Schlagwortarchiv für: Cyber-Bedrohungen

Cybersicherheit nach NIS2: Umfassende Handlungsstrategien für betroffene Unternehmen

Mit dem Inkrafttreten der NIS2-Richtlinie im Oktober 2024 stehen Unternehmen vor der Herausforderung, ihre Cybersicherheitsmaßnahmen zu verstärken. Die Richtlinie verpflichtet zu umfassenden Sicherheitsvorkehrungen und Meldepflichten, um sensible Daten vor Cyberangriffen zu schützen. Im Folgenden zeigen wir detaillierte Handlungsmaßnahmen auf, die Unternehmen ergreifen können, um den Anforderungen der NIS2-Richtlinie gerecht zu werden und ihre Cybersicherheit zu verbessern.

1. Umfassende Risikoanalyse und Identifikation kritischer Bereiche:

Eine eingehende Risikoanalyse ist der Schlüssel zur Identifizierung potenzieller Schwachstellen. Unternehmen sollten nicht nur ihre IT-Infrastruktur, sondern auch ihre OT-Bereiche sorgfältig überprüfen. Dies umfasst die Identifizierung von kritischen Assets, bestehenden Sicherheitslücken und potenziellen Angriffspunkten.

2. Investition in technologische Sicherheitslösungen:

Die Implementierung moderner Sicherheitstechnologien ist entscheidend. Unternehmen sollten in fortschrittliche Firewall-Systeme, Intrusion Detection und Prevention Systems (IDPS) sowie Verschlüsselungstechnologien investieren. Regelmäßige Software-Updates und Patch-Management sind unerlässlich, um aktuelle Sicherheitslücken zu schließen.

3. Mitarbeiterschulungen und Sensibilisierung:

Die menschliche Komponente ist oft eine Schwachstelle in der Cybersicherheit. Schulungen für Mitarbeiter sind jedoch leicht umsetzbar und tragen maßgeblich dazu bei, das Bewusstsein für Cyberrisiken zu schärfen. Schulungen sollten nicht nur Best Practices für den Umgang mit sensiblen Daten, sondern auch für die Identifizierung von Phishing-Angriffen und verdächtigen Aktivitäten umfassen.

4. Strikte Einhaltung von Meldepflichten:

Die NIS2-Richtlinie legt klare Meldepflichten fest. Unternehmen müssen sicherstellen, dass sie effektive Incident-Response-Teams haben, die im Falle eines Angriffs sofort handeln können. Klare Kommunikationswege und vordefinierte Prozesse sind entscheidend, um die vorgeschriebenen Meldepflichten zeitnah zu erfüllen.

5. Optimierung der OT-Sicherheit:

Besonders für Unternehmen mit Operational Technology (OT) ist eine verstärkte Sicherheit von großer Bedeutung. Die Segmentierung von Netzwerken, die Implementierung von Sicherheitsrichtlinien und die Kontrolle des Datenverkehrs in OT-Bereichen sind umsetzbare Maßnahmen. Hierbei spielt auch die Priorisierung von Maßnahmen gegen USB-basierte Bedrohungen eine entscheidende Rolle. In diesem Kontext ist die Verwendung spezieller Sicherheitslösungen ratsam, die autorisierte USB-Sticks identifizieren, die automatische Ausführung von Skripten unterbinden und vorhandene Schadprogramme auf USB-Sticks oder Maschinen automatisch entfernen. Damit wird nicht nur die allgemeine OT-Sicherheit gestärkt, sondern auch gezielt auf eine der potenziellen Schwachstellen eingegangen.

6. Integration von Cybersecurity as a Service:

Die Herausforderung, qualifiziertes Sicherheitspersonal zu finden, kann durch den Einsatz von Cybersecurity as a Service überwunden werden. MDR (Managed Detection and Response)-Services bieten eine 24/7-Abdeckung durch ein Team von Sicherheitsexperten, um auf Angriffe effektiv zu reagieren. Die Zusammenarbeit mit externen Dienstleistern kann eine kosteneffiziente Lösung für den Fachkräftemangel darstellen.

