Internetkriminalität: So schützen sich kleine und mittelständische Firmen
Passwortschutz
Unternehmen sollten Mitarbeiterrichtlinien zum Passwortschutz erarbeiten. Der IT-Beauftragte muss sicherstellen, dass alle Mitarbeiter für ihre Rechner und eventuell datenkritische Anwendungen Passwörter einrichten. Neben den Zugängen zu Computer und Software müssen auch sämtliche Datenbestände verschlüsselt und sicher aufbewahrt werden.
Sichere Passwörter haben mindestens acht Buchstaben - allerdings gilt hier, je länger desto besser. Zudem sollte unbedingt die Zahl der möglichen Eingabeversuche reduziert werden. Bei drei fehlgeschlagenen Versuchen sollte zumindest eine zeitliche Sperre des Accounts eingerichtet werden.
Die frühere Empfehlung, dass Mitarbeiter ihre Passwörter regelmäßig ändern, ist unter Experten schon länger umstritten. Das National Institute of Standards and Technology (NIST) hat inzwischen seine Regeln für sichere Passwörter dahingehend angepasst. Denn wenn Nutzer ihre Passwörter willkürlich nach einer gewissen Zeit ändern müssen, nutzen sie meist nur leicht modifizierte Versionen, die ebenso einfach geknackt werden konnten.
Auch die Nutzung von Sonderzeichen, Groß- und Kleinschreibung und Zahlen haben keine oder nur wenig zusätzliche Sicherheit gebracht. Stattdessen empfiehlt das NIST Passwortsätze mit sprachlichen Abwandlungen, die weder in Passwortlisten noch in Büchern vorkommen.
Regelmäßige Updates
Die Sicherheitsbeauftragten müssen dafür sorgen, dass kritische Updates auf allen Systemen regelmäßig und zeitnah eingespielt werden. Schwachstellen müssten so schnell wie möglich behoben werden, damit sie nicht durch interne oder externe Angreifer ausgenutzt werden können, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Dies sei besonders bei mit dem Internet verbundenen Systemen wichtig. Die Systemadministratoren sollten sich daher regelmäßig über bekannt gewordene Schwachstellen informieren.
Dabei dürfen die Updates wie jede andere Software nur aus vertrauenswürdigen Quellen stammen. Sie sollten vor dem Aufspielen mit Virenschutzprogrammen geprüft werden. Das BSI rät auch dazu, Updates vor dem Einspielen zu testen, um mögliche Konflikte zu vermeiden. So genanntes Patch-Management könne über eine zentrale Managementlösung einfach und automatisiert realisiert werden, empfiehlt der IT-Sicherheitsdienstleister Kaspersky Lab.
Vor der Installation eines Patches müssen zudem alle Daten gesichert werden, um den Originalzustand wiederherzustellen. Wichtig sei auch eine lückenlose Dokumentation, wann, von wem und zu welchem Anlass ein Update eingespielt wurde.
Datensicherungs-Konzept
Die "Wannacry"-Attacke hat es vielen Betroffenen schmerzhaft in Erinnerung gebracht: Ist keine aktuelle Sicherung der Daten vorhanden, werden Nutzer leicht erpressbar. Die Schadsoftware hat Dateien auf infizierten Systemen verschlüsselt. Die Angreifer wollten so ein Lösegeld erpressen.
Jede Firma sollte daher über ein ausgefeiltes Datensicherungskonzept verfügen und dieses auch umsetzen, rät das BSI. Dabei sollten die Daten immer Offline gespeichert werden. Viele Ransomware-Varianten greifen auch Online-Backups wie NAS-Systeme an.
Zu einem Datensicherungskonzept gehören laut BSI auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. Neben einer regelmäßigen Datensicherung sollte daher auch zumindest einmal sichergestellt werden, dass eine vollständige Datenrekonstruktion möglich ist.
Mitarbeiterschulung
Laut einer weltweiten Studie des IT-Sicherheitsdienstleisters Kaspersky Lab werden 46 Prozent aller Cybersicherheitsvorfälle von Mitarbeitern verursacht. Daher müsse auch bei kleineren Unternehmen neben den technischen Lösungen die Schulung von Mitarbeitern vom Geschäftsführer bis zur Sekretärin eine Rolle innerhalb der Cybersicherheitsstrategie der Firma spielen, rät das Unternehmen.
Das BSI empfiehlt, alle neuen Mitarbeiter gründlich in die Benutzung der Systeme und Anwendungen einzuweisen. Dazu gehört eine Sensibilisierung für alle relevanten Sicherheitsmaßnahmen .
