beschrieben, die zur Eskalation einer bestimmten Stufe der Eskalationshierarchie zugewiesen werden.
Unter dem Begriff Identity und Access Management (IAM) wird jeglicher Einsatz von digitalen Identitäten, der Attributen, deren Berechtigungen für IT-Systeme sowie IT-Dienste verstanden und schließt die Erzeugung, Nutzung, Pflege und Löschung dieser digitalen Identitäten mit ein.
Ziel ist es, vertrauenswürdige, identitätsbezogene und regelkonforme Prozesse zu etablieren und durchzusetzen. Idealerweise wird mit dem IAM der Zeitrahmen von der Einstellung eines Mitarbeiters über dessen Integration bis hin zu seinem Ausscheiden betrachtet – mit allen notwendigen Anpassungen inklusive der Löschung.
Die Zugriffsrechte- oder auch Ausführungsrechte bilden dabei die Regeln für die administrative Zugriffskontrolle, nach denen entschieden wird, ob und wie Benutzer, Programme oder Programmteile, IT-Dienste, Operationen auf Objekten wie Netzwerke, Drucker, Dateisysteme ausführen dürfen.
Eine wichtige Anwendung stellt dieses Konzept im Bezug auf Dateisystemberechtigungen dar: Hier wird definiert, welche Befugnisse den Nutzern zustehen, also welche Dateien und Verzeichnisse sie lesen, schreiben, ändern oder ausführen dürfen. Dabei können Zugriffsrechte unternehmensspezifisch definiert werden – im einfachsten Fall wird nur festgelegt, welche Mitarbeiter was tun dürfen Häufig erfolgt diese Festlegung nicht für einzelne Personen, sondern für eine Gruppe/Rolle festgelegt.
Empfehlung: Für Regelung der Zugänge zu Systemen und Netzwerken wird eine Authentifikation der Nutzer, zum Beispiel mit Security-Token oder Passwörtern durchgeführt. Mit der Authentifikation werden somit auch die Zugriffsrechte auf eine Soft- oder Hardware verbunden. Hierbei wird gleichzeitig auch festgelegt, ob mit diesem Zugriffsrecht Informationen nur gelesen, oder auch ausgedruckt oder sogar verändert werden dürfen. So erhält ein Prokurist das Zugriffsrecht auf die Buchhaltung, ein Außendienstmitarbeiter jedoch nicht, sondern nur auf die Programme, die für seinen Arbeitsplatz benötigt werden, wie zum Beispiel Formulare für die Kunden.
Zur umfassenden Gewährleistung des Schutzes der IT-Systeme und Daten vor unberechtigtem Zugriff bedarf es auch physischer beziehungsweise organisatorischer Maßnahmen – also einer Zugangskontrolle, optimal umgesetzt mittels Zugangskarten.
Denn auch durch das physische Eindringen in Unternehmen können Angreifer bestimmte Angriffe initiieren oder durchführen, zum Beispiel mittels Social Engineering. Von daher bedarf es eines festgelegten Regelwerks "Wer darf wann wohin", damit nur berechtigte Personen Zugang zu den, für sie freigegebenen Bereichen in Gebäuden oder geschützten Arealen – wie etwa der R&D-Abteilung –erhalten, das unter Einsatz von Zugangskarten optimal umgesetzt werden kann.
Die Zutrittsberechtigung kann von Menschen oder auch von technischen Zutrittskontrollsystemen anhand von Identitätsnachweisen überprüft werden.
Empfehlung: Zugangskarten bieten durch den Einsatz moderner Technologien höchste Sicherheit.
Vor vier Wochen hatten Hacker die Pilz GmbH lahm gelegt. Jetzt erklärt das Unternehmen, was passiert ist und wie es auf den Cyberangriff reagiert hat. Derweil belegt eine aktuelle Studie die wachsende Bedrohung von Unternehmen durch Hacker. Wie Pilz die Hackerattacke bewältigte.
Intrusion Detection-Systeme (IDS) sind genau wie beispielsweise Anti-Malware reaktive Sicherheitssysteme. Die grundsätzliche Idee dahinter ist, Angriffe gegen IT-Systeme oder Rechnernetze so gut und schnell als möglich zu erkennen. Hierfür kann das IDS alternativ als Software direkt auf dem zu überwachenden IT-System zum Einsatz kommen oder als Ergänzung zur Firewall fungieren, aber auch als Hardware installiert sein.
Die Detektion von Angriffen erfolgt über Anomalie-Erkennung oder mit Hilfe von Signaturen, in denen spezifische Angriffsmuster beschrieben sind. Die generierten Daten werden fortlaufend mit den bekannten – in der Musterdatenbank niedergelegten – Signaturen verglichen.
Sobald ein neues Ereignis mit einem der Muster übereinstimmt, wird ein Einbruchsalarm ausgelöst und beispielsweise dem Administrator via Log-Dateien übermittelt, damit dieser die entsprechenden Gegenmaßnahmen einleiten kann. Um hier angemessen reagieren zu können – beispielsweise bestimmte Ports zu sperren – ist es essentiell, dass das IDS detaillierte Informationen über Art und Herkunft des Angriffs zur Verfügung stellt.
Gegenüber einer reinen Firewall bietet das IDS einen besseren Schutz, da hierüber auch Angriffe hinter der Firewall zu erkennen sind.