7. Regelmäßige Überprüfung und Aktualisierung von Sicherheitsrichtlinien:

Cybersicherheitsrichtlinien sollten dynamisch sein und regelmäßig überprüft werden. Unternehmen sollten ihre Sicherheitsrichtlinien an aktuelle Bedrohungen anpassen und sicherstellen, dass sie den Anforderungen der NIS2-Richtlinie entsprechen. Regelmäßige Audits sind notwendig, um die Einhaltung sicherzustellen.

8. Zusammenarbeit mit externen Experten:

Die Kooperation mit externen Unternehmen, wie den Cybersicherheitsexperten von iAP, bietet wertvolle Unterstützung. Durch unsere Beratung unterstützen wir Sie bei der Implementierung von Best Practices, führen Risikoanalysen durch und stellen sicher, dass ihre Sicherheitsmaßnahmen den neuesten Standards entsprechen.

Fazit:

Die NIS2-Richtlinie stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Die proaktive Umsetzung leicht umsetzbarer Handlungsmaßnahmen ist entscheidend, um nicht nur die Einhaltung der Richtlinie sicherzustellen, sondern auch die Gesamtcybersicherheit zu verbessern. Der Schutz vor finanziellen Strafen und die Minimierung potenzieller geschäftlicher Auswirkungen von Cyberangriffen sind essenzielle Ziele.

In diesem Kontext sollten Unternehmen zusätzliche Maßnahmen ergreifen. Dazu gehören kontinuierliche Schulungen, um das Bewusstsein für Cybersicherheit zu fördern. Das Incident-Response-Team sollte regelmäßig geschult und durch Cyberangriffssimulationen auf dem neuesten Stand gehalten werden. Die Evaluierung neuer Technologien wie KI und maschinelles Lernen ist entscheidend für eine verbesserte Cyberabwehr.

Transparenz in der Kommunikation, regelmäßige externe Audits zur Überprüfung von Sicherheitsstandards und die Einführung einer Cybersecurity-Kultur tragen ebenfalls zur Stärkung der Cybersicherheit bei.

Die NIS2-Richtlinie bietet eine Chance zur umfassenden Stärkung der Cybersicherheit. Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen nicht nur gesetzlichen Anforderungen gerecht werden, sondern auch eine robuste Cybersicherheitsstrategie etablieren.

Foto: istockphoto/mixmagic

15.02.2024/von Thomas Pfuetzenreuter

Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand

Aktuelles

Die stetig wachsende Bedrohung durch Cyberangriffe erfordert eine gezielte und gut durchdachte Herangehensweise an die Informationssicherheit in Unternehmen. In diesem Kontext stehen Organisationen und Geschäftsführer vor folgenden wichtigen Fragen:

Ist unsere Organisation hinreichend gegen die zunehmende Bedrohung von Cyberangriffen abgesichert?

Angesichts der sich ständig weiterentwickelnden Angriffsmethoden müssen Unternehmen sicherstellen, dass sie über wirksame Abwehrmaßnahmen und Sicherheitsvorkehrungen verfügen, um sich vor Cyberangriffen zu schützen.
Sind uns unbekannte Schwachstellen in unserer IT-Infrastruktur bewusst, die unsere Geschäftsprozesse gefährden könnten oder ein erhebliches Risiko für unser Unternehmen darstellen?

Oftmals sind Unternehmen sich nicht bewusst, dass ihre IT-Systeme Schwachstellen aufweisen, die von Angreifern ausgenutzt werden könnten. Identifikation und Behebung dieser Schwachstellen sind entscheidend.
Wie können wir die Informationssicherheit in unserer Organisation auf den aktuellen Stand der Technik bringen, ohne zusätzliche Kosten zu verursachen?

Die Aktualisierung und Verbesserung der Informationssicherheit erfordert Ressourcen, aber Unternehmen sind bestrebt, dies kosteneffizient zu tun, um ihr Budget nicht zu überdehnen.

