Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT.
Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheitsansatz zu verbessern. Im Gegensatz zu früheren Verordnungen wie der DSGVO (Datenschutzgrundverordnung) stellt der EU CRA die tatsächliche Widerstandsfähigkeit über die Einhaltung von Vorschriften und konzentriert sich auf eine wirksame Risikominderung.
»Der CRA stellt einen bedeutenden Schritt zur Sensibilisierung für Cyberrisiken auf Unternehmensebene dar. Es besteht jedoch die Gefahr, dass er zu einem bloßen Kontrollkästchen für die Einhaltung der Vorschriften verkommt, wie es bei der DSGVO der Fall ist,« äußert Andy Grolnick, CEO vom Security-Anbieter Graylog, seine Bedenken.
Fallstrick Compliance-Checkbox: was die DSGVO wirklich brachte
»Die Sicherheit von Checkboxen gleicht dem Anlegen eines Verbandes auf eine klaffende Wunde, sie ist kein ausreichender Ansatz. Wir haben die Unzulänglichkeiten früherer Verordnungen wie der DSGVO erlebt, bei denen die Einhaltung der Vorschriften oft echte Sicherheitsmaßnahmen überschattete,« so Grolnick weiter.
Die DSGVO wurde erlassen, um den Datenschutz für Nutzer zu verbessern. Die Idee war, Cookies zu minimieren, die alle Nutzerbewegungen verfolgen. In der Praxis hat sie dieses Ziel jedoch verfehlt. Anstatt eine Website zu besuchen und heimlich verfolgt zu werden, haben die Nutzer jetzt das Privileg, Cookies zu akzeptieren und wissentlich verfolgt zu werden. Der Punkt ist, dass die Verordnung das Tracking nicht eingedämmt hat, sondern stattdessen das Surferlebnis für viele beeinträchtigt und die Unternehmen Millionen kostete.
Anstatt das Tracking abzuschaffen, haben die Unternehmen Geld investiert, um die Nutzer darauf hinzuweisen, dass es stattfindet. Das Risiko besteht darin, dass Unternehmen die Verordnung teilweise erfüllen, indem sie angemessene Sicherheitsmaßnahmen in Bezug auf Design, Entwicklung, Bereitstellung und Support-Mechanismen ergreifen, aber nicht wirklich versuchen, das Hacking-Problem zu lösen, und so unter dem Radar fliegen können.
»Was wir nicht brauchen, ist eine weitere Verordnung, die die Hersteller dazu zwingt, die Vorschriften einzuhalten, ohne sich wirklich darauf zu konzentrieren, ihre Cybersicherheitslage zu verbessern, da wir immer mehr miteinander vernetzt sind,« verdeutlicht Grolnick die Situation. »Der EU CRA wird die Unternehmen zwar zum Nachdenken darüber anregen, wie sie das Internet der Dinge nutzen, aber es wird nur eine minimale Anforderung zur Einhaltung geben, und genau darin liegt das Problem.«
Prioritäten richtig setzen: Die Cybersicherheit in einer IoT-Umgebung gehört an die erste Stelle
Bei jedem Produkt, das »intelligenter (smarter)« wird, müssen die daraus resultierenden Schwachstellen berücksichtigt werden. Wenn Verbraucher Gegenstände in ihr Haus bringen, die eine Verbindung zu ihrem Smartphone oder ihrem WLAN erfordern, können sie letztlich auch Kriminellen Zugang zu ihrem Haus verschaffen.
»Sind der Geschirrspüler, die Lautsprecher oder intelligente Türschlösser über das Internet oder mehrere APIs (Application Programming Interfaces oder Programmierschnittstellen) mit dem Smartphone verbunden, dann ist diese Verbindung ein gefundenes Fressen für Hacker, ebenso wie alle Datenpakete, die über diesen Kanal übertragen werden – persönliche Daten, Geolokalisierungsdaten, Netzwerkzugriff, Gerätesteuerung und vieles mehr. Innovation ist großartig, aber nicht ohne Standards. Sicherheit und Schutz müssen die Innovation untermauern, wenn sie effektiv sein soll – und das deutlich mehr als es der Norm entspricht,« so Grolnick.
Lieferkettenbedrohung durch Hackerangriffe
Im Jahr 2023 wurden die Nachrichten von einer Reihe heftiger Cyberangriffe überschwemmt, die einen deutlichen Trend ankündigen: Hackerangriffe in der Lieferkette. Hier nutzen Cyberkriminelle Schwachstellen in Systemen von Drittanbietern aus, um an wertvolle Daten und Kundenwerte zu gelangen.