Empfehlung: Abhängig dem zu schützenden System werden IDS je nach ihrer Architektur in drei verschiedene Arten unterteilt:
Bei Frühwarnsystemen sind zwei Aspekte ausschlaggebend:
Zum einen ist es wichtig, Angriffspotentiale frühzeitig zu erkennen, um potentielle Schäden begrenzen oder bestenfalls vollständig vermeiden zu können – wobei der Grad der Begrenzung beziehungsweise die erfolgreiche Abwehr eines Schadens jedoch im Weiteren stark von der Initiierung geeigneter Gegenmaßnahmen abhängt.
Zum anderen sind diese Systeme notwendig, um mittels der darüber generierten Informationen die jeweiligen IT-Infrastrukturen so anzupassen und verbessern, dass sie gegen zukünftige Angriffe besser gerüstet sind.
Die Idee eines Frühwarnsystems basiert somit auf folgenden Zielen: Zum einen die Verbesserung der IT-Infrastrukturen hinsichtlich Sicherheit und Vertrauenswürdigkeit allgemein. Zum anderen einen kontinuierlichen Status über die IT-Infrastruktur zu erzeugen, der in Kooperation mit öffentlichen und privaten Partnern im Sinne einer kollaborativen Frühwarnung erhoben wird.
Zusammenfassend lässt sich daraus folgendes ableiten: Basierend auf verlässlichen Ergebnissen und Resultaten über Angriffspotentiale oder bereits eingetretene Sicherheitsvorfälle, die jedoch zu einem bestimmten Zeitpunkt erst wenige IT-Infrastrukturen betreffen, wird ein angefertigtes Sicherheitslagebild kontinuierlich aktualisiert. Darüber lässt sich realisieren, dass beim Eintreten eines relevanten Vorfalls eine qualifizierte Warnung an potentiell betroffene Unternehmen verbreitet wird, damit diese – aufgrund einer schnellen Reaktionsmöglichkeit –Schäden verringern beziehungsweise komplett vermeiden können.
Durch Monitoring kann über die Ermittlung von definierten Indikatoren sichergestellt werden, dass sich alle – zur Überwachung festgelegten – Komponenten im Rahmen der vorgegebenen Parameter bewegen. Mittlerweile sind dies nicht mehr nur reine Leistungsparameter etwa im Bereich der CPU-Auslastung, sondern umfasst alle Bereiche der IT, inklusive Sicherheit, Verfügbarkeit oder auch Nutzungsverhalten von Anwendern.
Das Ziel von Monitoring ist die bestmögliche Aufrechterhaltung eines reibungslosen Betriebs der definierten IT-Systeme.
Grundsätzlich führt Monitoring zur Ermittlung von Ursachen für die Abweichung von Parametern, um
Die Festlegung des Betrachtungszeitraums, der beim Monitoring erfassten Daten hängt von der individuellen Zielsetzung ab:
Empfehlung: Der Einsatz von Monitoring ist für viele verschiedene Bereiche geeignet – zum Beispiel auch zur Überwachung der Umsetzung von vereinbarten Service Level Agreements (SLA).
Jedes Backup ist nur so gut wie die Gewährleistung der – im Ernstfall beispielsweise nach einem Angriff mit Ransomware notwendigen –Wiederherstellung der Daten. Aus diesem Grund empfiehlt es sich in regelmäßigen Abständen Kontrollen durchzuführen, etwa dahingehend dass ein initiiertes Backup auch ordnungsgemäß durchgeführt wurde.
Auch sollten im vorhinein Regeln für das Backup festgelegt werden, zum Beispiel bezüglich der Abspeicherung der Versionsstände.
Ich bin einverstanden, von produktion.de per E-Mail über Zeitschriften, Online-Angebote, Produkte, Veranstaltungen und Downloads aus dem Industrie-Medien-Netzwerks informiert zu werden. Ich bin ferner mit der Auswertung meiner Nutzung des Newsletters zur Optimierung des Produktangebots einverstanden. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, indem ich mich vom Newsletter abmelde. Die Datenschutzhinweise habe ich gelesen und zur Kenntnis genommen.
Mit der Registrierung akzeptiere ich die Nutzungsbedingungen der Portale im Industrie-Medien-Netzwerks. Die Datenschutzerklärung habe ich zur Kenntnis genommen.
Die Nachfrage nach hochkomplexen, verketteten Fertigungssystemen steigt stetig. Lösungen für die automatisierte Schweißtechnik werden immer öfter mit vor- und nachgelagerten Prozessen wie Schleifen in eine Fertigungslinie integriert. Profitieren auch Sie von individuellen Lösungen für das automatisierte Schleifen: Mit QIROX Grinding Solutions schließen Sie Automatisierungslücken und erhöhen Sie die Effizienz Ihrer Fertigungsprozesse.Weiterlesen...
Energiekrise, Lieferengpässe, Fachkräftemangel: Die Industrie steht vor vielen Herausforderungen. Alle Meldungen aus Maschinenbau und Co finden Sie hier.Weiterlesen...
Nach dem vierten Leck bei den Nord Stream-Pipelines wird der Ruf nach besserem Schutz der maritimen Energieversorgungs- und auch Kommunikationsinfrastruktur lauter. Doch wie der aussehen soll, ist (noch) völlig unklar.Weiterlesen...
Laserschneidmaschine: Das Unternehmen Rieber hat mit Unterstützung von Trumpf die Material- und Energieeffizienz in seiner Produktion verbessert.Weiterlesen...
Der Krisencocktail aus Pandemie-Folgen, russischem Angriffskrieg und Inflation zeigt sich auch auf den Rohstoffmärkten. Diese Preise sind gestiegen.Weiterlesen...
Bon Gelati Übach-Palenberg GmbH & Co. KG