Herausforderungen für KMU und mittelständische Unternehmen (KMU)

Kleinere und mittelständische Unternehmen stehen bei der Informationssicherheit oft vor besonderen Herausforderungen. Diese Unternehmen haben in der Regel nicht die personellen Kapazitäten, um die erforderlichen Sicherheitsmaßnahmen intern durchzuführen, und verfügen möglicherweise nicht über die notwendige Expertise im Bereich IT-Sicherheit. Darüber hinaus sind ihre Budgets häufig begrenzt.

Die Lösung: Security Operation Center (SOC) und Cyber Defense Center (CDC)

Ein erfolgversprechender Lösungsansatz besteht in der Auslagerung von Aufgaben im Bereich Informationssicherheit an spezialisierte externe Dienstleister. Hier kommen Security Operation Center (SOC) und Cyber Defense Center (CDC) ins Spiel.

Ein SOC/CDC ist ein auf Informationssicherheit spezialisierter Dienstleister, der in die IT-Infrastruktur des Unternehmens integriert ist und eine Art Sicherheitsleitstelle darstellt. Es bietet eine breite Palette von Sicherheitsdiensten, die normalerweise von der internen IT-Abteilung wahrgenommen würden:

Überwachung der IT-Sicherheit: Ein SOC/CDC überwacht kontinuierlich die IT-Infrastruktur des Unternehmens auf Anzeichen von Bedrohungen.
Proaktive Bedrohungsbewertung durch Threat Intelligence: Mithilfe von Bedrohungsdaten und -analysen bewertet ein SOC/CDC proaktiv potenzielle Risiken.
Identifizierung und Beseitigung von Schwachstellen: Schwachstellen in IT-Systemen und -Prozessen werden identifiziert und behoben.
Erkennung und Meldung von Cyberangriffen: Ein SOC/CDC erkennt und meldet Cyberangriffe und unterstützt bei der Einleitung von Gegenmaßnahmen.
Abwehrmaßnahmen und Schadensbegrenzung: Im Falle eines Angriffs werden sofortige Abwehrmaßnahmen ergriffen, um den Schaden zu minimieren.
Kundenspezifische Unterstützung und Sicherheitsberichterstattung: Der Dienstleister bietet maßgeschneiderte Unterstützung und erstellt Sicherheitsberichte für das Unternehmen.

In einem SOC/CDC arbeiten rund um die Uhr hochspezialisierte Cybersecurity-Experten, darunter Security-Architekten, Analysten und Forensiker. Diese Experten überwachen in Echtzeit sicherheitsrelevante Informationen und reagieren unverzüglich auf Anomalien. Die Arbeitsweise zeichnet sich durch den Einsatz von optimierten Tools, eine hohe Automatisierung der Analysen und eine effiziente Teamstruktur aus.

Maßgeschneiderte Sicherheitslösungen

Je nach den spezifischen Anforderungen eines Unternehmens können verschiedene Service-Modelle für die Zusammenarbeit mit einem SOC/CDC definiert werden. Dies ermöglicht eine flexible Auslagerung von Sicherheitsaufgaben, die auf die individuellen Anforderungen des Unternehmens zugeschnitten sind. Die Vorteile der Nutzung eines SOC/CDC liegen auf der Hand:

Schnelle und effektive Reaktion: Automatisierung und Fachexperten ermöglichen eine schnelle Reaktion auf Bedrohungen.
Schutz vor aktuellen Bedrohungen: Durch den Zugang zu Threat Intelligence sind Unternehmen immer auf dem neuesten Stand.
Kontinuierliche Dokumentation und Nachverfolgbarkeit: Alle Sicherheitsmaßnahmen und Ereignisse werden dokumentiert und können nachverfolgt werden.
Kein Aufbau interner IT-Sicherheitskapazitäten erforderlich: Die Auslagerung an einen SOC/CDC eliminiert den Bedarf an zusätzlichen internen Ressourcen.
Ganzheitliche Sicherheitslösungen: Ein SOC/CDC kann maßgeschneiderte Sicherheitslösungen anbieten, die auf die spezifischen Anforderungen eines Unternehmens zugeschnitten sind.
Nachweis der Einhaltung gesetzlicher Vorgaben und Compliance: Die Zusammenarbeit mit einem SOC/CDC stellt sicher, dass alle gesetzlichen Anforderungen und Compliance-Vorschriften erfüllt sind.