Der vernetzte Charakter von IoT-Implementierungen, an denen oft mehrere Unternehmen und komplexe Liefernetzwerke beteiligt sind, erfordert APIs für die Kommunikation zwischen Geräten, Anwendungen und Systemen. APIs sind eine äußerst unzureichend geschützte Angriffsfläche, was sie zu einem bevorzugten Ziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutzmaßnahmen ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch personenbezogene Daten.
APIs schützen und Sicherheitsmängel beseitigen
Der CRA will unter anderem IoT-Hersteller dazu bringen, sich ernsthafter mit der Cybersicherheit auseinanderzusetzen und wirkungsvolle Schritte zum Schutz der Verbraucherdaten herbeizuführen. Das bedeutet, dass sie mehr als nur das Nötigste tun müssen, um die Anforderungen zu erfüllen.
Die Hersteller müssen der Integration robuster Authentifizierungsmechanismen wie kryptografischer Schlüssel, Zertifikate oder biometrischer Authentifizierung Vorrang einräumen, um den unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Authentifizierungsprotokolle wie rollenbasierte Zugriffskontrollen sollten bereits in der Entwicklungsphase von IoT-Geräten festgelegt werden. Darüber hinaus liegt es in der Verantwortung der Hersteller, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.
Sich nur auf den Schutz der Außengrenzen zu verlassen, ist aufgrund der zunehmenden Raffinesse der Bedrohungsakteure unzureichend. Da die Hersteller Zugriff auf die Benutzeraktivitäten haben, können sie diese aktiv protokollieren und überwachen, um bösartige Aktivitäten zu erkennen, bevor sie vom Netzwerk auf die Produktionsumgebung übertragen werden können. Durch die Überwachung von API-Aufrufen können Hersteller beispielsweise Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.
Kostenfalle Sicherheit
Sicherheit wird oft als kostspieliges Hindernis für die Fertigung angesehen, die Prozesse verlangsamt und Lieferzeiten beeinträchtigt. Das muss jedoch nicht so sein. Die Verbesserung von Prozessen durch Daten-Dashboards, die es Unternehmen ermöglichen, ihre Sicherheit zu überprüfen und nachzuweisen, aber auch einen geschäftlichen Nutzen zu erzielen, wird unterschätzt und ist, offen gesagt, eine Investition, die sich für Unternehmen lohnt.
24 Milliarden vernetzte Geräte in 2050
Da die Zahl der vernetzten Geräte bis 2050 weltweit voraussichtlich 24 Milliarden erreicht, vergrößert die Verbreitung des IoT die Angriffsflächen für Hacker rapide. Regulierungsrahmen wie der CRA, die darauf abzielen, branchenweite Standards für die IoT-Herstellung festzulegen, spielen eine entscheidende Rolle bei der Förderung des Bewusstseins für Cybersicherheit auf Unternehmensebene.
»Die Umsetzung erfordert eine enge Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten. Es ist dringend erforderlich, aus den Fallstricken der DSGVO zu lernen und sicherzustellen, dass der EU CRA Unternehmen tatsächlich dazu ermutigt, der Cybersicherheit Priorität einzuräumen und ihre Widerstandsfähigkeit zu stärken,« so Grolnick abschließend.
310 Artikel zu „CRA Cyber“
TRENDS 2024 | NEWS | TRENDS SECURITY | IT-SECURITY | KOMMUNIKATION
Cyber Threat Research: Unzureichende Patch-Praxis und unverschlüsselte Protokolle
Der erste Bericht aus den Cato Cyber Threat Research Labs (CTRL) analysiert 1,26 Billionen Netzwerkströme, um aktuelle Sicherheitsrisiken zu identifizieren. Der Bericht »Cato CTRL SASE Threat Reports»« für das erste Quartal 2024«zeigt, dass sämtliche der befragten Unternehmen weiterhin unsichere Protokolle in ihren Wide Access Networks (WAN) verwenden. Ein Sachverhalt, der es Cyberkriminellen erleichtert, sich…
NEWS | IT-SECURITY | WHITEPAPER
Cyber Resilience Act: Anforderungen nun klarer
Mehr Klarheit bei grundlegenden Anforderungen an Cybersecurity sowie zu den Normen, die sich im Rahmen des Cyber Resilience Act anwenden lassen – dazu trägt eine neue Veröffentlichung der Agentur der Europäischen Union für Cybersicherheit (ENISA) bei. »Das neue Paper gibt erstmals Einblicke in den Normungsprozess im Rahmen des Cyber Resilience Act. So liefert die ENISA…
NEWS | IT-SECURITY | SERVICES
Security as a Service: Die umfassende Lösung für moderne Cybersecurity-Herausforderungen
In unserer digital vernetzten Welt sind Unternehmen und Organisationen ständig mit komplexen IT-Sicherheitsbedrohungen konfrontiert. Laut dem aktuellen Allianz Risk Barometer und dem Digitalverband Bitkom sind Cybervorfälle das größte Risiko für Unternehmen weltweit, mit Schäden in Milliardenhöhe. In diesem Kontext bietet Security as a Service (SECaaS) eine flexible und effektive Lösung, um auf die dynamische Bedrohungslage…
