Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Hacker

Bereits mit völlig unkomplizierten Sicherheitsmaßnahmen lassen sich Hacker-Angriffe auf die Unternehmens-Infrastruktur vermeiden.

Davon ist Christian Heutger, Geschäftsführer der PSW Group, überzeugt: „Hundertprozentige Sicherheit wird es kaum geben. Ein IT-Sicherheitskonzept, bei dem Verantwortlichkeiten verteilt und etwaige Notfall-Maßnahmen beschlossen sind, sowie ein IT-Sicherheitsbeauftragter, der einerseits diese Maßnahmen steuert und überwacht, andererseits aber auch Mitarbeiter darin schult IT-Sicherheit umfassend im Unternehmen zu leben, ist bereits die halbe Miete. Ergänzt um technische und persönliche Maßnahmen, nach denen jeder selbst stets wachsam sein sollte, lassen sich Einfallstore für Cyberangriffe schließen."

Er verweist in diesem Zusammenhang auf den Equifax-Hack, der als Datenschutz-GAU der US-Finanzwelt in die Geschichte einging: 2017 gelang es Hackern, die Daten von 143 Millionen Kunden der Wirtschaftsauskunftei aus den USA, aus Kanada und dem Vereinigten Königreich zu erbeuten, darunter Geburtsdaten, Adressen, Kreditkarten- und Sozialversicherungsnummern.

„Das Einfallstor war eine Sicherheitslücke im Open-Source-Framework Apache Struts. Allerdings wäre es ein Leichtes gewesen, diesen Hack zu verhindern“, so Heutger. Denn: „Das US-CERT (Computer Emergency Readiness Team) hat das Unternehmen Tage vor dem Hack über die Sicherheitslücke informiert. An über 400 Personen und über diverse E-Mail-Verteiler wurde diese Warnung weitergeleitet. Zudem gab es die Anweisung, einen bereits verfügbaren Patch binnen 48 Stunden einzuspielen. Jedoch geschah dies nicht auf allen Systemen.“

Was folgte war eine Aneinanderreihung von Versagen und Fehlverhalten Einzelner. Denn nicht genug, dass Warnungen von über 400 Personen nicht ernst genommen und ein bereitgestellter Patch nicht auf sämtlichen Systemen eingespielt wurde. Obendrein scannte das Unternehmen zwar die eigenen Systeme nach unsicheren Struts-Versionen, fand jedoch nichts. „Für Letzteres gibt es eine einfache Erklärung: Durchsucht wurde lediglich das Root-Verzeichnis, nicht jedoch die Unterverzeichnisse. Eine komplexe IT-Infrastruktur wie sie ein Unternehmen wie Equifax mit mehr als 6000 Mitarbeitern hat, braucht aber eine klare Zuweisung von Verantwortlichkeiten und Zuständigkeiten. Dann wäre nicht nur so ein `Versehen´ vermeidbar gewesen, sondern es hätte auch eine Person gegeben, die für das Einspielen des Patches auf allen Systemen verantwortlich gewesen wäre“, so Heutger. 

Von großer Bedeutung ist auch das Vorhandensein eines gültigen SSL-Zertifikats. Es ermöglicht eine sichere Übertragung der Daten zwischen dem Webbrowser und einer Website, da diese so verschlüsselt werden, dass Dritten der Zugriff verweigert wird. „Die Zertifikate von Equifax waren seit Monaten abgelaufen. Durch das Nicht-Verlängern seiner SSL-Zertifikate legte der Konzern seine eigene Intrusion Detection lahm, welche entschlüsselten Datenstrom analysiert und gegebenenfalls Alarm schlägt“, erklärt der Experte.

Es gibt drei Varianten an SSL-Zertifikaten, die je nach Validierungstyp unterschiedliche Standards erfüllen: Domainvalidierte, Organisationsvalidierte und Erweitert validierte SSL-Zertifikate. „Bei Letzteren kommt eine striktere Authentifizierung mit dem höchsten und aktuellsten Sicherheitsstandard zum Einsatz. Diese unterscheiden sich primär durch eine grüne Adresszeile mit dem Namen des Unternehmens und der Zertifizierungsstelle. Diese Zertifikate sind geeignet für Organisation, die in einem öffentlichen Register eingetragen sind und die sensible Daten auf stark frequentierten Seite bestens absichern möchten“, macht Christian Heutger aufmerksam.

Unabhängig davon, für welches Zertifikat sich ein Unternehmen entscheidet: SSL-Zertifikate sind nicht unendlich lange gültig, sie müssen nach einem festgelegten Zeitraum verlängert werden. 

Dass Warnungen und Informationen letztendlich auch an die Ohren gelangen, für die sie bestimmt sind, setzt zwingend aktuelle Kontaktdaten voraus. Weiter ist zu beachten, dass Usernamen und Passwörter unter keinen Umständen unverschlüsselt im Netzwerkspeicher oder sonst wo abgelegt werden. 

www.psw-group.de

 

GRID LIST
Hacker Bitcoin

Gefälschte Apps für Kryptowährungen in Google Play

Die Kryptowährung Bitcoin hat derzeit ihren höchsten Stand seit September 2018 erreicht.…
Whatsapp Hacker

Woran uns der Whatsapp-Hack erinnert

Nur selten bekommt der gemeine Nutzer oder die Öffentlichkeit mit, wenn ein raffinierter…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

Phishing-Attacken bei WordPress & eBay

Derzeit finden wieder besonders perfide Phishing-Attacken statt – im Visier von…
WannaCry

Aktuelle Sicherheitslücke bei Microsoft - Ein WannaCry Deja-vu?

Die Sicherheitslücke, die Microsoft am Dienstag bekannt gegeben hat, ist groß.…
Apple-Geräte

Apple-Geräte erlauben Datenklau und stürzen ab

Ein internationales Forscherteam unter Beteiligung der TU Darmstadt hat Sicherheits- und…
Hacker

Plead Malware attackiert Asus Cloud-Speicherdienst

ESET-Forscher haben eine neue Form des Schadprogramms Plead entdeckt. Dieser manipuliert…