HZ216997 · ISSN 1868-5757 · www.itsicherheit-online.com Februar/März 1/2024 Datensicherheit und KI: Ist Ihr Unternehmen bereit Ist Ihr Unternehmen bereit für Microsoft Copilot? für Microsoft Copilot? Wie Low-Code nicht zu Low-Security wird Sichere Softwareentwicklung mit Low-Code Blind-Spot-Analyse mit der MITRE ATT&CK Matrix Strukturierter Ansatz zur Sicherung der Infrastruktur EU AI Act Die neue KI-Verordnung und ihre Auswirkungen auf die IT-Sicherheit

Liebe Leserinnen, liebe Leser, Microsoft bewirbt seinen Copilot mit dem Slogan „Der KI-Begleiter in Beruf und Alltag“. Dabei sieht das Unternehmen Copilot nicht als „Ersatz für den Menschen, sondern [als einen] Assistenten, der uns unterstützt, inspiriert und befähigt“. Im Gegensatz zu anderen ­KI-Tools­wie­ChatGPT­ist­der­Copilot­jedoch­nahtlos­in­Word,­Outlook,­Teams­&­Co.­integriert­ und kann so auf alle Daten zugreifen, auf die auch der jeweilige Mitarbeiter Zugriff hat. Auf diese Weise bietet die künstliche Intelligenz (KI) von Microsoft einen Mehrwert für den Business-Anwender: Sie stellt automatisch Dokumente zusammen, erstellt Formeln oder schreibt Texte – und bezieht dabei vorhandene (Unternehmens-)Informationen – aus zum Beispiel E-Mails, Kontakten und Notizen – mit ein. Doch es gibt auch eine Kehrseite, wie unser Autor Brain Vecci in seinem Beitrag ab Seite 22 erläutert. So verwendet Copilot beste- hende Benutzerrechte, um zu bestimmen, auf welche Daten eine Person zugreifen kann. Er hinterfragt dabei nicht, ob der jeweilige Mitarbeiter die ausgegebenen Informationen auch tatsächlich erhalten sollte. Es ist also höchste Zeit, sich mit dem Thema Datensicherheit im Zusammenhang mit künstlicher Intelligenz zu beschäftigen. Die EU hat dies bereits getan und den AI Act auf den Weg gebracht. Das übergeordnete Ziel der europäischen KI-Strategie besteht darin, „die EU zu einem weltweit führenden Stand- ort für KI zu machen und sicherzustellen, dass KI menschlich und vertrauenswürdig ist“. KI-Systeme spielen bereits in vielen – mitunter sensiblen – Bereichen eine zentrale Rolle und sind daher beliebte Ziele für Cyberangriffe. Mit der KI-Verordnung soll nun ein EU-weit geltender Rechtsrahmen für die Entwicklung und Nutzung künstlicher Intelligenz geschaf- fen werden. Die Verordnung hat auch Auswirkungen auf die IT-Sicher heitsanforderungen an KI. Welche das sind, beschreiben unsere Autoren ab Seite 46. Gartner prognostiziert, dass in naher Zukunft 70 Prozent aller neuen Anwendungen mit Low-Code entwickelt werden. Low-Code ist eine Softwareentwicklungsmethode, die da- rauf abzielt, den Aufwand zu reduzieren und die Anwendungsentwicklung für Personen ohne große Programmiererfahrung zugänglicher zu machen. Die Idee dahinter ist, die Produkteinführungszeit in der Softwareentwicklung zu verkürzen, indem Low-Code-Pro- grammierer auf vorgefertigte Module, Vorlagen und visuelle Werkzeuge zugreifen können. Diese Elemente ermöglichen die Erstellung von Anwendungen durch das Zusammenfügen von­Bausteinen­oder­das­Definieren­von­Arbeitsabläufen,­ohne­dass­jeder­Aspekt­der­An- wendung von Grund auf neu programmiert werden muss. Aber wie stellen Unternehmen dabei­sicher,­dass­Low-Code­nicht­zu­Low-Security­wird?­Die­Antwort­darauf­finden­Sie­ auf Seite 16. Viel Spaß bei der Lektüre wünscht Ihnen Sebastian Frank EDITORIAL twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter IT-SICHERHEIT_1/2024 3

INHALTSVERZEICHNIS NICHT ZU LOW­SECURITY WIRD16 WIE LOW­CODE BLIND­SPOT­ANALYSE MIT DER MITRE ATT&CK MATRIX 40 46 EU AI ACT 40 Blind-Spot-Analyse mithilfe RECHT der MITRE ATT&CK Matrix und XDR HERAUSFORDERUNGEN BEI DER STRUKTURIERUNG SICHERHEITSRELEVANTER LOGS IM SIEM 46 Die neue KI-Verordnung und ihre Auswirkungen auf die IT-Sicherheit DAS KOMMENDE KI­GESETZ IM FOKUS BUCHBESPRECHUNG AUS DER FORSCHUNG 44 DATENSCHUTZRECHT Ein Kommentar für Studium und Praxis 44 PRAXIS KOMMENTAR ZU DEN SCC 2021 EU Standardver tragsklauseln für die Übermittlung personenbezogener Daten an Drittländer 45 DSGVO, BDSG, TTDSG Kommentar 52 Wie Unternehmen die Angriffsflächen reduzieren können MAßNAHMEN ZUR VERMEIDUNG VON ÜBERBERECHTIGUNGEN SERVICE 58 VORSCHAU: Ausblick auf Ausgabe 2 | 2024 58 Impressum IT-SICHERHEIT_1/2024 5

und­BWI­die­Möglichkeiten­der­Quantentechnologien­unter­anderem­im­ Bereich­der­Kryptografie.­Jetzt­ist­die­erste­Lösung­in­der­Praxis­ange- kommen: Das neue Backbone des Weitverkehrsnetzes der Bundeswehr verfügt­nun­über­eine­Verschlüsselung,­die­auch­künftigen­Quantencom- putern standhalten würde. Rund 800 Liegenschaften der Bundeswehr sind an das Glasfaserkernnetz angeschlossen. Um die übertragenen Daten heute und künftig opti- mal zu schützen, setzt die BWI im Backbone nun eine quantensichere Verschlüsselungstechnologie ein. Diese „Post-quantum cryptography“, kurz­PQC,­wird­standardmäßig­verwendet­und­kann­nicht­ausgeschal- tet werden. Zugelassen ist die Lösung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bis zur Übertragung von Informationen der Schutzklasse „Verschlusssachen – nur für den Dienstgebrauch“ (VS-NfD). Und auch sonst hat die BWI nach eigenen Angaben am Schutzniveau des Kernnetzes gearbeitet: Mit einem Fasermonitoringsystem kann sie die gesamte Glasfaserinfrastruktur automatisiert überwachen. Das heißt konkret: Faserbrüche oder andere Störungen erkennen, lokalisieren und melden. Neben mehr Sicherheit ermöglicht das System unter anderem eine­effizientere­Entstörung. n HID KAUFT ZEROSSL HID gibt die Übernahme von ZeroSSL bekannt, einem in Österreich an- sässigen­Anbieter­von­SSL-Zertifikaten.­Die­Akquisition­erweitere­nicht­ nur die Möglichkeiten von HID, eine sichere Kommunikation von und zu Websites bereitzustellen, sondern stärke auch die Position des Unter- nehmens als Anbieter von vertrauenswürdigen PKI-Lösungen. SSL-Zertifikate­stellen­eine­verschlüsselte­Verbindung­zwischen­einem­ Webserver und einem Browser her und gewährleisten so den Daten- schutz.­ZeroSSL­stellt­monatlich­mehr­als­500.000­Zertifikate­für­über­ 2,4 Millionen Benutzerkonten weltweit aus und bietet eine automati- sierte­E-Commerce-Plattform­für­SSL-Zertifikate­sowie­Integrationsser- vices­rund­um­das­Lifecycle-Management­dieser­Zertifikate.