Aber auch alle anderen Mitarbeiter sollten regelmäßig geschult werden. Wichtig sei es, ein Sicherheitsbewusstsein aufzubauen, um die Mitarbeiter auf potenzielle Gefahren aufmerksam zu machen, heißt es beim BSI.
Risiko "Social Engineering"
Dabei geht es nicht nur um Richtlinien für sichere Passwörter. Die Mitarbeiter sollten auch über andere möglichen Risiken aufgeklärt werden. So werden regelmäßig Unternehmen Opfer so genannter "Social Engineering"- Angriffe. Dabei erschleichen sich Kriminelle das Vertrauen von Angestellten, um Informationen zu gewinnen.
Bei der sogenannten "Chef-Masche", täuschen die Angreifer dann beispielsweise in der Finanzbuchhaltung vor, als Mitglied der Führungsebene dringend einen hohen Geldbetrag zu benötigen. Diese Attacken sind sehr raffiniert vorbereitet und setzen die Angestellten unter massiven Druck.
Angestellte müssen daher wissen, wie sie in sicherheitskritischen Situationen adäquat reagieren sollten. "Eine angemessene Informationssicherheit sollte von allen Mitarbeitern als selbstverständlicher Teil ihrer Arbeitsumgebung verinnerlicht werden", schreibt das BSI.
Schutz vor externen Angriffen
Mit einfachen Sicherheitslösungen wie Firewalls und Schutzsoftware lässt sich der Schutz vor Würmern und Trojaner erhöhen. Alle großen IT-Sicherheitsdienstleister bieten hier Anwendungen für jeden Bedarf. Auch spezielle Anforderungen können dabei berücksichtigt werden.
"Auf Clients und Servern, wo viele Dateien verarbeitet werden und viele Nutzer tätig sind, sind solche Anwendungen noch wichtiger als früher", sagt Hemker von Symantec. Die angebotenen Lösungen müssten hier auf dem aktuellen Stand der Technik sein. Kritische Systeme in der Produktion sollten gehärtet sein, sagt Hemker weiter.
"Unternehmen benötigen mehrschichtigen Schutz für alle Endpunkte und Plattformen. Nicht nur für Windows-PC, sondern auch für Server, Macs und alle mobilen Geräte", heißt es bei Kaspersky. Speziallösungen könnten sensitive Bereiche wie Webauftritt, Bezahl-Möglichkeiten oder einen Webshop vor DDoS-Attacken und Finanzbetrug schützen.
Externer Support
Unternehmen, die beim Thema Datensicherheit an ihre Kapazitätsgrenzen stoßen, sollten außerdem erwägen, externe Experten zu beauftragen. Diese könnten Angriffe aufspüren und mögliche Schäden beseitigen, rät Hemker von Symantec. Auch dazu gibt es diverse Angebote verschiedener Hersteller, beispielsweise als Software-as-a-Service.
Bei IT-Infrastruktur die ein Unternehmen selber betreibt, empfehle sich eine Art externer Wachschutz, der rund um die Uhr das System überwacht. Auch bei der Aufarbeitung und Schadensreduzierung bei erfolgten Angriffen sei das Hinzuziehen von Experten, die sich mit derartigen Vorfällen sehr gut auskennen, ratsam.
Zudem sollte eine Bring-your-own-Device- oder Choose-your-own-Device-Strategie entwickelt werden, empfiehlt Kaspersky. Jedes Endgerät innerhalb eines Unternehmensnetzwerks könne ein mögliches Einfalltor sein.
Und das Bedrohungspotenzial wächst ständig: "Mit dem Internet der Dinge und der Industrie 4. 0 eröffnen sich weitere Cyberangriffsflächen, die es zu schützen gilt, und die über externen Support entsprechend geschützt werden können", heißt es bei Kaspersky.
Verpflichtende Zertifizierungen als Schlüssel für mehr Sicherheit im IoT
Bei dem kompetenzgruppenübergreifenden Event „Sicherheit im IoT: IoT-Sicherheitskennzeichen, Sicherheitslücken, Einfallstore – Wie können neue Standards helfen?“ ist der eco mit verschiedenen Experten aus dem IoT-Security-Umfeld in die Diskussion rund um Sicherheitsstandards und Normen eingestiegen. Dabei entstand ein deutliches Bild, was tatsächlich notwendig ist, um die Sicherheit von IoT-Geräten zu steigern. Dabei wurden die die Expertenaussagen durch die Ergebnisse von Kurzumfragen unter den Teilnehmenden untermauert bzw. spiegelten die Probleme im Bereich Sicherheit größtenteils wider.
