Das sind die drei wichtigsten Trends im Bereich Anwendungssicherheit für 2020: Steigende Komplexität, Open Source und DevSecOps. Veracode veröffentlichte vor Kurzem die zehnte Ausgabe ihres jährlich erscheinenden State of the Software Security (SoSS) Reports [1]. In diesem beschreibt der Anwendungssicherheitsspezialist, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat…
Auch Lisa Kudrow, WeWork und Ellen DeGeneres dürfen sich zu den größten Passwort-Sündern des Jahres zählen. Dashlane veröffentlichte die vierte Auflage der größten Passwort-Sünder. Die Liste hebt berühmte Personen, Organisationen und Unternehmen hervor, die 2019 die größten Sicherheitsfehler im Zusammenhang mit Passwörtern begangen haben. Mit der Einführung der DSGVO zu Beginn des Jahres, dominierten Regulierungen…
OT-Angriffe als Zugang zur IT Schon in den vergangenen 24 Monaten haben »laterale Angriffe« einen Fuß in die Tür zur IT bekommen und breiten sich nun auf Netzwerke der Operational Technology (OT) aus. Doch im Jahr 2020 werden wir OT-Angriffe auf die IT erleben. Möglich macht das die zunehmende Konvergenz von IT und OT.…
The same procedure as last year? The same procedure as every year! Auch im ersten Jahr nach Inkrafttreten der DSGVO ist der Schutz persönlicher Daten eine große Herausforderung. Der Mensch bleibt das schwächste Glied in der IT-Sicherheitskette, das Cyberkriminelle mit immer ausgefeilteren Methoden angreifen. Ihnen bieten sich durch Digitalisierung, 5G-Netzausbau und den wachsenden (Stellen-) Wert…
Kaum etwas ändert sich so dynamisch wie Cybergruppierungen: Sie entstehen, pausieren, schließen sich neu zusammen, lösen sich auf und nutzen ständig neue Tools und Taktiken. Michael Sentonas, VP of Technology Strategy bei CrowdStrike, hat deshalb die fünf wahrscheinlichsten Entwicklungen zusammengefasst, die Unternehmen im nächsten Jahr begegnen könnten. Er fokussiert sich hierbei auf die Angriffsmethoden,…
Rich Armour, einer der Fortune 50 CISOs ist in Sachen Cyberbedrohungen gegen industrielle Kontrollsysteme wenig optimistisch. Er glaubt, dass die Fertigungsbranche im kommenden Jahr vermutlich mit einer hoch destruktiven Attacke gegen industrielle Steuerungs- und Kontrollsysteme zu rechnen hat. Ein Angriff mit dem Potenzial, Industrieanlagen im ganzen Land schwer in Mitleidenschaft zu ziehen. Rich Armour, ehemaliger…
Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat der US-amerikanische Cybersecurity-Spezialist Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit…
Etwa 53 Prozent der KMU-Webseiten sind potenziell angreifbar. Jede 12. Webseite (8 Prozent) mit gravierenden Sicherheitsmängeln. Viele Webseiten mittelständischer Unternehmen werden ungewollt zum Einfallstor für Cyberkriminelle. Der eco – Verband der Internetwirtschaft e. V. hat 1.406 Webseiten mit dem Sicherheits-Scanner SIWECOS untersucht und festgestellt: 39 Prozent der untersuchten Webseiten nutzen kein HTTPS, das Protokoll,…
Das SANS Institute hat im Auftrag von Vectra ein Whitepaper mit dem Titel »Threat Hunting with Consistency« veröffentlicht. Das Whitepaper stellt einen alternativen Ansatz für die Bedrohungssuche vor. Dieser Ansatz setzt voraus, die MITRE ATT&CK Matrix als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen…
Unternehmen und Behörden sind einfach zu langsam. Sie brauchen im Durchschnitt ganz sechs Tage einen Eindringling in ihren Netzwerken zu entdecken, die Schwere des Angriffs auszuwerten und die Schäden zu beheben. Die Folge: Vier von fünf Unternehmen waren im letzten Jahr nicht in der Lage Cyberangreifern den Zugriff auf die Zieldaten zu verwehren. Es gibt…
Unternehmen sind stets gefordert, ihre Zugriffsrechte auf IT-Systeme Compliance-gerecht zu organisieren. Wer darf was und zu welchem Zweck? Aufgrund ihrer Komplexität stoßen sie dabei häufig auf Probleme. Doch stringente Rollenkonzepte unterstützt von Software-Tools können helfen, das Berechtigungsmanagement sicherer zu gestalten — und zugleich die Effizienz im Unternehmen zu steigern. Angenommen, ein Auszubildender tritt zu seinem…
Verantwortliche für die IT-Sicherheit eines Unternehmens sehen sich häufig mit einer personellen Unterbesetzung ihrer Security-Abteilungen konfrontiert – und dies nicht nur kurz-, sondern ohne Aussicht auf Besserung mittelfristig. Ein möglicher Ausweg: automatisierte Workflows zur deutlichen Entlastung der IT-Security-Teams.