­Ohne­eine­ solche Automatisierung müssen Website-Betreiber und -Eigentümer die­SSL-Zertifikate­manuell­verwalten­und­riskieren­damit­Ausfälle­durch­ menschliche Fehler und daraus resultierende Cybersicherheitsrisiken. In Zukunft werden die Angebote von ZeroSSL in die PKI- und IoT-Ge- schäftseinheit von HID integriert. Dadurch kann HID eine stärkere Au- thentifizierung,­bessere­Verschlüsselungsservices­und­umfassendere­ Validierungsverfahren für Unternehmen anbieten, die umfangreiche Online-Transaktionen durchführen. n ESET RESTRUKTURIERT UND ERWEI- TERT FÜHRUNGSEBENE Der IT-Sicherheitshersteller ESET gibt die Neuorganisation sowie Er- weiterung seines Enterprise-Teams bekannt. Seit dem 1. Januar 2024 bekleiden Daniel de Graaf-Dorn als „Manager of Enterprise Sales“ und Steffen Schmidt als „Manager of PreSales“ die neu geschaffenen Lei- tungspositionen. Beide sind seit Jahren für ESET Deutschland tätig und berichten weiterhin an Andreas Krause, Sales Director of Enterprise and NEWS | UNTERNEHMEN PreSales DACH. Diese strategischen Veränderungen sollen die steigen- den Anforderungen und die positive Entwicklung im Unternehmensbe- reich adressieren. n EXTRAHOP ERWEITERT DIE INTE GRA TION VON CROWDSTRIKE FALCON LOGSCALE ExtraHop, ein Anbieter von cloudnativer Network Detection and Respon- se (NDR), gibt eine erweiterte Partnerschaft mit CrowdStrike bekannt, die Reveal(x)-Kunden die Möglichkeit bietet, Datensätze in CrowdStrike Falcon LogScale, dem Next-Gen SIEM- und Log-Management-Angebot von CrowdStrike, zu speichern. Mit dieser neuen Funktion erweitert ExtraHop sein Partner-Ökosystem, um Unternehmen eine größere Auswahl an Möglichkeiten zu bieten, wie sie Protokolle verwalten, ihre Sicherheitstools einsetzen und die Komplexität ihres Technologie-Stacks vereinfachen können. „Da sich die Bedrohungslandschaft immer weiter ausdehnt und immer komplexer wird, benötigen Unternehmen mehr Flexibilität bei der In- tegration von Technologien, die ihnen helfen, ihr Cyberrisiko besser zu erkennen“,­sagt­Kanaiya­Vasani,­Chief­Product­Officer­bei­ExtraHop.­„Das­ Angebot von CrowdStrike Falcon LogScale als neueste Reveal(x)-Record- store-Option gibt den Anwendern die Möglichkeit, ihre Datenerfassung auf der Grundlage ihrer SIEM-Präferenzen zu konsolidieren und die besten Sicherheitsergebnisse zu erzielen. Da wir unsere Partnerschaft mit CrowdStrike weiter ausbauen, bietet diese jüngste Innovation den gemeinsamen Kunden mehr Auswahlmöglichkeiten, so dass sie poten- ziellen Sicherheitsbedrohungen einen Schritt voraus sein und die Wider- standsfähigkeit ihres Unternehmens verbessern können.“ n AQUA SECURITY SCHLIEßT FINAN- ZIERUNG IN HÖHE VON 60 MILLIONEN US­DOLLAR AB Aqua Security hat eine neue Finanzierung in Höhe von 60 Millionen US- Dollar unter der Leitung des neuen Investors Evolution Equity Partners abgeschlossen. Die bestehenden Investoren Insight Partners, Lightspeed Venture Partners und StepStone Group waren an der E-Series-Finanzie- rungsrunde beteiligt. Mit dieser Finanzierung steigt die Bewertung von Aqua auf über eine Milliarde US-Dollar. Seit seiner Gründung im Jahr 2015 hat Aqua Security nach eigenen Angaben bereits 325 Millionen US-Dollar an Kapital erhalten. In dieser Zeit haben weltweit mehr als 500 Unter- nehmen den Cloud-Sicherheitsansatz von Aqua übernommen, darunter 40 Prozent der Fortune-100-Unternehmen. Aqua beliefert darüber hinaus sechs der Top-10-Banken in Nordamerika sowie sechs der Top-7-Banken in Kanada und ist damit der führende Anbieter nativer Cloud-Sicherheit für die Finanzdienstleistungsbranche. Die Finanzierung folgt auf ein sehr gutes Geschäftsjahr 2023: Neben einer 65-prozentigen Steigerung des Neugeschäfts wurde Aqua in die Liste „Fortune Cyber 60“ der wichtigsten Risiko-Start-ups aufgenommen. n IT-SICHERHEIT_1/2024 7

(KI)­zuverlässig­und­kosteneffizient­zu­nutzen,­um­damit­ihre­Innova- tionskraft, ihre Produktivität und ihren Umsatz zu steigern. Das Produkt deckt den End-to-End-KI-Stack ab, einschließlich Infrastruktur wie Nvidia GPUs, grundlegende Modelle wie GPT4, semantische Caches und Vektordatenbanken wie Weaviate sowie Orchestrierungs-Frameworks wie LangChain. Zusätzlich unterstützt es die wichtigsten Plattformen für die Erstellung, das Training und die Bereitstellung von KI-Modellen, einschließlich Microsoft Azure OpenAI Service, Amazon SageMaker und Google AI Platform. Dynatrace AI Observability nutzt die Davis AI und weitere Kerntechnolo- gien der Plattform, um einen präzisen und umfassenden Überblick über KI-gesteuerte Anwendungen zu liefern. So könne man Unternehmen ein gutes Nutzererlebnis bieten und gleichzeitig automatisch Leistungseng- pässe­und­deren­Ursachen­identifizieren.­Dynatrace­unterstützt­ebenfalls­ bei der Einhaltung von Datenschutz- und Sicherheitsrichtlinien sowie Governance-Standards, indem es die Herkunft der von den Anwen- dungen erzeugten Daten genau nachverfolgt. Darüber hinaus erhalten Unternehmen Hilfe bei der Kostenprognose und -kontrolle, indem die Dynatrace-Plattform den Verbrauch von Token überwacht. Token bilden die Basiseinheiten, die generative KI-Modelle zur Verarbeitung von An- fragen verwenden. n ECO VERBAND ZUM AI ACT: EU UND DEUTSCHLAND DÜRFEN FEHLER AUS DSGVO NICHT WIEDERHOLEN Der eco – Verband der Internetwirtschaft e.V. plädiert für eine praxis- taugliche Umsetzung und EU-weit einheitliche Kriterien im Umgang mit KI-Systemen.­„Die­Fehler­der­DSGVO­dürfen­sich­nicht­wiederholen –­ Deutschland oder andere EU-Mitgliedstaaten sollten bei der Regulierung von GPAI-Modellen und Hochrisiko-Systemen keine nationalen Son- derwege gehen“, sagt eco Vorstandsvorsitzender Oliver Süme. „Für ein echtes Level-Playing-Field in Europa braucht es einheitlich ausgelegte Pflichten,­Anforderungen­und­Standards.“­Hierzu­bedarf­es­laut­Süme­ei- nes engen und regelmäßigen Austauschs aller betroffenen Akteure. Dies gilt­vor­allem,­um­bei­neuen­Anwendungsfällen­flexibel­zu­bleiben­und­ praxistaugliche Kriterien für die Bewertung von Risiken zu entwickeln. Außerdem sei aktuell noch nicht einmal klar, welche Maßnahmen Unter- nehmen ergreifen müssen, um diese Risiken zu minimieren. „Hier muss die EU dringend nachbessern und für Klarheit sorgen”, so Süme. „Ansons- ten wird der AI Act zum Bremsklotz für KI-getriebene Innovation in ganz Europa und verzerrt die internationale Wettbewerbsfähigkeit.“ Gleichzeitig sollte die Bundesregierung aus Sicht des Verbands bei der biometrischen Echtzeitüberwachung mögliche Spielräume im AI Act nutzen. Süme: „Für den Erfolg von KI braucht es Akzeptanz in der Be- völkerung. Doch die im AI Act vorgesehenen Regelungen zur biometri- schen Echtzeitüberwachung steigern die Sorgen vor einer Gefährdung von Bürgerrechten und könnten das Vertrauen in künstliche Intelligenz komplett untergraben. Die Bundesregierung hatte die biometrische Echtzeit-Überwachung in ihrem Koalitionsvertrag ausgeschlossen, hier sollte sie konsequent bleiben, um nicht das Vertrauen in der Bevölkerung zu verspielen.