Status Quo
Das Internet of Things (IoT) wächst rasant und immer mehr Alltagsgegenstände sind mit dem Internet und untereinander vernetzt. Vollgestopft mit Sensoren und Funkschnittstellen bleibt vor allem die Datensicherheit sowie der Schutz von Nutzerdaten auf der Strecke. Ausgestattet mit unterschiedlichen Sicherheitsniveaus und dies häufig auch in sicherheitskritischen Positionen, sorgt das auf Hersteller- und Anwenderseite für Verwirrung und Ratlosigkeit.
Dabei bildet die schiere Masse an IoT-Geräten mit unterschiedlichen Betriebssystemen das Problem, denn Schätzungen zufolge wird die Anzahl von IoT-Geräten bis 2030 auf über 25 Milliarden steigen. Daraus ergibt sich eine enorme Komplexität. Schon längst handelt es sich nicht mehr um die klassische Hardware mit beispielsweise einem Rechner, der abgesichert werden muss. Bereits jetzt haben wir verschiedene Bauarten von Geräten mit unterschiedlichen Eigenschaften, die in vielfältigen Bereichen eingesetzt werden. Diese können nicht mehr mit einer klassischen Firewall abgesichert werden. Im IoT gibt es mittlerweile neue Herausforderungen, die es zu lösen gilt.
Bedrohungslage und Testings
Die Bedrohungslage im IoT ist stetig gestiegen, laut AV-TEST GmbH hat sich die Bedrohungslage von 2020 bis 2021 fast verdoppelt, dabei macht der klassische Trojaner das größte Problem aus. IoT-Geräte, die mit dem Internet verbunden sind, können in einem Zeitraum von 14 Tagen mehreren Millionen Angriffen ausgesetzt sein.
Grundsätzlich gilt, dass je mehr Daten übertragen werden, desto größer die Wahrscheinlichkeit, dass Daten abgegriffen werden. Daher sollten Hersteller und Anbieter darauf achten nur Daten zu erfassen, die tatsächlich notwendig sind.
Generell sind Produkte, die zertifiziert werden sollen beim Faktor Sicherheit deutlich besser aufgestellt. Jedoch können manuelle Sicherheitsanalysen enorm viele Ressourcen verbrauchen und dadurch werden oftmals nur die dringenden Sicherheitsprobleme angegangen und andere Schwachstellen können schnell unter den Tisch fallen. Um IoT-Risiken und Sicherheitslücken aufzufinden, kann Automatisierung hilfreich sein, hierzu zählen beispielsweise automatisierte Pentests.
Security-by-Design und die ETSI EN 303 645
Um Preise niedrig zu halten wird oft an der Sicherheit gespart. Jedoch lassen sich viele Schwachstellen durch den Security-by-Design-Ansatz vermeiden. Der Faktor Sicherheit sollte gerade bei IoT-Geräten von Beginn an in den Design-Prozess eingebunden und über die Sprints hinweg immer überprüft werden.
Durch den Prüfstandard ETSI EN 303 645 soll der Ansatz Security by Design / by Default etabliert werden. Darauf aufbauend soll die Testspezifikation 103 701 als Framework in Europa ein harmonisiertes Prüfverfahren und einheitliches Kennzeichen einzuführen.
In der ETSI Norm finden sich folgende Empfehlungen zur Sicherheit von IoT-Geräten:
Keine universellen Standardpasswörter
Einführung eines Systems zur Verwaltung von Berichten über Sicherheitslücken
Software auf dem neuesten Stand halten
Sichere Speicherung sensibler Sicherheitsparameter
Sicher kommunizieren
Offene Angriffsflächen minimieren
Sicherstellung der Software-Integrität
Sicherstellung der Sicherheit persönlicher Daten
Systeme gegen Ausfälle widerstandsfähig machen
Prüfung von Systemtelemetriedaten
Das Löschen von Benutzerdaten vereinfachen
Installation und Wartung von Geräten erleichtern
Validierung der Eingabedaten
Aktuell erfüllen jedoch die meisten IoT-Geräte auf dem Markt gerade einmal drei bis vier der 13 Empfehlungen. Denn oftmals stellen Hersteller die Sicherheit nur in den Fokus, wenn die Umsetzung auch verpflichtend ist und nicht nur empfehlungsbasiert. Ähnliches hat die Einführung der DSGVO gezeigt. Durch die Verpflichtung musste gehandelt werden und es hat sich am Markt einiges bewegt.