NEWS | TRENDS 2023 | TRENDS SECURITY | IT-SECURITY
Cyberbetrug im Einzelhandel steigt um knapp 700 Prozent
Cyberkriminelle nutzen verstärkt Weihnachtsgeschäft aus. Allein in der zweiten Jahreshälfte 2023 stieg der Geschenkkartenbetrug im Einzelhandel um 110 Prozent, während unerwünschtes Scraping, Kunden- und Zahlungskartenbetrug durchschnittlich um mehr als 700 Prozent zunahmen. Das geht aus dem »API Security Report« von Cequence Security zur Weihnachtssaison 2023 hervor [1]. Für die Erhebung untersuchte der Unified-API-Protection-Lösungsanbieter Cequence…
NEWS | IT-SECURITY
Wie CISOs sich auf die neuen SEC-Regeln zu erfolgreichen Cyberattacken vorbereiten können
Die »Securities and Exchange Commission«, kurz SEC, hat neue Regeln für börsennotierte Firmen erlassen. Sie verlangen von den Unternehmen, erfolgreiche Cyberangriffe innerhalb von vier Werktagen offenzulegen, falls es sich um so genannte wesentliche Vorfälle handelt. Darunter sind Vorfälle zu verstehen, die Aktionäre bei ihrer Investitionsentscheidung als wichtig erachten würden. Ähnliche Vorgaben zur Meldepflicht bei Cyberattacken…
NEWS | IT-SECURITY | PRODUKTMELDUNG | SERVICES
Managed XDR schließt die Qualifikationslücke im Bereich Cybersecurity
CrowdStrike erweitert mit Falcon Complete XDR sein branchenführendes MDR-Portfolio auf MXDR. CrowdStrike-Partner liefern differenzierte MXDR-Angebote, die auf der CrowdStrike Falcon-Plattform aufbauen. CrowdStrike kündigt CrowdStrike Falcon Complete XDR an, einen neuen Managed eXtended Detection and Response (MXDR) Service, der sich durch ein 24/7-Expertenmanagement, Threat Hunting, Monitoring und End-to-End-Remediation über alle wichtigen Angriffsflächen hinweg auszeichnet…
NEWS | TRENDS 2022 | TRENDS SECURITY | INDUSTRIE 4.0 | IT-SECURITY
ICS/OT Cybersecurity: Neue Akteure, bekannte Schwachstellen
Vor einigen Wochen präsentierte der amerikanische OT-Security-Spezialist Dragos die neueste Ausgabe seines »ICS/OT Cybersecurity Year in Review«-Reports – mit vielen spannenden Einblicken in die Cyber-Bedrohungslage in der Industrie. Kai Thomsen, Director of Global Incident Response Services bei Dragos, fasst die wichtigsten Erkenntnisse zusammen. Vor Kurzem ist die aktuelle, inzwischen sechste Auflage des jährlichen Dragos-Reports…
NEWS | TRENDS 2023 | IT-SECURITY
2023: Alte und neue Cyberbedrohungen
Sieben Security-Experten haben für uns erläutert, worauf Unternehmen sich in puncto IT-Sicherheit im kommenden Jahr einstellen müssen. So könnte der Einsatz von Wiperware-Schadsoftware nächstes Jahr verstärkt länderübergreifend stattfinden, während hybride Mensch-Maschine-Angriffe automatisiert Schwachstellen identifizieren, die anschließend von einem menschlichen Experten ausgewertet werden. Zunehmen wird auch Ransomware-as-a-Service im Darknet, um beispielsweise gezielt die Konkurrenz zu…
NEWS | IT-SECURITY | TIPPS
Cybercrime: Die Malware gibt es im Online-Shop
Kritische Infrastrukturen standen 2021 erneut stark im Visier von Cyberkriminellen. Das ist ein Ergebnis des Bundeslagebildes »Cybercrime« 2021 des Bundeskriminalamtes (BKA), das jetzt vorgestellt wurde. Weitere Erkenntnis: Ransomware-Angriffe werden immer gefährlicher. Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity, fasst zusammen, woran das liegt und was Unternehmen und Behörden tun können, um sich zu…
NEWS | IT-SECURITY | TIPPS
XDR: Wie Sicherheitsteams Cyberangriffe frühzeitig erkennen und abwehren können
Sicherheitsteams haben aufgrund der Implementierung von neuen Technologien und Remote-Work-Prozessen zunehmend Schwierigkeiten, die Kontrolle über die komplexe Unternehmens-IT zu behalten. In Sachen IT-Sicherheit kann dies zu Problemen führen, da sich Cyberbedrohungen nicht mehr effektiv abwehren lassen. Eine einheitliche Plattform, die sämtliche Sicherheitsfunktionen zentralisiert, schafft Transparenz und effizientes Bedrohungs-Management. Tanja Hofmann, Lead Security Engineer bei McAfee…
NEWS | IT-SECURITY | AUSGABE 5-6-2021 | SECURITY SPEZIAL 5-6-2021
Cybersicherheitsmaßnahmen sind nicht mehr nur eine Empfehlung – Security by Design
Sicher ist, dass die fortschreitende Entwicklung neuer Technologien mit einem wachsenden Bedarf an Lösungen und neuen Cybersicherheitsansätzen Hand in Hand geht, um die sich exponentiell ausweitende Angriffsfläche zu verringern, im »Smart Building« genauso wie in »Smart Cities« oder Industriewerken.