“ n NEWS | PRODUKTE SKYHIGH SECURITY STELLT KI-GE- STÜTZTEN DLP­ASSISTENTEN VOR Skyhigh Security präsentiert einen KI-gestützten Data-Loss-Prevention- (DLP)-Assistenten als erweitertes DLP-Feature innerhalb des Security- Service-Edge-Portfolios (SSE). Der KI-gestützte Assistent vereinfacht viele komplexe DLP-Aufgaben, insbesondere das Formulieren komplexer Aus- drücke in natürlicher Sprache. Kunden können so detaillierte Datenklas- sifizierungen­vornehmen,­ihre­betriebliche­Effizienz­steigern­sowie­False­ Positives und False Negatives minimieren. „Aus Studien und unseren proprietären Telemetriedaten geht hervor, dass­Unternehmen­aller­Branchen­KI­in­ihre­Workflows­integrieren,­um­ von­Kreativität,­Effizienz­und­Zeitersparnis­zu­profitieren“,­so­Kelly­Elliott,­ Director of Product Marketing bei Skyhigh Security. „Unser RegEx-Tool nutzt das Potenzial von KI, um einen zentralen Pain Point aufseiten der Kunden zu adressieren: große Mengen sensibler Daten schnell und ge- nau­zu­klassifizieren.“ n DRAHTLOSER MULTISPEKTRUM- SICHERHEITSSENSOR FÜR OT­ UND IOT­UMGEBUNGEN Nozomi Networks stellt Guardian Air vor, einen drahtlosen Spektrum- Sensor, der speziell für OT- und IoT-Umgebungen entwickelt wurde. Mit 80 Prozent Anteil an neuen IoT-Implementierungen entwickeln sich drahtlose Verbindungen schnell zum bevorzugten Netzwerktyp. Die explosionsartige Zunahme drahtlos verbundener Geräte erhöht die Zahl potenzieller Zugangspunkte und den wahrscheinlichen Missbrauch von Netzwerken. Kritische Infrastrukturen werden so dem Risiko von Cyber- angriffen und Betriebsunterbrechungen ausgesetzt. Mit Guardian Air können IT-Sicherheitsexperten und OT-Betreiber be- kannte drahtlose Frequenztechnologien, die in OT- und IoT-Umgebungen verwendet werden, kontinuierlich überwachen, einschließlich Blue- tooth, Wi-Fi, Mobilfunk, LoRaWAN, Zigbee, GPS, Drohnen-RF-Protokolle, Wire lessHART und mehr. Zudem lassen sich drahtlos verbundene Geräte sofort erkennen und Informationen über sie erhalten, um unautorisierte Installationen­zu­adressieren.­Weiterhin­können­funkspezifische­Bedro- hungen­aufdeckt­werden,­einschließlich­Brute-Force-Angriffe,­Spoofing­ und Bluejacking – mit der zusätzlichen Möglichkeit, den Standort der Ge- räte zu bestimmen, die die Angriffe durchführen. Alle Daten können über drahtlose Verbindungen nahtlos in eine OT- und IoT-Sicherheitsplattform integriert werden, um so einen einheitlichen Überblick über alle Geräte in kabelgebundenen und drahtlosen Netzwerken zu erhalten. n IT-SICHERHEIT_1/2024 9

CYBERSICHERHEIT | AUTHENTIFIZIERUNG MFA-Spamming: SICHERHEIT KNAPP DANEBEN In der digitalen Welt sind Passwörter allein nicht mehr sicher genug. Unternehmen setzen zunehmend auf Multi­Faktor­Authentifizierung (MFA) als zusätzlichen Schutz. Cyberkriminelle entwickeln jedoch Methoden wie MFA­Spamming (oder MFA­Bombing), um diese Sicherheits- maßnahme zu umgehen. Unser Artikel gibt Tipps zur Abwehr dieser Bedrohung. MFA-Spamming ist eine böswil- lige Handlung, bei der ein An- greifer die E-Mail, das Telefon oder andere registrierte Geräte eines Benutzers mit zahlreichen MFA-Anfragen oder Bestäti- gungscodes bombardiert. Ziel ist es, den Benut- zer­mit­Benachrichtigungen­zu­überfluten,­in­ der Hoffnung, dass er unbeabsichtigt eine nicht autorisierte Anmeldung genehmigt. Für diesen Angriff benötigt der Angreifer die Anmeldeda- ten des Opfers (Benutzername und Passwort), um den Anmeldevorgang zu initiieren und die MFA-Benachrichtigungen auszulösen. Es gibt verschiedene Techniken, um MFA-Spamming- Angriffe durchzuführen. Dazu gehören: ƒ die Verwendung automatisierter Tools oder Skripte, um die Geräte des Opfers mit vielen Überprüfungsanfragen­zu­überfluten; ƒ der Einsatz von Social-Engineering-Taktiken, um den Benutzer dazu zu bringen, eine Über- prüfungsanfrage­zu­akzeptieren; ƒ die Ausnutzung der API des MFA-Systems, um dem Benutzer eine große Anzahl falscher Au- thentifizierungsanfragen­zu­senden. Mit diesen Techniken versuchen Angreifer, un- beabsichtigte Genehmigungen auszulösen, um schließlich unbefugten Zugriff auf sensible In- formationen oder Konten zu erhalten. Kryptowährungen von mehr als 6.000 Kunden zu stehlen. In einem anderen Fall im Jahr 2022 überfluteten­Hacker­die­Kunden­von­Crypto.com­ mit zahlreichen Benachrichtigungen, um Geld aus ihren Wallets abzugreifen. Viele Kunden genehmigten versehentlich betrügerische Transaktionsanfragen, was zu einem Verlust von 4.836,26 ETH, 443,93 BTC und etwa 66.200 US- Dollar in anderen Kryptowährungen führte. WIE SICH MFA-SPAMMING- ANGRIFFE ENTSCHÄRFEN LASSEN Die Eindämmung von MFA-Spamming-Angriffen erfordert die Implementierung technischer Kon- trollen und die Durchsetzung entsprechender MFA-Sicherheitsrichtlinien. Im Folgenden sind einige wirksame Strategien zur Verhinderung solcher Angriffe aufgeführt. 1. Strenge Regeln für Passwörter und Sper- rung kompromittierter Passwörter Um einen MFA-Spamming-Angriff durch- zuführen, muss der Angreifer zunächst an die Anmeldedaten des Benutzers gelangen. Hacker nutzen verschiedene Methoden wie Brute-Force-Angriffe, Phishing-E-Mails oder den Kauf gestohlener Daten. Die erste Vertei- digungslinie ist die Sicherheit der Benutzer- passwörter. 2. Endbenutzer schulen Zwischen März und Mai 2021 gelang es Hackern beispielsweise, die Multi-Faktor-SMS-Authenti- fizierung­von­Coinbase,­einer­der­weltweit­größ- ten Kryptowährungsbörsen, zu umgehen und Im Schulungsprogramm für das Personal sollte betont werden, wie wichtig es ist, MFA-Anfra- gen sorgfältig zu prüfen, bevor sie genehmigt werden. Wenn Benutzer viele MFA-Anfragen . m o c . e b o d a k c o t s - Y D c i P : d l i B erhalten, sollte dies als Warnsignal für mög- liche Cyberangriffe angesehen werden. In solchen Fällen ist es wichtig, die Mitarbeiter darüber zu informieren, welche Maßnahmen sie sofort ergreifen sollten. Dazu gehören das Zurücksetzen der Kontodaten und die Benach- richtigung der Sicherheitsteams. 3. Anzahl der Anmeldeversuche begrenzen Organisationen sollten Mechanismen einrich- ten,­die­die­Anzahl­der­Authentifizierungs- anfragen von einem einzelnen Benutzerkon- to innerhalb eines bestimmten Zeitraums begrenzen. Dadurch wird verhindert, dass automatisierte Skripte oder Bots die Benutzer mit einer übermäßigen Anzahl von Anfragen überlasten. 4. Monitoring und Alarmierung einrichten Implementieren Sie robuste Überwachungs- systeme, um ungewöhnliche Muster von MFA-Anfragen zu erkennen und zu melden. Dies hilft dabei, potenzielle Spam-Angriffe in Echtzeit­zu­identifizieren­und­ermöglicht­so- fortiges Handeln. FAZIT Um sich wirksam vor MFA-Spam zu schützen, müssen Unternehmen robusten Sicherheits- praktiken Priorität einräumen. Eine wirksame Taktik besteht darin, die Passwortrichtlinien zu stärken und die Verwendung kompromittierter Passwörter zu blockieren. Die Implementierung einer Sicherheitslösung kann Unternehmen da- bei unterstützen. n THN / S.F. IT-SICHERHEIT_1/2024 11