Eine optimale Lösung für KMU und mittelständische Unternehmen (KMU)

Die Auslagerung von IT-Sicherheitsaufgaben an einen externen Dienstleister bietet kleinen Unternehmen und KMU die Möglichkeit, ein hohes Sicherheitsniveau auf dem aktuellen Stand der Technik zu erreichen, ohne zusätzliches Personal oder Expertise intern aufbauen zu müssen. Dies ermöglicht diesen Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren, während ihre IT-Sicherheit in den kompetenten Händen eines SOC/CDC liegt.

14.04.2022/von Burghard Denz

Der 2020 Global Threat Report von CrowdStrike – frisch im Juli erschienen

Aktuelles

Wichtige Trends und Erkenntnisse zu Cyber-Bedrohungen auch für Ihr Unternehmen

Der renommierte amerikanische IT-Security-Spezialist CrowdStrike hat in seinem jüngst im Juli veröffentlichen jährlichen Bedrohungsreport die internationale Bedrohungslage und die aktuell erkennbaren Trends bei den Cyber-Angriffsmethoden, sowie Zielstellungen der unterschiedlich motivierten Angreifer-Gruppen für das abgelaufene Jahr 2019 analysiert. Daraus hat CrowdStrike aktuelle Schutz-Empfehlungen insbesondere auch für Wirtschaftsunternehmen abgeleitet. Wir haben den Bericht ins Deutsche übersetzt und wichtige ausgewählte Infos und Trends für Sie aufbereitet.

Nicht neu ist zunächst die Erkenntnis, dass es auch weiterhin im Prinzip jedes Unternehmen treffen kann, und durch Nachlässigkeit bei den Schutzvorkehrungen ein kaum abschätzbarer wirtschaftlicher Schaden für das betroffene Unternehmen daraus erwachsen kann.

Aktuelle Cyber-Bedrohungsaktivitäten

So wurde beobachtet, dass 2019 das Ausmaß der gezielten und kriminell motivierten Cyber-Erpressungsangriffe insbesondere bei Wirtschaftsunternehmen mittels Ransomware regelrecht eskalierte. Sowohl die Anzahl der Erpressungsszenarien (kurz BGH = „Big Game Hunting“), als auch die Höhe der Lösegeldforderungen durch kriminelle Hackergruppen stiegen weltweit an.

Dabei versorgten die einschlägigen im Untergrund kommerziell tätigen ‘Ransom-as-a–Service-Entwickler‘ (RaaS), auch „eCrime-Enabler“ genannt, die aktiven Cyber-Erpresser-Gruppen mit immer raffinierterer Ransomware und konnten so ihrerseits ihr Geschäft weiter ausbauen. Entwickler von Malware-as-a–Service (MaaS) führten Ransomware-Module nach dem Baukastenprinzip ein, was die Handhabbarkeit erleichtert, um so auch den Markt weniger anspruchsvoller Cyber-Krimineller zu bedienen. Monetarisiert wird das operative Geschäft sowohl durch Verkauf, als auch durch Vermietung dieser „Werkzeuge“ an e-Kriminelle. Bankentrojaner wurden zweckentfremdet und nun verstärkt für DaaS-Operationen (Download-as-a–Service) wiederverwendet, was die Verbreitung von Malware an Dritte unterstützte, und einen enormen Welleneffekt in der gezielten Anwendung von Ransomware (BGH-Erpressungs-Kampagnen) im kriminellen Ökosystem bewirkte. Bei den Malware-Enablern werden Betreiber von Spambots, Download-Diensten sowie Entwickler von kriminellen „Loadern“ unterschieden.