NEWS | BUSINESS | DIGITALISIERUNG
Welche Auswirkungen hat der neueste Crash auf das Bitcoin-Mining?
Im April dieses Jahres erreicht der Bitcoin ein Allzeit-Hoch. Investoren, Anleger und Krypto-Fans waren begeistert. Allerdings hielt die Freude nicht lang an, denn nachdem Tesla verkündet hatte, Bitcoin nicht mehr als Zahlungsmittel akzeptieren zu wollen und auch die chinesische Regierung den Druck auf Mining-Unternehmen weiter erhöhte, fiel der Kurs der Kryptowährung zwischenzeitlich um mehr als -30 %.
NEWS | IT-SECURITY | TIPPS
Cybercrime: Corona dient als Turbo
Schon seit Jahren ist zu beobachten, dass die Bedrohung durch Cyberkriminelle kontinuierlich zunimmt. Allein im Vorjahr wurden nach Angaben des Bundeskriminalamts (BKA) fast 110.000 Cyberattacken in Deutschland registriert. Das sind mehr als doppelt so viele virtuelle Straftaten wie noch im Jahr 2015. Das BKA hat nun jüngst im Bundeslagebild »Cybercrime 2020« die größten Gefahren bei…
NEWS | IT-SECURITY | AUSGABE 3-4-2021 | SECURITY SPEZIAL 3-4-2021
CYNET – Die weltweit erste autonome Breach-Protection-Plattform – Umfassende präventive Cybermaßnahmen
NEWS | IT-SECURITY | STRATEGIEN
Malware-as-a-Service: Cybersecurity-Profis gegen APT-Unternehmer
Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR). In den letzten Jahren hat sich die Cyberkriminalität weiter organisiert und orientiert sich dabei…
NEWS | IT-SECURITY | KÜNSTLICHE INTELLIGENZ
Data Science für die IT-Sicherheit: KI-Human-Teams können Cyberangreifer stoppen
Trotz der erstaunlichen Fortschritte bei der Leistung der künstlichen Intelligenz in den letzten Jahren ist keine KI perfekt. Tatsächlich wird die Unvollkommenheit einer KI in der Regel durch die Messung der Genauigkeit des Modells an einem Testdatensatz deutlich gemacht. Perfekte Ergebnisse werden weder erwartet noch sind sie üblich. Christopher Thissen, Data Scientist bei Vectra…
NEWS | CLOUD COMPUTING | IT-SECURITY
Die Cloud als Chance für Cybersicherheit – fünf Gründe für Managed Security aus der Cloud
Konventionelle Sicherheitslösungen wurden nicht mit Blick auf die Cloud entwickelt, was Herausforderungen durch Komplexität, Verwaltungsaufwand und unvollständigem Schutz schafft. Dies ist nach Meinung von Palo Alto Networks nun aber geboten, denn: In der vernetzten Welt, in der sowohl Benutzer als auch Daten überall sind, muss auch Cybersicherheit überall verfügbar sein. Um dies zu erreichen, muss…
NEWS | DIGITALE TRANSFORMATION | IT-SECURITY
Digitale Transformation und Cyberresilienz im Unternehmen: Wo stehen wir?
Die digitale Transformation, die mittlerweile als unerlässlich für die Gewährleistung von Geschäftskontinuität, Wettbewerbsfähigkeit und Unternehmenswachstum gilt, ist seit mehreren Jahren ein Schwerpunkt für Unternehmen. Infolgedessen könnte man annehmen, dass diese Entwicklung der Organisationen und ihrer Arbeitsweise heute im gesamten wirtschaftlichen und institutionellen Gefüge, unabhängig vom Land, weit verbreitet ist. Aber ist dies wirklich der Fall?…