1. 3AM Ransomware Die Verbreitung des neuen Ransomware-Stammes 3AM war bisher sehr begrenzt. Im Verlauf des Jahres 2023 hat 3AM lediglich gut 20 Organisationen­geschädigt,­hauptsächlich­in­den­USA.­Die­Gruppe­ erlangte jedoch Bekanntheit, als ein Ransomware-Partner, der ur- sprünglich LockBit im Netzwerk eines Zielunternehmens einsetzen wollte, zu 3AM wechselte, nachdem LockBit blockiert wurde. Es tauchen immer wieder neue Arten von Ransomware auf, aber die meisten verschwinden schnell oder können sich nicht weit verbreiten. Die Tatsache, dass 3AM von einem LockBit-Partner als Umgehungs- lösung eingesetzt wurde, deutet darauf hin, dass diese Ransomware für Angreifer interessant ist und in Zukunft eine bedeutendere Rolle spielen könnte. Das Besondere an 3AM ist, dass die Schadsoftware in der Program- miersprache Rust programmiert ist und offenbar eine völlig neue Art von Malware darstellt. Interessant ist ihr Vorgehen: Sie stoppt zunächst­mehrere­Dienste­auf­dem­infizierten­Computer,­bevor­sie­ mit der Verschlüsselung der Dateien beginnt. Nach der Verschlüsse- lung versucht sie, sogenannte Volume-Shadow-Kopien zu löschen. Ob es Verbindungen zwischen den Urhebern von 3AM und bekannten Cybercrime-Organisationen gibt, ist noch unklar. Die verdächtigen Aktivitäten der Angreifer begannen mit dem Befehl gpresult, um die auf dem Computer für einen bestimmten Benutzer festgelegten­Richtlinieneinstellungen­herauszufinden.­Anschließend­ führten sie verschiedene Komponenten von Cobalt Strike aus und versuchten, mit PsExec die Rechte auf dem Rechner zu erhöhen. Anschließend führten die Angreifer mit Befehlen wie whoami, netstat, quser und net share Erkundungen durch. Außerdem versuchten sie, mit den Befehlen quser und net view andere Server für laterale Bewegun- gen­zu­identifizieren.­Darüber­hinaus­richteten­sie­ein­neues­Benutzer- konto ein, um die Persistenz aufrechtzuerhalten, und verwendeten das Tool Wput, um Dateien der Opfer auf ihren FTP-Server zu übertragen. Auf den ersten Blick ebenso auffällig wie verwirrend mag die Ver- wendung des Skripts Yugeon Web Clicks aus dem Jahr 2004 erschei- nen. So stellt sich die Frage, warum sich eine moderne, aufstrebende Ransomware-Gruppe für eine derart veraltete Technologie entschei- det. Es gibt jedoch mehrere mögliche Gründe für diese Wahl: ƒ Verschleierung: Ältere Skripte und Technologien werden von mo- dernen­Sicherheitstools­möglicherweise­nicht­so­häufig­erkannt,­ was die Wahrscheinlichkeit einer Entdeckung verringert. ƒ Vereinfachung: Ältere Skripte bieten möglicherweise eine einfa- che Funktionalität ohne die Komplexität, die oft mit modernen Gegenstücken verbunden ist. Das erleichtert Bereitstellung und Verwaltung. ƒ Arroganz: Vielleicht ist die Gruppe auch einfach nur so überzeugt von sich und ihren Fähigkeiten, dass sie keine Notwendigkeit sieht, in fortschrittlichere Technologie zu investieren, insbesondere für ihre Website. CYBERSICHERHEIT | MALWARE gfos.com GFOS.Access Control Mit uns gehen Sie auf Nummer sicher GFOS bietet die smarte Access Contol-Lösung für Ihr Unternehmen: Intuitiv, übersichtlich, flexibel. Der persönliche Austausch ist uns wichtig. GFOS Messetermine gfos.com/de/events IT-SICHERHEIT_1/2024 13

Tools Exfiltration Erstzugang Exfiltration Exfiltration Sammlung Impact Taktiken T1567 – Exfiltration über Webservice T1566.001 – Spearphishing-Anhang T1041 – Exfiltration über den C2-Kanal T1537 – Übertragung von Daten auf ein Cloud-Konto T1114.001 – Lokale E-Mail-Sammlung T1486 – Verschlüsselte Daten für Impact Erster Zugriff T1566.002 – Spearphishing-Link Ausführung Ausführung Erkennung Erstzugang T1059.001 – PowerShell T1569.002 – Dienstausführung T1016.001 – Erkennung von Internetverbindungen T1078 – Gültige Konten Privilegien erweiterung T1078 – Gültige Konten Umgehung der Verteidigung T1078 – Gültige Konten Persistenz T1078 – Gültige Konten Privilegien erweiterung T1547.009 – Änderung von Verknüpfungen Persistenz Erstzugriff T1547.009 – Änderung einer Verknüpfung T1190 – Ausnutzen einer öffentlich zugänglichen Anwendung Umgehung der Verteidigung T1027.001 – Binäres Auffüllen Exfiltration Ausführung Erster Zugriff T1029 – Geplante Übertragung T1059.003 – Windows Command Shell T1195 – Kompromittierung der Lieferkette Umgehung der Verteidigung T1036.005 – Abgleich mit legitimem Namen oder Standort Privilegien erweiterung T1547.001 – Registrierungsschlüssel/Startordner Persistenz T1547.001 – Registry Run Keys/Start-up Folder (Registrierungs schlüssel/Startordner) Exfiltration T1020 – Automatisierte Exfiltration Tabelle 3: Übersicht bekannter Taktiken, Techniken und Verfahren von Akira (nach MITRE ATT&CK, https://attack.mitre.org/) (Quelle: Cyberint/THN) CYBERSICHERHEIT | MALWARE lung, der ähnlich wie bei der Conti-Ransomware implementiert ist. Die Hintermänner von Akira haben außerdem die Lösegeldzahlungen an Adressen geleitet, die mit der Conti-Gruppe in Verbindung stehen. Die Gruppe bietet Ransomware-as-a-Service an, die sowohl Windows- als auch Linux-Systeme angreift.­Akira­nutzt­ihre­offizielle­Website,­um­ Informationen über Opfer zu veröffentlichen und Aktualisierungen zu ihren Aktivitäten be- reitzustellen. Die Kriminellen konzentrieren sich hauptsächlich auf die USA, nehmen aber auch Großbritannien, Australien und andere Länder ins Visier. Um die Opfer zur Zahlung eines doppelten Lö- segelds zu zwingen, wenn sie den Zugang und ihre­Dateien­wiedererlangen­wollen,­exfiltrieren­ und verschlüsseln die Täter die Daten. In den meisten Fällen verwendet Akira kompromittierte Anmeldedaten, um Zugang zur IT des Opfers zu erhalten. Interessanterweise hatten die meis- ten betroffenen Organisationen keine Multi- Faktor-Authentifizierung­(MFA)­für­ihre­VPNs­ implementiert. Obwohl die genaue Herkunft der kompromittierten Zugangsdaten unklar ist, hal- ten es Experten für wahrscheinlich, dass sich die Angreifer Zugang oder Zugangsdaten aus dem Dark Web beschafft haben. FAZIT Die Ransomware-Branche wächst und zieht neue, motivierte Gruppen an, die sich durch die Entwicklung hochwertiger Ransomware-Dienste und -Tools einen Namen machen wollen. Das Un- ternehmen Cyberint erwartet, dass im Jahr 2024 einige dieser neueren Gruppen ihre Fähigkeiten verbessern und neben etablierten Gruppen wie LockBit 3.0, Cl0p und AlphV zu wichtigen Playern in der Branche werden. n THN/S.F. tersuchungen deuten auf eine enge Verbin- dung zur berüchtigten Ransomware-Gruppe Conti­hin.­Die­Veröffentlichung­des­Quellcodes­ von Conti hat dazu geführt, dass viele Bedro- hungsakteure diesen Code verwenden, was die Identifizierung­von­Gruppen,­die­mit­Conti­in­ Verbindung stehen, erschwert. Akira liefert jedoch einige verräterische Hin- weise, die auf eine engere Verbindung zu Conti hindeuten. So gibt es Ähnlichkeiten in der Vorge- hensweise, der Missachtung der gleichen Datei- typen und Verzeichnisse sowie der Verwendung vergleichbarer Funktionen. Zudem nutzt Akira den ChaCha-Algorithmus zur Dateiverschlüsse- Die Studie von Cyberint steht in englischer Sprache unter https://l.cyberint.com/ ransomware-recap-2023 zum Download zur Verfügung (Registrierung erforderlich). IT-SICHERHEIT_1/2024 15