Es ist weiterhin zu beobachten, dass die RaaS- sowie MaaS-Entwickler als Enabler ihre Malware-Produkte im Trend zunehmend durch die gezielte Auswahl ihrer Kundenpartner liefern, um ihr Risiko bei der Geschäftsanbahnung bzw. Rückverfolgung zu minimieren.

Staatlich gesteuerte und geförderte Cyber-Angriffe mit der Absicht der gezielten Wirtschafts-/Industrie-Spionage liegen weiterhin stark im Trend und in der Expansion, und erhöht so die Gefahr des Diebstahls von geistigem Eigentum insbesondere in den Sektoren Gesundheitswesen, Automobilbau, Rüstung, Finanzen, aber auch bei Regierungsorganisationen. China, Russland, Iran und Nordkorea sind hier sehr aktiv.

Der Anteil der leichter bekämpfbaren Malware-Angriffe sank von 60% auf 49% (von 2018 auf 2019), während die schwieriger erkennbaren und damit gefährlicheren Malware-freien Intrusions-Angriffe im gleichen Zeitraum von 40% auf 51% anwuchsen. Nach Regionen betrachtet sind Unternehmen und Institutionen in Nord-Amerika am stärksten gefährdet, gefolgt von Europa und Naher Osten.

Als den wichtigsten Schutzparameter in der Cyberabwehr nennt CrowdStrike die Ausbruchszeit (breakout time), welche den Zeitraum vom Zeitpunkt des Eindringens des Bedrohungsakteurs in eine Netzwerkumgebung misst, bis zu dem Zeitpunkt, wo er sein eigentliches Angriffsziel erreicht bzw. seine Schadhandlung (mittels eingeschleuster Malware) unwiderruflich eingeleitet/umgesetzt hat. Eingerechnet ist somit auch die erforderliche Zeit des Angreifers für „lateral movement“ (verdecktes/unerkanntes, schrittweises Vordringen und Auskundschaften innerhalb des intrudierten Systems). Die Zielsetzungen reichen hierbei von Sabotage-Attacken zur unwiederbringlichen Zerstörung von Daten (unter Verwendung von Wiper-Malware), über gewollte Systemausfälle (z.B. auch durch DDoS-Attacken) zur Herbeiführung von Komplett-Abstürzen z.B. von Unternehmens-Websites bzw. Online-Diensten, bis hin zu gezielter Totalausfall-Sabotage von kritischen Infrastrukturen (wie z.B. Energie-/Wasserversorgung, Telekommunikation). Gerade auch das erfolgreiche und unerkannte Ausschleusen von sensiblen Datenbeständen durch eine zuvor programmierte Backdoor im intrudierten System (d.h. nach Herstellung von Persistenz), ist ein leider weiterhin sehr reales Bedrohungsszenario.

Daher die klare Botschaft: CrowdStrike ermahnt geradezu jedes Unternehmen, sich in der Cyberabwehr systemisch und organisatorisch so aufzustellen, dass dieses in Stunden gemessene „Breakout-Zeitfenster“ nach den Anforderungen der 1-10-60-Regel geschützt bzw. Angriffsaktivitäten rechtzeitig abgeblockt werden können.

Dies heißt konkret: Erkennen von Bedrohungen innerhalb der ersten Minute, Verstehen der Bedrohungen innerhalb von 10 Minuten und Reaktion innerhalb von 60 Minuten.

Während sich die Ausbruchszeiten bei den eCrime-Intrusionen im Durchschnitt von 4,5h auf 9h erhöhten, sind die Ausbruchszeiten der weitaus gefährlicheren geheimdienstlich bzw. im Staatsauftrag agierenden Angreifer unverändert kurz. Daher ist eine schnelle Reaktionszeit in der Abwehr weiterhin essentiell.

