IT-Sicherheitsexperte überzeugt: Mit Verschlüsselung, Vorsicht und einem IT-Sicherheitskonzept lassen sich Hackerattacken verhindern

Illustration: Absmeier, Malmak

Bereits mit völlig unkomplizierten Sicherheitsmaßnahmen lassen sich Hackerangriffe auf die Unternehmensinfrastruktur vermeiden. Davon ist IT-Sicherheitsexperte Christian Heutger überzeugt: »Hundertprozentige Sicherheit wird es kaum geben. Ein IT-Sicherheitskonzept, bei dem Verantwortlichkeiten verteilt und etwaige Notfallmaßnahmen beschlossen sind, sowie ein IT-Sicherheitsbeauftragter, der einerseits diese Maßnahmen steuert und überwacht, andererseits aber auch Mitarbeiter darin schult IT-Sicherheit umfassend im Unternehmen zu leben, ist bereits die halbe Miete. Ergänzt um technische und persönliche Maßnahmen, nach denen jeder selbst stets wachsam sein sollte, lassen sich Einfallstore für Cyberangriffe schließen«, so der Geschäftsführer der PSW GROUP.

Er verweist in diesem Zusammenhang auf den Equifax-Hack, der als Datenschutz-GAU der US-Finanzwelt in die Geschichte einging: 2017 gelang es Hackern, die Daten von 143 Millionen Kunden der Wirtschaftsauskunftei aus den USA, aus Kanada und dem Vereinigten Königreich zu erbeuten, darunter Geburtsdaten, Adressen, Kreditkarten- und Sozialversicherungsnummern. »Das Einfallstor war eine Sicherheitslücke im Open-Source-Framework Apache Struts. Allerdings wäre es ein Leichtes gewesen, diesen Hack zu verhindern«, so Heutger. Denn: »Das US-CERT (Computer Emergency Readiness Team) hat das Unternehmen Tage vor dem Hack über die Sicherheitslücke informiert. An über 400 Personen und über diverse E-Mail-Verteiler wurde diese Warnung weitergeleitet. Zudem gab es die Anweisung, einen bereits verfügbaren Patch binnen 48 Stunden einzuspielen. Jedoch geschah dies nicht auf allen Systemen.« Was folgte war eine Aneinanderreihung von Versagen und Fehlverhalten Einzelner. Denn nicht genug, dass Warnungen von über 400 Personen nicht ernst genommen und ein bereitgestellter Patch nicht auf sämtlichen Systemen eingespielt wurde. Obendrein scannte das Unternehmen zwar die eigenen Systeme nach unsicheren Struts-Versionen, fand jedoch nichts. »Für Letzteres gibt es eine einfache, aber peinliche Erklärung: Durchsucht wurde lediglich das Root-Verzeichnis, nicht jedoch die Unterverzeichnisse. Eine komplexe IT-Infrastruktur wie sie ein Unternehmen wie Equifax mit mehr als 6000 Mitarbeitern hat, braucht aber eine klare Zuweisung von Verantwortlichkeiten und Zuständigkeiten. Dann wäre nicht nur so ein ›Versehen‹ vermeidbar gewesen, sondern es hätte auch eine Person gegeben, die für das Einspielen des Patches auf allen Systemen verantwortlich gewesen wäre«, so Heutger.