Professionelle Rechenzentren bieten nicht nur die Möglichkeit, gespeicherte Daten in mehrfacher Ausführung an geografisch getrennten Orten zu lagern, sondern übernehmen beim Managed Backup sogar jegliches Datenmanagement.
Cyberkriminelle und politisch movierte »Hacktivisten« haben dazugelernt. Mittlerweile sind sie in der Lage, innerhalb von fünf Tagen Angriffe auf neu entdeckte IT-Sicherheitslücken zu starten. IoT-Systeme (Internet of Things) werden bereits sogar innerhalb von fünf Minuten nach ihrer Inbetriebnahme attackiert. Dies sind zwei Erkenntnisse des Threat Intelligence Report des IT-Security-Spezialisten Netscout.
Die meisten Unternehmen kombinieren heute verschiedene Public Clouds, Private Clouds und On-Premises-Infrastrukturen. Dabei verschieben sie Workloads ganz nach Bedarf zwischen den Umgebungen. Eine solche dynamische Multi-Cloud richtig abzusichern, ist jedoch eine große Herausforderung.
Ohne Risikoanalyse, Risikobewertung und ein kontinuierliches Risikomanagement bei der IT-Sicherheit kommt kein Unternehmen aus, egal in welcher Branche es tätig ist. Nur wer die Schwachstellen kennt, kann gezielte Sicherheitsmaßnahmen implementieren. In vielen Branchen gibt es darüber hinaus noch weitere Vorschriften zu beachten.
Insider Threats sind in Übernahmeprozessen eine sehr reale Bedrohung für Unternehmen und Sicherheitsfachleute.
Da bei größeren Unternehmen inzwischen das IT-Risikobewusstsein wächst und man strengere Maßnahmen zur Absicherung kritischer Daten und Infrastrukturen trifft, konzentrieren Hacker ihre Aufmerksamkeit immer häufiger auf deren Zulieferer, um ihre Ziele zu erreichen. Gegen diese auf das »schwächste Glied« der Kette abzielende Angriffsstrategie hilft nur eine engere Zusammenarbeit unter den involvierten Unternehmen der gesamten Lieferkette.…
Geschenke für Freunde und Familie, Dekorationen für zu Hause: In der Vorweihnachtszeit kaufen viele Menschen online ein. Aber auch Cyberkriminelle greifen jetzt verstärkt in die Trickkiste – zum Beispiel mit Phishing, gefälschten Webshops, Kreditkarten-Betrug oder mittels Apps mit einer Schadsoftware im Gepäck. Die Angreifer setzen häufig darauf, dass betrügerische Transaktionen auf der Kreditkartenabrechnung leicht übersehen…
Wenn Millionen Menschen online auf Schnäppchenjagd gehen, schnappt die Falle zu. Die Rede ist von der neuen unsichtbaren Bedrohung im Internet: Formjacking, auch als E-Skimming bekannt. Dabei erbeuten Hacker auf Onlineshops mit gekaperten Bezahlformularen Kreditkarten- und Bankdaten. Der ahnungslose Kunde und das betroffene Unternehmen bekommen davon erstmal gar nichts mit – alles verläuft wie gewohnt.…