SECURITY MANAGEMENT | SICHERE SOFTWAREENTWICKLUNG im Frontend vorzunehmen. Für die Sicherheit sind Validierungen im Backend besonders rele- vant. Eine führende Low-Code-Plattform bietet beispielsweise die Möglichkeit, typenbasierte Validierungen im Frontend und Backend durch- zuführen. Diese muss man jedoch explizit akti- vieren,­konfigurieren­und­testen.­Werden­Inhalte­ nicht korrekt validiert, riskiert man die Verarbei- tung von schädlichem Input. Das kann zu uner- warteten Verhalten der Geschäftsanwendung führen und nicht selten Datenschutzverletzun- gen und Erpressung durch Cyberkriminelle nach sich ziehen. Daher ist es entscheidend, dass auch Low-Code- Entwicklerinnen und -Entwickler über das Basis- wissen zur Sicherheit von Anwendungen verfü- gen. Auf dem Markt bieten verschiedene Firmen dazu passende Workshops an, die sich speziell an Entwicklerinnen und Entwickler mit Erfah- rung in der Webentwicklung richten. abbilden zu können. Große Teile der Logik mo- delliert man mittels der zur Verfügung gestellten Bausteine.­Das­führt­häufig­zum­Irrglauben,­dass­ die Bausteine nach Belieben eingefügt und mit- einander verknüpft werden können, während die Sicherheit der Applikation standardmäßig gewährleistet ist. Dabei können diese Baustei- ne­aber­immer­noch­individuell­konfiguriert­ werden. Die Menge an Optionen ist hier je nach Plattform beträchtlich. Wie zuvor erwähnt, gibt es bei manchen Low- Code-Plattformen im Bereich der Frontend- und Backend-Validierung die Möglichkeit, Datenty- pen zu validieren. Angenommen wir verwenden zwei Bausteine, die Daten empfangen, validie- ren, verarbeiten und einen bestimmten Output weitergeben sollen. Damit Input und Output eines Services validiert werden, muss der An- wender dies aber in einigen Plattformen explizit aktivieren­und­konfigurieren. HOHER ABSTRAKTIONS- GRAD Low-Code bietet einen hohen Abstraktionsgrad, um Geschäftsprozesse schneller in Software Folglich­müssen­die­Konfiguration­der­Baustei- ne sowie deren Verknüpfungen zwingend auf die Sicherheit im jeweiligen Anwendungskon- text­überprüft­werden,­um­die­Angriffsfläche­zu­ reduzieren. Positiv hervorzuheben ist, wie im oben genannten Beispiel, dass Plattformen dies unterstützen. ÜBERPRÜFUNG VON FREMDCODE Oft können Benutzer über die jeweiligen Markt- plätze der Low-Code-Plattformen neue Werk- zeuge und Bausteine per Knopfdruck hinzu- fügen. Der Inhalt eines Bausteins muss jedoch nicht­immer­aus­vertrauenswürdigen­Quellen­ stammen. Bei vielen Plattformen ist es möglich, selbst entwickelte Bausteine auf dem Markt- platz zu publizieren und der Öffentlichkeit zur Verfügung zu stellen. Die Sicherheitsprüfungen der Plattformbetreiber sind nicht immer trans- parent. Grundsteine für die heute sehr populären „Supply Chain Attacks“, wobei Angreifer Schad- code in verwendete Komponenten einschleusen oder solche anbieten, sind damit gelegt. Für manche Low-Code-Plattformen existieren Portale­mit­unzähligen,­vordefinierten­Baustei- nen beziehungsweise Modulen, die man für die Entwicklung der eigenen Geschäftsanwendung verwenden kann. So gibt es beispielsweise Mo- dule, welche es Benutzern erlauben, ein verein- IT-SICHERHEIT_1/2024 17 Bild: Visual Generation - stock.adobe.com

10 % Rabatt für kes+ Abonnenten CISO­ und Consulting­ Exzellenz für Informationssicherheit 23.05.2024 I online 01.08.2024 I online Referent: Alexander Jaber Schwerpunkte: ◾ CISO-Rolle verstehen und definieren ◾ Sicherheitsstrategie entwickeln und umsetzen ◾ Risiken identifizieren und effektive Kontrollen implementieren ◾ Incident-Response-Planung und -Umsetzung ◾ Aufbau eines Sicherheitsbewusstseins in der Organisation ◾ Analyse der aktuellen Sicherheitslage Jetzt anmelden: www.datakontext.com/it­sicherheit peterschreiber.media - stock.adobe.com

SECURITY MANAGEMENT | KRITIS Für kleine und mittlere Unternehmen (KMU) sind die umfangreichen gesetzlichen Anforderungen, die oft mit Blick auf Großkonzerne konzipiert wurden, eine Herausfor- derung. Unser Kommentar beleuchtet die überproportionalen Belastungen für KMU insbesondere im Bereich IT-Sicherheit und Datenschutz und fordert ein Umdenken in der Gesetzgebung. Der Kampf zwischen David und Goliath ist eine alte Geschich- te, die auch heute noch im Wirtschaftsleben ihre Gültigkeit hat. Besonders deutlich wird diese Dynamik in der Auseinan- dersetzung zwischen Großunternehmen und Kleinbetrieben. In jüngster Zeit hat sich eine besondere Form dieses Kampfes herauskris- tallisiert: Die Durchsetzung umfangreicher rechtlicher Anforderungen, die ursprünglich für Großkonzerne konzipiert wurden, auf kleine und mittlere Unternehmen. MANGEL AN PERSONAL UND RESSOURCEN Die Herausforderungen, mit denen sich KMU konfrontiert sehen, sind vielfältig und oft un- verhältnismäßig. Großunternehmen verfügen über die Ressourcen und das Fachpersonal, um die komplexen rechtlichen Anforderungen nicht nur zu verstehen, sondern auch umzusetzen. Sie haben Rechtsabteilungen, die sich ausschließlich mit der Einhaltung von Vorschriften beschäfti- gen. KMU hingegen müssen oft mit begrenzten Ressourcen auskommen und haben nicht den Luxus, über spezialisierte Teams für solche Auf- gaben zu verfügen. Die Problematik verschärft sich, wenn es um IT-Sicherheit und Datenschutz oder auch das Lieferantenmanagement geht. Die Datenschutz- grundverordnung (DSGVO) oder das Lieferket- tengesetz als prominente Beispiele für solche Rechtsvorschriften stellen Anforderungen, die für viele kleine Unternehmen kaum zu bewäl- tigen sind. Die Umsetzung solcher Vorschriften erfordert nicht nur ein tiefes Verständnis der Materie,­sondern­auch­erhebliche­finanzielle­In- vestitionen in IT-Infrastruktur und Schulungen. RISIKEN IN KAUF NEHMEN Ironischerweise hat der Gesetzgeber viele dieser Vorschriften ursprünglich eingeführt, um den ALEXANDER JABER ist CEO & Founder der Compliant Business Solutions GmbH, Experte für Informationssicherheit und Datenschutz sowie Universitäts- dozent an der DIPLOMA. IT-SICHERHEIT_1/2024 21 Verbraucherschutz zu stärken und die Daten-sicherheit zu gewährleisten. Doch anstatt die Cybersicherheit zu verbessern, könnten sie para-doxerweise genau das