Sie sind hier: Home » Markt » Hintergrund

250.000 Identitätsdiebstähle in nur drei Monaten


Schwachstellenerkennung und Schwachstellenmanagement: Wie kann man Informationen schützen?
Ob beim Online-Banking, Online-Einkauf oder in sozialen Netzen, die Anwender bieten im vermeintlich abgesicherten Internet freizügig ihre Kreditkarten- und Personendaten feil

Ron Gula, Tenable Network Security
Ron Gula, Tenable Network Security Sicherheitsprüfungen müssen in Echtzeit stattfinden, Bild: Tenable Network Security

(08.10.13) - Die Schlagzeilen der vergangenen Wochen haben es nun auch an die breite Öffentlichkeit getragen – und die hat es laut und deutlich vernommen: Unsere Daten sind nicht sicher. Zu keiner Zeit, an keinem Ort, hinter keiner Firewall. Inzwischen ebbt die ebenso hohe wie breite Welle der Entrüstung, die unsere Medien überschwemmt hat, ab in Ernüchterung und Ratlosigkeit. Wenn schon der Staat sich nicht vor Abhöraffären und Datendiebstahl schützen kann, wer dann? Wenn Nachrichten- und Geheimdienste sich trotz massiver Sicherheitsmaßnahmen erfolgreich gegenseitig bespitzeln, wie soll sich dann ein ganz profanes Wirtschaftsunternehmen vor Informationsverlusten und Cyber-Attacken bewahren können? Oder der noch weniger Security-vertraute Endverbraucher?

250.000 Identitätsdiebstähle in nur drei Monaten – das ist die erschreckende Realität, die kürzlich das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ans Licht gebracht hat. Ob beim Online-Banking, Online-Einkauf oder in sozialen Netzen, die Anwender bieten im vermeintlich abgesicherten Internet freizügig ihre Kreditkarten- und Personendaten feil – und die stets wachsamen Hacker schöpfen freudig aus den Vollen. Dabei bleibt laut BSI-Präsident Michael Hange ein Großteil der Angriffe lange unentdeckt – rund die Hälfte der Betroffenen erkennt erst nach knapp einem Jahr, dass eine erfolgreiche Attacke auf ihren Rechner stattgefunden hat.


Auch der Staat selbst und seine Wirtschaftsunternehmen werden immer häufiger aus dem Netz attackiert. "Allein im Regierungsnetz", so wird der BSI-Präsident am 7. August 2013 vom Nachrichtenmagazin "Der Spiegel" zitiert, "zählen wir 2000 bis 3000 ungezielte und fünf gezielte Angriffe täglich." Viele dieser Angriffsversuche könne man laut Hange erfolgreich vereiteln, und für die Wirtschaft habe man eine ganze Reihe von Empfehlungen für einen besseren Schutz von Geschäfts- und Kundendaten ausgegeben.

Dennoch, der ungebrochene Erfolg von Attacken auf staatliche Dienste und Informationsquellen sowie auf Produktionspläne und Betriebsgeheimnisse in der Privatwirtschaft machen offenkundig, dass die bisherigen Maßnahmen und Ratschläge nicht ausreichend greifen. Auf der Suche nach den Ursachen wird schnell klar: Eine Kette ist tatsächlich nur so stark wie ihr schwächstes Glied – das gilt nicht nur sondern vor allem für ein so facettenreiches und feingliedriges Konstrukt, wie die IT-Security.

Die Achillesferse(n)
Instabile Glieder, das beweisen die Endloslisten von Schwachstellen, die Softwarehersteller und Netzbetreiber kontinuierlich zu ihren Produkten veröffentlichen müssen, gibt es in den unternehmensweiten IT-Landschaften viele. Diese Schwachstellen würden aber, so die Kritik seitens des BSI, nur zu einem Teil beseitigt, etwa ein Drittel bleibe offen. Die so entstehenden Angriffswege, in Fachkreisen "Attack Path" genannt, werden nicht nur von vergleichsweise harmlosen Dieben von Bankdaten genutzt. Sie ebnen auch politisch, weltwirtschaftlich und militärisch inspirierten Spionageaktivitäten aus Nordkorea, Russland, Großbritannien, den USA oder Israel den Weg – bis in die vermeintlich geheimsten Winkel unserer behördlichen Datenbanken und Informationsschatzkammern.

Vor allem Cyber-Attacken aus den USA, so das Ergebnis einer kürzlich veröffentlichten Studie von Ernst & Young Global (EY), werden nach dem NSA-Skandal von deutschen Unternehmen gefürchtet. 90 Prozent der von dem Beratungs- und Prüfungsunternehmen befragten Geschäftsführer und Führungskräfte erwarten, dass für deutsche Organisationen das Risiko von Cyber-Angriffen steigen wird. Und diese seien, so nehmen die in 400 deutschen Unternehmen befragten Manager aus den Bereichen IT-Sicherheit und Datenschutz an, in erster Linie aus China und den USA zu erwarten. Was also ist zu tun?