Von großer Bedeutung ist auch das Vorhandensein eines gültigen SSL-Zertifikats. Es ermöglicht eine sichere Übertragung der Daten zwischen dem Webbrowser und einer Website, da diese so verschlüsselt werden, dass Dritten der Zugriff verweigert wird. »Die Zertifikate von Equifax waren seit Monaten abgelaufen. Durch das Nicht-Verlängern seiner SSL-Zertifikate legte der Konzern seine eigene Intrusion Detection lahm, welche entschlüsselten Datenstrom analysiert und gegebenenfalls Alarm schlägt«, erklärt der Experte. Es gibt drei Varianten an SSL-Zertifikaten, die je nach Validierungstyp unterschiedliche Standards erfüllen: Domainvalidierte, organisationsvalidierte und erweitert validierte SSL-Zertifikate. »Bei Letzteren kommt eine striktere Authentifizierung mit dem höchsten und aktuellsten Sicherheitsstandard zum Einsatz. Diese unterscheiden sich primär durch eine grüne Adresszeile mit dem Namen des Unternehmens und der Zertifizierungsstelle. Diese Zertifikate sind geeignet für Organisation, die in einem öffentlichen Register eingetragen sind und die sensible Daten auf stark frequentierten Seite bestens absichern möchten«, macht Christian Heutger aufmerksam. Unabhängig davon, für welches Zertifikat sich ein Unternehmen entscheidet: SSL-Zertifikate sind nicht unendlich lange gültig, sie müssen nach einem festgelegten Zeitraum verlängert werden. »SSL-Zertifikate sind ein oder zwei Jahre gültig. Wer sein Zertifikat beispielsweise über uns bestellt, wird rechtzeitig über den bevorstehenden Ablauf seines Zertifikats benachrichtigt. Zudem besteht die Möglichkeit, das SSL-Zertifikat binnen weniger Minuten zu verlängern. Der Verlängerungsprozess gleicht dann dem einer Neubestellung, wobei eine erneute Identitätsprüfung des Zertifikatinhabers Pflicht ist«, informiert Heutger.

Dass Warnungen und Informationen letztendlich auch an die Ohren gelangen, für die sie bestimmt sind, setzt zwingend aktuelle Kontaktdaten voraus. Weiter ist zu beachten, dass Usernamen und Passwörter unter keinen Umständen unverschlüsselt im Netzwerkspeicher oder sonst wo abgelegt werden. Weitere Informationen unter: https://www.psw-group.de/blog/equifax-hack-haette-er-durch-vorsicht-verschluesselung-vermieden-werden-koennen/6814


 

1849 search results for „Datenschutz“

Kameradrohnen & Datenschutz: Rechtlich keineswegs harmlos

Drohnen mit Kamera erfreuen sich immer größerer Beliebtheit – privat wie beruflich. Jedoch ermöglicht die Kamera der Drohne auch das mehr oder weniger umfassende Überwachen von Mitbürgern. Im Bundesdatenschutzgesetz (BDSG) existiert im § 6b eine spezielle Regelung zum Thema Videoüberwachung. Darauf machen die IT-Sicherheitsexperten der PSW GROUP Consulting (www.psw-consulting.de) aufmerksam. Demnach ist die Beobachtung öffentlich…

Europäischer Datenschutztag 2019: Das Bewusstsein ist geschärft

Der großangelegte Doxing-Angriff auf hunderte deutsche Politiker und die Veröffentlichung sensibler personenbezogener Daten hat uns gleich zu Beginn des Jahres gezeigt, welche Macht Hacker und Cyberkriminelle heutzutage haben und wie nachlässig auch heute noch mit dem Thema Datenschutz umgegangen wird. Der Europäische Datenschutztag, der traditionell am 28. Januar, dem Jahrestag der Unterzeichnung der Europäischen Datenschutzkonvention…

DSGVO und umfassender Datenschutz – wann wird ein Schuh daraus?

Statement zum Europäischen Datenschutztag 2019.   Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender Vor einem Dreivierteljahr trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Eine wichtige Verordnung, um die Daten von Verbrauchern besser zu schützen. Man könnte annehmen, damit wähnt sich der jährlich mahnende Europäische Datenschutztag an seinem Ziel, erinnert er doch schon zum 13. Mal an das…

Datenschutzexperten sind die Ausnahmen in Unternehmen

      Nur jedes dritte Unternehmen hat eine Vollzeitstelle für Datenschutz eingeplant.       Am 28. Januar 2019 ist Europäischer Datenschutztag.       2019 wird wichtiges Jahr für den Datenschutz.   Seit Inkrafttreten der Datenschutzgrundverordnung müssen sich Unternehmen verstärkt mit neuen Regeln im Datenschutz auseinandersetzen. Häufig fehlt dafür das passende Personal. So hat derzeit fast jedes dritte Unternehmen…