Gegenteil bewirken. Klei-nere Unternehmen, die sich gezwungen sehen, Standards zu erfüllen, die ihre Kapazitäten über-steigen, könnten versucht sein, Abkürzungen zu nehmen oder Sicherheitsaspekte zu vernachläs-sigen. Das bedeutet, dass sie zum Teil bewusst das Risiko eingehen, Umsetzungen einfach nicht durchzuführen, obwohl sie sich vertraglich dazu verpflichtet­haben.Darüber hinaus wird die Wettbewerbsfähig-keit kleinerer Marktteilnehmer beeinträchtigt. Während große Unternehmen die zusätzlichen Belastungen auffangen können, haben KMU oft nicht­die­finanziellen­Mittel,­um­in­die­notwen-dige Technologie und Expertise zu investieren. Dies führt zu einem ungleichen Spielfeld, auf dem die Großen immer mächtiger und die Klei-nen immer mehr an den Rand gedrängt werden.FAIRER WETTBEWERBEs ist an der Zeit, dass Gesetzgeber und Regu-lierungsbehörden diese Ungleichheit erkennen und Maßnahmen ergreifen, um eine gerechtere Landschaft zu schaffen. Dies könnte beispiels-weise durch die Einführung abgestufter Anfor-derungen geschehen, die die Größe und Kapazi-tät eines Unternehmens berücksichtigen. Auch die Bereitstellung von Ressourcen und die Un-terstützung für KMU, um ihnen die Einhaltung der Vorschriften zu erleichtern, wären Schritte in die richtige Richtung.Zudem sollten Kooperationen zwischen großen und kleinen Unternehmen gefördert werden, um den Wissenstransfer und die technologi-sche Unterstützung zu vereinfachen. Großun-ternehmen könnten dabei eine Mentorenrolle übernehmen, indem sie KMU nicht nur beraten, sondern auch praktische Hilfe bei der Implemen-tierung von Sicherheitsstandards bieten.MÖGLICHKEITEN VON KMU BERÜCKSICHTIGENDie Förderung eines gesunden und wettbe-werbsfähigen Marktes, auf dem Firmen aller Größenordnungen fair agieren können, liegt im Interesse aller. Es geht nicht darum, die Anfor-derungen für große Unternehmen zu reduzie-ren, sondern vielmehr darum, ein System zu etablieren, das die Realitäten und Möglichkeiten kleinerer Betriebe berücksichtigt. Nur so kann ein Umfeld geschaffen werden, das sowohl die IT-Sicherheit stärkt als auch einen fairen und in-tegrativen Markt gewährleistet.In diesem Kampf zwischen „Groß und Klein“ ist es entscheidend, dass die Regulierungsbehör-den und der Gesetzgeber nicht vorwiegend die Bedürfnisse der mächtigen Großunternehmen im Blick haben, sondern die Herausforderungen und Grenzen der kleinen und mittleren Unter-nehmen mit berücksichtigen, denn letztendlich bildet die Vielfalt und Stärke dieser kleineren Unternehmen das Rückgrat unserer Wirtschaft und Gesellschaft. n

SECURITY MANAGEMENT | KÜNSTLICHE INTELLIGENZ Laut Microsoft kombiniert Copilot die Leistung von großen Sprach- modellen (Large Language Models, LLMs) mit den Daten des Unternehmens, um es so zu einem der „leistungsfähigsten Produkti- vitätswerkzeuge der Welt“ zu machen. Copilot kann Daten aus Dokumenten, Präsentationen, E-Mails, Kalendern, Notizen und Kontakten suchen und zusammenstellen. Auf diese Weise „ermöglicht es den Nutzern, ihre Kreativität, Produktivität und Fähigkeiten zu verbessern.“ Neben diesen positiven Aussichten entstehen dadurch jedoch auch zwei Problemfelder: Zum einen verwendet Copilot bestehende Benut- zerrechte, um zu bestimmen, auf welche Daten eine Person zugreifen kann. Wenn ein Benutzer Copilot um Informationen bittet, analysiert die künstliche Intelligenz (KI) alle Inhalte, auf die diese Person Zugriff hat, um Ergebnisse zu lie- fern – ohne zu hinterfragen, ob dieser Nutzer diese Informationen auch tatsächlich erhalten sollte. Zum anderen ist es mit Copilot sehr ein- fach, neue Inhalte mit sensitiven Informationen zu erstellen. Mitarbeitende können Copilot bit- ten, alles zusammenzufassen, was mit einem bestimmten Projekt zu tun hat. Auf diese Weise entstehen Dokumente mit noch sensitiveren Inhalten, die entsprechend geschützt werden müssen. Wenn Unternehmen ihren Mitarbeitenden neue Tools für den Zugriff auf Daten und de- ren Nutzung zur Verfügung stellen, müssen sie dafür sorgen, dass diese Daten sicher sind. Die Herausforderung besteht darin, dass bei kolla- borativen, unstrukturierten Datenplattformen wie Microsoft 365 (M365) die Verwaltung von Berechtigungen ein Albtraum ist, mit dem jeder zu kämpfen hat. Der typische Datenzugriff sieht IT-SICHERHEIT_1/2024 23

SCHRITT 3: ZU WEIT GE- FASSTE ZUGRIFFSRECHTE BESEITIGEN Viele Unternehmen setzen auf ein Zero-Trust- Modell, bei dem Daten nur denjenigen zur Ver- fügung gestellt werden, die sie für ihre Arbeit tatsächlich benötigen. Es ist von entscheidender Bedeutung, dass Sicherheitsverantwortliche ri- sikoreiche Berechtigungen wie „unternehmens- weit“- und „jeder“-Verknüpfungen entfernen, um die Sicherheit der Informationen zu gewähr- leisten, insbesondere bei sensitiven Daten. SCHRITT 4: DEN ZUGRIFF AUF KRITISCHE DATEN ÜBERPRÜFEN Einige Unternehmen zögern, die Zugriffsrech- te zu automatisieren, da sie Störungen in den Prozessen und der Zusammenarbeit befürch- ten. Zudem sind nicht alle Zugriffsrechte so breit und eindeutig wie etwa „jeder“. Das bedeutet jedoch nicht, dass die Informationen dadurch hinreichend geschützt sind. Besonders bei den wichtigsten Daten, wie streng geheimes geisti- ges Eigentum oder vertrauliche personenbezo- gene Informationen, müssen Sicherheitsverant- wortliche unbedingt prüfen, ob der Umfang des Zugriffs angemessen ist. Auch hierbei können sie auf die Unterstützung von Lösungen setzen, die nicht­nur­die­kritischen­Daten­identifizieren,­son- dern auch anzeigen, wer auf sie in welchem Um- fang zugreift und diesen Zugriff auch benötigt. SCHRITT 5: ZUSÄTZLICHE RISKANTE ZUGRIFFE BE- SEITIGEN Nachdem die ersten vier Schritte durchgeführt wurden, sollten die Projektverantwortlichen risi- koreiche oder veraltete Zugriffsrechte und Links m o c . e b o d a k c o t s - o . l l a b o r j : d l i B SECURITY MANAGEMENT | KÜNSTLICHE INTELLIGENZ entfernen, um sicherzustellen, dass keine sen- siblen Daten offenliegen. Das muss kontinuier- lich geschehen: So sind Zugriffsrechte von Mit- arbeitenden oder Partnern, die nicht mehr für das Unternehmen (oder nun in einem anderen Bereich) arbeiten, zu entfernen. Auch nicht mehr genutzte Daten sollte man archivieren, um den Zugriff und den Missbrauch zu verhindern. Nachdem­die­Dateien­genau­klassifiziert­und­ die größten Risiken beseitigt sind, können die Verantwortlichen die präventiven Kontrollen aktivieren, die Microsoft mit Purview zur Verfü- gung stellt. Purview schützt die Daten, indem es­flexible­Schutzmaßnahmen­wie­Verschlüs- selung, Zugriffsbeschränkungen und visuelle Markierungen auf die gekennzeichneten Daten anwendet und Sicherheitsverantwortlichen so zusätzliche Kontrollmöglichkeiten bietet. Damit sind die Vorbereitungen für den Einsatz von Co- pilot abgeschlossen und der KI-Assistent kann nun implementiert werden. NACH DER IMPLEMEN- TIERUNG Sobald Copilot im Einsatz ist, muss man sicher- stellen, dass sich der Schaden, den ein kom- promittiertes Konto verursachen kann, nicht vergrößert und dass die Daten weiterhin sicher verwendet werden. Damit sich bösartiges oder risikoreiches Verhalten schnell erkennen und beheben lässt und auch die Zugriffsrechte nicht wieder außer Kontrolle geraten, empfehlen sich zwei weitere Schritte. SCHRITT 6: KONTINUIER- LICHE ÜBERWACHUNG UND ALARMIERUNG Da es mit Copilot so einfach ist, sensitive Daten zu­finden­und­zu­nutzen,­ist­es­von­entscheiden- der Bedeutung, zu beobachten, wie alle Daten verwendet werden. Auf diese Weise lässt sich die Zeit bis zur Erkennung (time to detection, TTD) und die Zeit bis zur Reaktion (time to res- ponse, TTR) auf jegliche Bedrohung dieser Daten verringern. Dabei sollten alle Datenberührun- gen,­Authentifizierungsereignisse,­Zustandsän- derungen, die Erstellung und Verwendung von Links und Objektänderungen im Kontext der Daten und ihrer normalen Verwendung über- wacht werden. Wenn ein Mitarbeiter plötzlich auf eine ungewöhnliche Menge sensitiver Daten zugreift, die er noch nie benutzt hat oder wenn ein Gerät oder ein Konto von einem böswilligen Dritten verwendet wird, können die Sicherheits- verantwortlichen durch eine Alarmierung schnell reagieren und geeignete Maßnahmen einleiten. SCHRITT 7: RICHTLINIEN FÜR DIE ZUGRIFFSKON- TROLLE AUTOMATISIEREN Das automatische Sperren des Zugriffs ist wie das Mähen eines Rasens: Nur weil man es ein- mal gemacht hat, heißt das nicht, dass man es nie wieder tun muss. Die Mitarbeitenden erstellen ständig neue Daten und arbeiten mit anderen zusammen. Der Radius dessen, was KI- Tools offenlegen können, wird immer größer, es sei denn, Sicherheitsverantwortliche verfügen über eine Automatisierungsfunktion, um dies zu korrigieren. Entsprechend müssen weiterhin sämtliche Daten und ihre Nutzung überwacht werden. Wer nutzt welchen Zugriff auf welche Weise? Wo liegen kritische Daten offen und wie werden sie verwendet? Alle Maßnahmen, die vor dem Einsatz von Copilot durchgeführt wur- den, müssen deshalb weiterlaufen, um Copilot permanent­sicher­und­effizient­nutzen­können. FAZIT Microsoft Copilot basiert auf der Leistung von LLMs sowie generativer KI und kann Mitarbei- tende produktiver machen. Doch mit großer Macht kommt auch großes Risiko. Wenn Un- ternehmen die Risiken für die Datensicherheit durch künstliche Intelligenz nicht ernst nehmen und die nötigen Schritte nicht einleiten, können generative KI-Tools sensitive Daten offenlegen und leicht weitere erstellen, wodurch Unterneh- men dem Risiko von Datenverlust, Diebstahl und Missbrauch ausgesetzt sind. Mit einer umfassen- den Transparenz der Datennutzung und intelli- genter Automatisierung lassen sich jedoch die wertvollen Unternehmensdaten in M365 effektiv schützen, ohne dabei die Produktivität zu beein- trächtigen. n BRIAN VECCI ist Field CTO von Varonis Systems. IT-SICHERHEIT_1/2024 25

SECURITY MANAGEMENT | INDUSTRIAL METAVERSE an sich ändernde Sicherheitsbedrohungen und -technologien. Systemen­identifizieren,­bevor­diese­in­der­rea- len Welt ausgenutzt werden. INDUSTRIAL METAVERSE Aber wie kann man den wachsenden Cyberse- curity-Herausforderungen in der Industrie in Zukunft noch gerecht werden? Das Industrial Metaverse leitet bereits heute eine neue Ära der digitalen Transformation ein – virtuelle und physische Welten in der industriellen Produktion verschmelzen. Es bietet eine Plattform für die Simulation, Visualisierung und die Interaktion mit digitalen Zwillingen von Maschinen, Anlagen und ganzen Produktionsprozessen. Durch die Nutzung von Virtual Reality (VR) und Augmented Reality­(AR)­können­Unternehmen­ihre­Effizienz­ steigern, die Produktentwicklung beschleunigen und die Mitarbeiterausbildung verbessern. Mittels Digital Twin wird im Industrial Meta- verse ein virtuelles Abbild eines physischen Ob- jekts oder Systems geschaffen. Diese Techno- logie ermöglicht es, Prozesse zu simulieren, zu analysieren und zu optimieren, ohne physische Eingriffe vornehmen zu müssen. Digital Twins spielen bereits heute, aber vor allem auch zu- künftig, eine zentrale Rolle im Industrial Meta- verse, indem sie die Grundlage für erweiterte Simulationen und Analysen bieten. CYBERANGRIFFE AUF DIE PRODUKTIONSPROZESSE SIMULIEREN Diese digitalen Zwillinge werden vornehmlich zum Produktdesign und Produktentwicklung, zur vorbeugenden Wartung oder zur Betriebs- überwachung und -optimierung eingesetzt. Produzierende Unternehmen können jedoch zu- künftig vermehrt auf diesen bereits etablierten digitalen Zwilling zur Simulation von potenziel- len Cyberangriffen zurückgreifen. Dabei geht es nicht darum, einen solchen Zwilling nur für die Cybersicherheit zu implementieren, sondern vielmehr darum, den bereits bestehenden Zwil- ling um weitere Use Cases – in diesem Fall um Sicherheitsaspekte – zu ergänzen. Das digitale Abbild der Produktion ermöglicht es, potenzielle Cyberangriffe in einer sicheren und kontrollierten virtuellen Umgebung zu simulie- ren. Durch die präzise Nachbildung der realen Produktionsumgebungen im digitalen Zwilling können Unternehmen wirklichkeitsnahe Szena- rien durchspielen und so Schwachstellen in ihren Die Simulationsansätze ermöglichen nicht nur eine tiefgehende Analyse der Auswirkungen ver- schiedener Angriffsarten, sondern tragen auch zur Entwicklung effektiver Gegenmaßnahmen und Reaktionsstrategien bei. Darüber hinaus fördert der Einsatz solcher Simulationen das Ver- ständnis für Cyberbedrohungen auf allen Ebenen des Unternehmens und unterstützt die Ausbil- dung des Personals im Hinblick auf präventive Sicherheitsmaßnahmen. Zukünftig kann man so beispielsweise Pentests innerhalb des digitalen Zwillings automatisiert und in Echtzeit durchführen. Potenzielle Aus- wirkungen auf laufende Produktionsprozes- se lassen sich so ausschließen und verhindern. Mögliche Produktionsstörungen oder Ängste, die Produktion durch Tests zu stören, gehören damit der Vergangenheit an. Eventuelle Sicher- heitsrisiken­können­virtuell­identifiziert­und­be- wertet werden. Das erlaubt es, Schwachstellen und Angriffsszenarien realitätsnah zu simulieren und Gegenmaßnahmen zu entwickeln, ohne die Produktion zu beeinträchtigen. WELCHE HERAUS- FORDERUNGEN GILT ES ZU MEISTERN? Die Herausforderung, die virtuelle Welt des di- gitalen Zwillings mit der physischen Produktion zu verknüpfen, liegt vor allem in der Integration von unterschiedlichsten Technologien und deren Daten. Die benötigten Daten existieren zumeist heute schon, auch wenn sich teilweise über die Qualität­streiten­lässt.