Standardsicherheitsmaßnahmen wie Virensuchprogramme, Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme, so warnte bereits im Juni dieses Jahres die Gesellschaft für Informatik (GI), wiegen die Unternehmen in falscher Sicherheit. Zumal ja die Sicherheitslösungen selbst mit nicht immer allgemein bekannten Sicherheitslücken aufwarten, also nicht veröffentlichten Schwachstellen, die nicht nur von "kleinen" Hackern, sondern auch von Drittstaaten und größeren, kriminellen Organisationen genutzt werden können.

"Sicherheitsprüfungen müssen daher in Echtzeit stattfinden", empfiehlt Ron Gula, CEO der auf Schwachstellenerkennung und Schwachstellenmanagement fokussierten Tenable Network Security, "Das Tempo, in dem durch Hersteller-Patches, Anwender, das IT-Team und leider auch durch Malware Veränderungen vorgenommen werden, erfordert eine Status- und Schwachstellenerkennung, die so schnell wie nur eben möglich ist. Selbst, wenn die IT-Verantwortlichen die Probleme nicht so schnell beheben können, wie sie gefunden werden, muss die Organisation doch – und zwar so frühzeitig wie möglich – über die größten Risiken für das Unternehmen informiert sein."

Hierfür hat der Security-Anbieter jetzt u.a. eine Lösung entwickelt, die das Schwachstellenmanagement nach BSI IT-Grundschutzstandards deutlich vereinfacht. Und in Echtzeit aufzeigt, ob und wo ein Netzwerk eine Achillesferse hat, die von außen als Angriffsweg genutzt werden könnte.

"Und vergessen Sie bei den Realtime-Audits in Ihrer Organisation nicht Ihre Perimeter-Vorrichtungen, Ihre Router, Switches und Firewalls", rät der frühere NSA-Mitarbeiter Gula. "Edward Snowden hat geäußert, dass die NSA routinemäßig auf diese abgezielt hat, und im Prinzip muss jeder davon ausgehen, dass seine Router und Switches von anderen Nationen ins Visier genommen werden – wenn sie es nicht schon sind. Router und Switches haben Patches, Konfigurationen und Zugriffskontrollen, die genau wie bei jedem Desktop überprüft und testiert werden können. Sollte Ihr Security-Team das noch nicht tun, ist es sehr wahrscheinlich, dass Ihre Netzwerk-Infrastruktur nicht gesichert und nicht ausreichend gehärtet ist." (Christiane Jacobs, Tenable Network Security: ra)

Tenable Network Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Was ist das EU-KI-Gesetz?

    Das EU-KI-Gesetz ist da und es hat Auswirkungen auf die Welt des Datenschutzes, Sicherheit, Risiko und Rechnungsprüfung. Das bedeutet, es beeinflusst die Art und Weise, wie diese Funktionen organisiert sind, wie die Fachleute ihre Arbeit verrichten und was sie in ihrer Position zu tun haben.

  • Politikgetriebener Moralisierung

    Am 1. August 2024 tritt der AI Act der Europäischen Union in Kraft getreten. Bitkom-Präsident Dr. Ralf Wintergerst hatte kommentiert: "Ob Deutschland und Europa zu Innovationsstandorten für Künstliche Intelligenz oder zu Nachzüglern werden, hängt entscheidend von der weiteren Ausgestaltung und Umsetzung des AI Acts ab."

  • Entwicklung der HR-Softwareindustrie

    Human Resources gilt heutzutage als Rückgrat eines jeden Unternehmens. Die Verwaltung von Mitarbeiterdaten, die Durchführung von Rekrutierungsprozessen und die Entwicklung von Talenten sind nur einige der vielfältigen Aufgaben, die die Personalabteilung täglich bewältigen.

  • Mittelstand im Regulierungskorsett

    Ziel des Data Acts ist es, einen Wettbewerbsmarkt für Daten zu schaffen und die Wettbewerbs- und Innovationsfähigkeit der EU zu stärken. Durch die Förderung eines fairen, transparenten und wettbewerbsfähigen digitalen Marktes adressiert er die Notwendigkeit einer verstärkten Datenmobilität und -nutzung.

  • Paragrafen 201b Strafgesetzbuch vorgeschlagen

    Das Bundeskabinett hat am 21. August 2024 zu einer bayerischen Initiative zum strafrechtlichen Schutz von Persönlichkeitsrechten vor Deepfakes Stellung genommen. Im Juli dieses Jahres hatte der Bundesrat den bayerischen Gesetzentwurf verabschiedet.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen