Aufrufe
vor 2 Monaten

Netzwoche 09/2021

  • Text
  • Wwwnetzmediench
  • Google
  • Informationen
  • Digitale
  • Schweiz
  • Swiss
  • Hacker
  • Angriffe
  • Mitarbeitenden
  • Netzmedien
  • Unternehmen

48 Technology

48 Technology Fachbeitrag Cyberkriminalität steigt stark – so schützen Sie sich richtig Die Coronapandemie hat die Notwendigkeit für ein gutes Sicherheitskonzept drastisch verschärft: Nie gab es so viele Angriffe auf die Wirtschaft, nie waren Hacker so gut organisiert wie heute. Dennoch fehlen in vielen Unternehmen wichtige Bausteine für eine sichere IT-Infrastruktur. DER AUTOR Device Trust André Schmid Head Sales, Allgeier (Schweiz) Den Beitrag finden Sie auch online www.netzwoche.ch User Trust Zero Trust Security Never Trust. Always Verify. Network Trust Application Trust Data Trust Der Hack des Kassensoftware-Anbieters «Kaseya» im Juli 2021 hat über 1000 Firmen betroffen, Supermarktketten mussten schliessen. Die Nutzerdaten aller «Clubhouse»- User werden im Darknet angeboten, inklusiver aller Kontakte, also auch Millionen Menschen, welche die App nie benutzt haben. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) hat sich die IT-Sicherheitslage in der Schweiz im Pandemiejahr 2020 rapide verschlechtert, die Anzahl der gemeldeten Vorfälle hat sich mehr als verdoppelt, wie aus dem Halbjahresbericht hervorgeht. Der Trend ist 2021 ungebrochen. Insbesondere die Angriffe mit Ransomware werden immer professioneller. Viele bekannte Schweizer Unternehmen wurden Opfer und erlitten nicht nur Reputationsschäden, sondern hatten mit Produktionsausfällen zu kämpfen. Bei unseren Nachbarn sieht es ähnlich aus: Laut einer repräsentativen Umfrage des Deutschen Fachverbands Bitkom unter 1000 Firmen wurden während der Pandemie neun von zehn Firmen von Hackern angegriffen, wie es im Studienbericht vom August 2021 heisst. Der Schaden hat sich mit geschätzten 223 Milliarden Euro pro Jahr mehr als verdoppelt. Einen starken Zuwachs gab es bei Ransomware-Angriffen mit einer Vervierfachung innert 12 Monaten. Wie schützen wir unser Unternehmen am besten? Viele Firmen nutzen die Sicherheitsfunktionen ihrer Cloud-Provider. Das ist ein wichtiger erster Schritt. Ebenso haben viele Unternehmen zertifizierte IT-Prozesse, was eine gute Grundlage ist. Aber eine ISO-Zertifizierung ist kein Garant für gelebte IT-Sicherheit im Alltag. Erhöhen Sie Ihre IT-Sicherheit durch die Umsetzung der folgenden drei Punkte. 1. Schutz vor Social Engineering mit Security-Awareness-Trainings Die grösste Angriffsfläche für Hacker sind die Mitarbeitenden und ihr Verhalten. Kontinuierliches Online-Training mit Videos und Kontrollfragen, kombiniert mit simulierten Angriffen auf interne Zielgruppen ist nachhaltig und effektiv. Verschiedene Hersteller bieten Plattformen und Lösungen, die einfach einzuführen und zu verwalten sind. Die Resultate werden laufend ausgewertet und die Hersteller integrieren neue Angriffsformen. 2. Schutz vor Passwort-Diebstahl mit einer Enterprise-Passwort- Management-Plattform Je nach Quelle lassen sich 70 bis 80 Prozent aller Datendiebstähle auf nachlässige Passwortsicherheit zurückführen. Solange Unternehmen Passwörter in Excel, Word, Onenote oder ähnlichen Plattformen ablegen und diese auch mehrfach verwendet werden, steht das Einfallstor weit offen. Eine Passwort-Management-Plattform verwaltet Passwörter, kontrolliert Zugänge, integriert in existierende Anmeldeverfahren und deckt den Mitarbeiterwechsel ab. Führende Hersteller zeichnen sich durch Zero Knowledge, Einhaltung von GDPR und weiteren Standards aus. Grafik: Allgeier (Schweiz) Visibility and Analytics Automation and Orchestration 3. Zero-Trust-Architektur und Einsatz spezialisierter Lösungen Eine Zero-Trust-Architektur ist der Grundpfeiler einer modernen IT-Infrastruktur. Dabei empfehlen wir, die Sicherheitsfunktionen der grossen Cloud-Anbieter (Amazon, Google, Microsoft) gezielt mit Lösungen von spezialisierten Herstellern zu kombinieren. Dies gewährt Unabhängigkeit, sichert den Einsatz von spezifischem Fachwissen und bietet eine optimale Abdeckung der Sicherheitsrisiken. 09 / 2021 www.netzwoche.ch © netzmedien ag

Technology Fachbeitrag 49 Sichere E-Mail-Kommunikation ist wichtiger denn je Der zunehmende Versand vertraulicher Dokumente via E-Mail statt per Post und die immer häufigeren Cyberattacken, die direkt auf E-Mail-Nutzerinnen und -Nutzer abzielen, machen die Verschlüsselung und elektronische Signierung des E-Mail- Verkehrs zu einem Muss – was jedoch längst nicht alle Unternehmen erkannt haben. Man weiss es eigentlich: Cyberattacken nehmen tagtäglich zu, die Angriffe werden immer raffinierter, und eines der wichtigsten Einfallstore ist die E-Mail-Kommunikation. Cyberkriminelle arbeiten mit Methoden wie Phishing und Social Engineering, um die Echtheit von Inhalten und Absendern vorzutäuschen, die Empfänger zur Preisgabe vertraulicher Informationen zu verleiten und über infizierte Webseiten Schadcode ins Firmennetzwerk einzuschleusen. E-Mail ungebrochen populär Gleichzeitig hat E-Mail-Kommunikation trotz neuer Kommunikationsformen wie Instant Messaging und Kollaborationslösungen wie Teams, Zoom, Slack & Co. keineswegs an Bedeutung verloren – ganz im Gegenteil: Immer häufiger gelangen wichtige und vertrauliche Dokumente wie etwa Verträge, Offerten oder Rechnungen, die früher per Post verschickt wurden, per E-Mail an die Kunden und Geschäftspartner. Solche Dokumente enthalten oft personenspezifische Daten, die gemäss den neueren gesetzlichen Vorschriften wie der EU-DSGVO und künftig auch dem neuen Schweizer Datenschutzgesetz besonders sensibel sind und vor unbefugtem Zugriff geschützt werden müssen. Sonst drohen eventuell empfindliche Bussen, und die Reputation leidet. Dennoch erfolgt die E-Mail-Kommunikation in vielen Unternehmen nach wie vor unverschlüsselt und unsigniert. So sind E-Mails mit einer offenen Postkarte vergleichbar, statt die Integrität und Authentizität eines eingeschriebenen Briefs zu bieten. Wer also sichergehen will, dass eine E-Mail unverfälscht ankommt und tatsächlich vom angegebenen Absender stammt, kommt um eine E- Mail-Sicherheitsplattform nicht herum, die Verschlüsselung und elektronische Signierung der Meldungen kombiniert und so einfach wie möglich in Betrieb zu nehmen und zu bedienen ist. Denn komplizierte Verschlüsselungslösungen mit schlechter Usability führen dazu, dass sie in der Praxis dann doch nicht genutzt werden. Verkehr zwischen dem Firmennetzwerk und dem Internet fungiert und das manuell aufwändige Schlüssel- und Zertifikatsmanagement, das Voraussetzung für die Verschlüsselung und Signierung der Meldungen ist, möglichst vollständig automatisiert. Dabei sollten alle gängigen Standards unterstützt werden: OpenPGP, TLS, SSL sowie S/MIME für die Signatur der E-Mails. Ein solches Gateway kann entweder als Hardware- oder virtuelle Appliance oder aber im Asa-Service-Modell als Cloud-Dienst realisiert werden. Ein zentrales Gateway ermöglicht darüber hinaus die sehr bequeme Domainverschlüsselung, die den Verkehr zwischen den Gateways der eigenen Firma und der unterschiedlichen Geschäftspartner ohne jedes Zutun der Absender und Empfänger vollautomatisch und ohne Software- Installation auf den Endgeräten verschlüsselt und signiert. Doch auch Empfänger, die nicht über eine eigene Verschlüsselungslösung verfügen, sollten in den Genuss authentischer und verschlüsselter Kommunikation kommen, für die nur ein E-Mail-Client und ein Browser benötigt werden. Die fortschrittlichsten E-Mail-Security-Lösungen verfügen über die dafür benötigte Technologie: Das Secure E-Mail Gateway generiert die erforderlichen Schlüssel ad hoc und schickt die verschlüsselte Meldung an den Empfänger, der sie mit einem separat über einen Kanal wie SMS übermittelten Passwort entschlüsseln und auch verschlüsselt beantworten kann. DER AUTOR Stefan Klein Gründer und CEO, Seppmail seppmail.ch Den Beitrag finden Sie auch online www.netzwoche.ch Die ideale E-Mail-Security Die gebotene Einfachheit einer E-Mail-Sicherheitslösung lässt sich am besten durch ein Secure E-Mail Gateway realisieren, das als zentrale Instanz für den gesamten E-Mail- www.netzwoche.ch © netzmedien ag 09 / 2021

Archiv

Specials