Was braucht es nun konkret, um die Sicherheit im IoT zu erhöhen?
Mit der Sicherheit bei IoT-Geräten sieht es bisher noch nicht so gut aus, wie man sich das wünschen würde. Was wären die Punkte, die man als Industrie angehen müsste und welche Forderungen an die Politik könnten einen guten Hebel liefern, um das Problem anzugehen?
Mit rund 70 % der Teilnehmenden der Veranstaltung „Sicherheit im IoT“ sprach sich bei einer Kurzumfrage die Mehrheit für verpflichtende Zertifizierungen aus. Auch die Forderungen und Anregungen der Experten gingen in eine ähnliche Richtung und wurden durch weitere Ideen und Ergänzungen erweitert.
Verpflichtende Norm
Eine empfehlungsbasierte Freiwilligkeit könne langfristig nicht die gewünschte Wirkung erzielen und zu mehr Sicherheit im IoT führen. Der einfachste Weg zur Erfüllung von Mindestanforderungen bei der Sicherheit von IoT-Geräten wäre eine verpflichtende Norm. Jedoch müssten die Sicherheitsanforderungen umsetzbar und wirtschaftlich für die Unternehmen sein.
Norm, Möglichkeit und Kontrolle
Die Hürden zur Umsetzung einer verpflichtenden Norm dürfen nicht zu hoch liegen, es müssten Mittel zur Verfügung stehen die Anforderungen zu erfüllen. Zudem muss es dann auch Möglichkeiten der Prüfung geben. Es sollte also ein ausgewogenes Zusammenspiel von Norm, Möglichkeit und Kontrolle etabliert werden.
Stufenmodell
Die Sicherheitsanforderungen müssten den unterschiedlichen Use Cases angepasst werden. Es sollten beispielsweise an eine Babycam und ein Industriegerät nicht die gleichen Sicherheitsanforderungen gestellt werden. Das wäre für die Hersteller weder umsetzbar noch wirtschaftlich. Ein Stufenmodel, das verschiedene IoT-Geräte gruppiert, könnte sinnvoll sein.
Beidseitige Awareness
Man dürfe das Problem nicht allein an die Hersteller abschieben. Auch auf Anwenderseite müsse stärker sensibilisiert werden. Gerade der Mensch kann auch eine Schwachstelle bei der Sicherheit von IoT-Geräten sein. Von Herstellern bereitgestellte Sicherheitsfunktionen wie beispielsweise der Verzicht auf Standardpasswörter oder die Möglichkeit zur Netztrennung müssen vom Anwender auch genutzt werden. Daher müssen auch in Zukunft immer beide Seiten aktiv werden, um die Sicherheit im IoT zu erhöhen.
if(is): Aktuelle Phishing-Angriffe auf EU-Emissionshandel zeigen Defizite im Umgang mit sicherheitskritischen Systemen auf
Aktuelle Phishing-Angriffe auf EU-Emissionshandel zeigen Defizite im Umgang mit sicherheitskritischen Systemen auf
Aktueller Hintergrund zu Phishing-Angriffen auf den EU-Emissionshandel:
Angreifer haben einen groß angelegten internationalen Phishing-Angriff auf Kontodaten des EU-Emissionshandels durchgeführt. Hierzu wurden E-Mails augenscheinlich für die Empfänger im Namen der jeweiligen Emissionshandelsstellen versendet. Dem Empfänger wurde in der E-Mail nahe gelegt, sich zum Schutz vor angeblichen Hacker-Angriffen neu beim System zu registrieren. Dazu wurde ihm ein Link mitgeteilt, der angeblich zur Webseite des EU-Emissionshandels führt. Der Link führt jedoch zu einer Phishing-Seite der Angreifer und nicht, wie der Empfänger dieser E-Mail glauben soll, auf die Seite des Emissionshandels. Die Seiten der Angreifer spähen Kontodaten aus, indem alle Eingaben des Login-Formulars für den Anwender nicht ersichtlich im Hintergrund aufgezeichnet werden.
Mit Hilfe der illegal erworbenen Kontodaten konnten die Angreifer die Identität der ausgespähten Unternehmen einnehmen und anschließend die zugehörigen Emissionen auf dem Markt verkaufen. Die Attacke scheint nach aktuellen Angaben einen erheblichen finanziellen Schaden verursacht zu haben. Laut dem Bundesumweltamt haben in Deutschland 7 von 2000 Unternehmen ihre Daten über die Phishing-Seite eingegeben. Die Betrüger konnten sich auf diese Weise 3 Millionen EUR aneignen. Aus diesem Grund haben am 2. Februar 2010 Emissionshandelsstellen in Belgien, Bulgarien, Dänemark, Griechenland, Italien, Rumänien, Spanien und Ungarn als Folge der Angriffe ihren Online-Betrieb geschlossen haben.
Das aktuelle Ereignis zeigt, dass sich im Internet noch keine angemessene Sicherheitskultur entwickelt hat. Einerseits sind die Systeme technisch nicht ausreichend abgesichert, andererseits fehlt es den Anwendern an der nötigen Sensibilität im Umgang mit dem Internet und entsprechenden sicherheitskritischen Diensten. Was sollte sich also auf Seiten der Anwender und Anbieter ändern?
Tipps für Sie als Anwender:
Das Institut für Internet-Sicherheit ist bemüht Anwender für das Medium Internet zu sensibilisieren. Neben dynamischen Awareness-Schulungen ist ein Buch zu diesem Zweck entstanden. Alle Informationen dazu erhalten Sie unter:
www.sicher-im-internet.de.
Vertrauen Sie niemals blind den Inhalten einer E-Mail, die vermeintlich von einem Betreiber eines Webdienstes gesendet wurden!
Klicken Sie nie auf Links in E-Mails, die zu sicherheitskritischen Webseiten führen! Seriöse Betreiber von sicherheitskritischen Diensten (z.B. Banken) schreiben keine E-Mails für sicherheitskritische Vorgänge.
Benutzen Sie grundsätzlich keine Links auf Webseiten die zu sicherheitskritischen Diensten führen! Geben Sie stattdessen die Internetadresse in Ihrem Browser selber ein!
Kontrollieren Sie das Zertifikat und die Verschlüsselung der Webseite des sicherheitskritischen Dienstes bevor Sie sich anmelden.
Sensible Account-Daten werden nicht zu anderen Zwecken abgefragt, also geben Sie sie nur im gewohnten Kontext unter Einhaltung der vorherigen Regeln an.
Nutzen Sie in Ihrem E-Mail-Client die nicht die HTML-Ansicht, sondern die Ansichtsart „Reiner Text“
Erlauben Sie bereits in Ihrem E-Mail-Client kein JavaScript, da über die Skriptsprache bereits Angriffe auf Ihre Konten durchgeführt werden können.
Tipps für Sie als Betreiber:
Eine einfache Authentifizierung bei einer Webanwendung über Benutzername und Passwort ist eine einfache, schnelle und komfortable Lösung, sowohl für die Betreiber, wie auch für die Anwender eines Systems. Allerdings muss der Betreiber des Dienstes abwägen, ob der Komfort einer einfachen Authentifizierung nicht einem erheblichen Sicherheitsrisiko gegenübersteht, welches durch die Verwendung von starken Authentifizierungsverfahren minimiert werden könnte. Eine starke Authentifizierung kann bspw. über den Einsatz von Zertifikaten realisiert werden. Denkbar wäre in der Zukunft der Einsatz des neuen elektronischen Personalausweises als Authentifizierungsmedium.
Die Abwägung zwischen Sicherheit und Komfort scheint aus Sicht der IT-Sicherheit bei dem System des EU-Emissionshandels nicht optimal durchgeführt worden zu sein. Der EU-Emissionshandel hätte durch den Einsatz starker Authentifizierungsmechanismen und entsprechend geschulter Anwender den erheblichen Schaden verhindern können. Der zusätzliche Aufwand zur Umsetzung und Verwendung eines solchen Mechanismus wären in Relation zu den Schäden wesentlich geringer ausgefallen.
Unternehmen sollten sich bei nicht vorhandener eigener Expertise externe Hilfe holen, um ihre Sicherheit gemäß ihrer eigenen Risikoabschätzung überprüfen zu können. Viele Unternehmen bieten hierfür geeignete Angebote. Auch das Institut für Internet-Sicherheit bietet Beratung und die sicherheitstechnische Überprüfung von Webangeboten an. Informationen dazu erhalten Sie unter:
www.internet-sicherheit.de.
Wenn Sie weitere Hilfestellungen oder Handlungsempfehlungen benötigen, besuchen Sie die Website vom Marktplatz IT-Sicherheit:
www.it-sicherheit.de