Unternehmen profitieren vom Datenschutz

Geringere Verzögerungen bei Kaufentscheidungen und Prozessen. Einhaltung der DSGVO vermeidet Vorfälle. Konkrete Geschäftsvorteile durch Datenschutzinvestitionen.   Wer in die Verbesserung seiner Datenschutzprozesse investiert, profitiert von konkreten Geschäftsvorteilen. Das zeigt die Data Privacy Benchmark Study 2019 von Cisco. Die Teilnehmer berichten von geringeren Verzögerungen bei Kaufentscheidungen und Prozessen sowie weniger Vorfällen. Der mobile Video-Traffic steigt von…

7 Fragen für einen effizienten CISO: Die Datenschutzresolution 2019

Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen.…

Künstliche Intelligenz nicht zum Datenschutz-Sünder werden lassen

Daten sind die Basis für KI-Anwendungen (künstliche Intelligenz). Daher ist die Frage nach dem korrekten Umgang mit Daten eine sehr entscheidende. Geht hier etwas schief oder werden Daten für mehr genutzt, als der Anwender vielleicht annimmt, hat das schnell weitreichende Folgen. Hier nur einige Beispiele: Redakteure der Zeitschrift c‘t berichteten, dass ein Kunde bei der…

Brexit: Enorm hoher Aufwand beim Datenschutz

Jedes 7. Unternehmen lässt personenbezogene Daten in Großbritannien verarbeiten. Ohne Brexit-Abkommen dürfen viele Daten nicht mehr ins Vereinigte Königreich kommuniziert werden.   Der geplante EU-Austritt der britischen Regierung wird erhebliche Auswirkungen auf den Datenverkehr in Europa haben. Darauf weist der Digitalverband Bitkom beim Brexit-Deal hin. »Durch den Brexit müssen zahlreiche Unternehmen ihre Geschäftsprozesse anpassen. Das…

Studie: US-Bürger wollen auch mehr Datenschutz

Die DSGVO lässt in den USA die Sensibilität der Verbraucher hinsichtlich der Verwendung ihrer Daten wachsen. Gesundheitswesen und Banken genießen das größte Vertrauen, Social Media das geringste. Nicht nur EU-Bürger werden im Zuge der EU-Datenschutzgrundverordnung (DSGVO) sensibler, was die Nutzung ihrer persönlichen Daten angeht. Auch knapp drei Viertel der US-Verbraucher haben diesbezüglich zunehmend Bedenken. Das…

2019: Warum der europäische Datenschutz zum Exportschlager werden könnte

Aus astrologischer Sicht steht das Jahr 2019 ganz im Zeichen des Planeten Merkur, aus politischer Sicht werden Themen wie der Brexit die Agenda bestimmen. Und in der IT? Schon alleine wegen der Europäischen Datenschutzgrundverordnung war 2018 ein bedeutendes Jahr. Im Zusammenhang damit wird 2019 von einigen Geldbußen die Rede sein. Vor dem Hintergrund der in…

Datenschutz: Vertrauen in Datensicherheit wächst

Trotz Datenskandalen steigt das Vertrauen der deutschen Internetnutzer in die Datensicherheit kontinuierlich an. Zwar glaubt laut Bitkom-Umfrage noch immer nur etwa jeder Vierte, dass seine persönlichen Daten im Netz im Allgemeinen (sehr) sicher sind, im Gegensatz zum Jahr 2014 ist das aber ein Anstieg um zehn Prozentpunkte, wie die Grafik von Statista zeigt. Besonders vertrauenswürdig…

Europäischer Datenschutz vs. US-Amerikanisches Datensammeln – Steht unser Datenschutz auf dem Spiel?

Der CLOUD Act erlaubt es US-Behörden, auf personenbezogene Daten im Ausland zuzugreifen, ohne diese Personen zu informieren. Der »Clarifying Lawful Overseas Use of Data Act« setzt damit die Errungenschaften der DSVGO völlig außer Kraft.

 

 

 

Weitere Artikel zu