Weitere Trends und TTPs des Jahres 2019 – Ein Auszug

Eine bemerkenswerte Änderung bei den Angriffs-TTPs (Taktiken, Techniken, Prozeduren) für 2019 ist der deutliche Anstieg von „Maskerading“, was sich durch die zunehmende Verwendung des EternalBlue-Exploit erklären lässt. Als Exploit bezeichnet man ein von Hackern genutztes Werkzeug und damit „Schadprogramm“, welches die Sicherheitslücke (Exploit-Gap) in einem Computersystem ausnutzt, um dort einzudringen. Von Maskerading wird gesprochen, wenn der Name oder Ort einer ausführbaren Datei böswillig manipuliert wird, um die Verteidigung zu unterlaufen.

Auch konnte beobachtet werden, dass bereits bekannte, voneinander unabhängige eCrime-Programme so raffiniert weiterentwickelt und miteinander kombiniert wurden, dass daraus unauffällige Programmstrukturen entstanden, die zunächst nicht detektiert werden konnten. Dies zeigt, dass eCrime-Gruppen voneinander lernen und sich durchaus gegenseitig inspirieren.

CrowdStrike verzeichnete einen allgemeinen Anstieg der e-kriminellen Akteure, welche kompromittierte Websites verwenden. So wurden u.a. mehrere schädliche Phishing-Seiten identifiziert, die zur Tarnung als Zielseite von Microsoft Office 365 fungierten. Die meisten dieser Seiten wurden wahrscheinlich auf legitimen Domains gehostet und durch Sicherheitslücken in CMS-Plugins gefährdet.

Im Bereich ‘DNS Tunneling‘ ist die Verwendung des DNS-Protokolls für Befehls- und Kontrollkommunikation (C2) eine nützliche Bedrohungstaktik für den Fall, dass andere gängige Internetprotokolle deaktiviert oder in einem Unternehmensumfeld engmaschig geknüpft sind.

Immer wieder beobachtete CrowdStrike erfolgreiche Eingriffe/Intrusionen in Netzwerkumgebungen, in denen Sicherheitskontrollen/-mechanismen vorhanden waren, welche den Angriff auch erfolgreich hätten abwehren können. Dennoch waren sie vom Unternehmen unzureichend konfiguriert oder aber nicht flächendeckend im Unternehmen bereitgestellt, aktiviert bzw. ausgerollt.

Daher die klare Botschaft: Bringen Sie Ihre Schutzmechanismen vollumfänglich zur Entfaltung und nutzen Sie Ihre Möglichkeiten voll aus, welche Ihre bestehenden Sicherheits-/Kontroll-Systeme bieten.

Angreifer erlangten und benutzten vermehrt gültige Anmeldeinformationen für eine Vielzahl von Cyberangriffs-Szenarien und bestätigen den Trend zu Malware-freien Angriffstechniken. Solange Unternehmen/Organisationen weiterhin grundlegende Benutzer-IDs und Passwörter für die Zugangs-Authentifizierung benutzen und es unternehmensintern an entsprechender Sensibilisierung der eigenen Mitarbeiter hinsichtlich der vielseitigen Möglichkeiten der unbefugten Erlangung von Zugangsmöglichkeiten im Rahmen der „Social-Engineering-Techniken“ gibt, solange wird sich dieser Trend weiter fortsetzen. Phishing-mails und –Links, darunter auch Email-Thread-Hijacking sowie Tandem-Drop, sowie Manipulation von Geschäftsemails sind hier nur ein Teil des eCrime-Repertoires.

Daher die klare Botschaft: Schützen Sie die Benutzer-Identitäten in Ihrem Unternehmen, sensibilisieren Sie Ihre Mitarbeiter durch gezielte Schulungsseminare und binden Sie diese bewusst und aktiv in den Kampf ein.

Haben wir Ihr Interesse geweckt? Haben Sie weitergehende Fragen oder Sorgen? Zögern Sie nicht und nehmen Sie einfach mit uns Kontakt auf. Wir helfen Ihnen gerne und beraten Sie zielgerichtet.

26.08.2020/von Jörn-Friedrich Bederke