­Informationen­über­ein- gesetzte Software, deren Versionen und Patch- level sowie über existierende Schwachstellen und deren Auswirkungen auf verbundene Geräte müssen präzise erfasst und in Echtzeit aktuali- siert werden. Das erfordert fortschrittliche Tech- nologien zur Datenanalyse und -verarbeitung. Die Komplexität steigt insbesondere dann, wenn Systeme und Technologien verschiedener Her- steller und Generationen miteinander verbun- den werden müssen. EINSATZ VON KÜNST- LICHER INTELLIGENZ Der Einsatz von künstlicher Intelligenz (KI) bietet uns schon heute zukunftsweisende Möglichkei- ten. Analysen zur Erkennung von Mustern und Anomalien, die auf potenzielle Sicherheitsrisi- ken hinweisen, sind bereits Standard. Durch den geschickten Einsatz von KI können Produktions- systeme fortlaufend verbessert und die Wahr- scheinlichkeit sowie das Ausmaß möglicher Cyberangriffe genauer vorhergesagt werden. Das ermöglicht es Unternehmen, proaktive Si- cherheitsmaßnahmen zu ergreifen, indem sie potenzielle­Bedrohungen­identifizieren,­bevor­ sie zu echten Problemen werden. In einer Zukunft, in der Cyberangriffe immer ausgefeilter werden und zur Tagesordnung ge- hören, stellt der Einsatz von digitalen Zwillingen in Verbindung mit KI für die Angriffssimulation somit einen wesentlichen Baustein für die Auf- rechterhaltung der Cyberresilienz in produzie- renden Unternehmen dar. WERTSCHÖPFUNGS- FAKTOR CYBERSECURITY Zukünftig werden produzierende Unternehmen, die bedarfsgerecht in Cybersecurity-Maßnah- men­investieren,­signifikante­Marktvorteile­rea- lisieren können. Diese Investitionen in die eigene Widerstandsfähigkeit erhöht die Produktionszu- verlässigkeit und gewährleisten eine kontinuier- liche­und­effiziente­Produktion.­Unternehmen­ können agiler auf sich ändernde Märkte reagie- ren und Innovationen vorantreiben. In der heutigen digital vernetzten Wirtschaft ist die Investition in Schutzmaßnahmen somit nicht nur eine Frage der Risikominimierung, sondern auch ein entscheidender Faktor für nachhaltiges Wachstum und den unternehmerischen Erfolg jedes Unternehmens. n THOMAS GRONENWALD ist Head of Industrial Cyber Security bei KPMG AG Wirtschaftsprüfungs- gesellschaft. IT-SICHERHEIT_1/2024 27

SECURITY MANAGEMENT | START-UPS Vertrauensbildung und dem Darstellen einer weit höheren Wertigkeit des Unternehmens bei Investoren und Kunden über den Schutz vor Cyberbedrohungen bis hin zu Marktvorteilen und­Wettbewerbsfähigkeit­–­die­Zertifizierung­ ist ein Schlüsselelement für junge Firmen, die in der digitalen Wirtschaft erfolgreich sein wollen. Ein ISMS nach ISO 27001 bietet: ƒ Schutz vor Cyberbedrohungen: Laut Studien von zum Beispiel Deloitte (www2.deloit- te.com/de/de/pages/mittelstand/contents/ cyber-security-im-mittelstand-studie.html) oder auch Lünendonk (www.luenendonk. de/produkte/studien-publikationen/lue- nendonk-studie-2023-von-cyber-security- zu-cyber-resilience-wie-unternehmen-auf- die-steigende-bedrohungslage-reagieren/) steigt die Masse der Cyberangriffe auf Unter- nehmen­immer­weiter­an.­Ungefähr­40 bis­ 45 Prozent der Angriffe richten sich dabei gegen kleine Unternehmen. Ein Segment, zu dem viele Start-ups gehören. Gerade im Hinblick auf die ständig weiter wachsende Bedrohungslage ist es um so wichtiger, dass Start-ups sich der Wichtigkeit der von ihnen verarbeiteten Informationen klar werden und diese angemessen schützen. ƒ Aufbau von Vertrauen: Ein ISMS nach ISO 27001­ist­nicht­bloß­die­Erfüllung­einer­­ Anforderung. Es demonstriert das eigene Engagement für die Sicherheit der Informa- tionen,­die­sich­im­eigenen­Besitz­befinden.­ Und genau dadurch kann das Vertrauen von Kunden und Investoren in das Start-up enorm gestärkt werden. ƒ Einhaltung gesetzlicher und/oder ver- traglicher Vorschriften: Die Einhaltung von Datenschutzgesetzen wie der Datenschutz- Grundverordnung (DSGVO) wird durch ein ISMS vereinfacht, was besonders für Start-ups wichtig ist, die in mehreren Märkten agie- ren.­Außerdem­finden­sich­immer­öfter­auch­ entsprechende Anforderungen in Kundenver- trägen. Diese werden dann ebenfalls direkt bedient. ƒ Skalierbarkeit und offene Marktsegmente: Wird ein ISMS gut beraten aufgebaut, erhöht es nicht nur sukzessive die Informationssi- cherheit und liefert als Gütesiegel Mehrwerte. Es hilft ebenfalls, gute Prozesse zu installieren und Strukturen zu schaffen, die das Wachs- tum nachhaltig machen und überhaupt erst Skalierungsfähigkeiten ins Unternehmen bringen. Dies dann sogar oftmals auf allen Ebenen. ƒ Größere Finanzierungsrunden: Nicht nur das gestärkte Vertrauen, sondern auch das schlagartig und durch unabhängige Dritte be- stätigte professionelle Auftreten beeindruckt Investoren regelmäßig und hebt ein Start-up aus der Masse hervor. Gleichzeitig öffnet die durch­die­Zertifizierung­aufgestoßene­Tür­zu­ Großkunden oft auch den Geldbeutel der In- vestoren. WORAUF IST BEI DER IMPLEMENTIERUNG ZU ACHTEN? Der Prozess der Implementierung eines ISMS in einem Start-up umfasst mehrere kritische Schritte: ƒ Festlegung der Sicherheitspolitik: Grund- lage für ein wirksames ISMS ist die klare Definition­einer­Sicherheitspolitik.­Diese­legt­ die Richtung und die Ziele der Informations- sicherheit fest und bildet das Fundament für alle weiteren Maßnahmen. Nur so kann sichergestellt werden, dass alle, die mit dem System arbeiten, dies auch effektiv tun. ƒ Risikobewertung: Eine der grundlegenden Komponenten bei der Implementierung eines ISMS ist die Risikobewertung. Hierbei werden potenzielle­Risiken­identifiziert,­bewertet­und­ priorisiert. Dieser Schritt ermöglicht es, ge- zielte Sicherheitsmaßnahmen zu planen und Ressourcen­effizient­einzusetzen.­ ƒ Kontrollauswahl: Basierend auf den Er- gebnissen der Risikobewertung erfolgt die Auswahl und Implementierung zielführen- der Sicherheitsmaßnahmen. Diese sollen die identifizierten­Risiken­minimieren­und­die­ Informationssicherheit nachhaltig gewähr- leisten. Gerade hier ist eine Umsetzung mit Weit- und Rundumblick wichtig. ƒ Schulung und Bewusstsein: Ein entschei- dender Schritt, der oft unterschätzt wird, ist die Schulung und Sensibilisierung der Mit- arbeiter. Es ist wichtig sicherzustellen, dass alle im Unternehmen die Wichtigkeit von Informationssicherheit verstehen und die festgelegten Sicherheitsrichtlinien umsetzen können. Auch und oder gerade unter Nutzung von KI-Tools nehmen die Angriffe auf Unter- nehmen über Social Engineering enorm zu. Auch­deren­Qualität­wird­immer­besser.­Umso­ wichtiger ist es, hier richtig zu schulen. ƒ Überwachung und Überprüfung: Die Im- plementierung eines ISMS ist nicht abge- schlossen, sobald die Sicherheitsmaßnahmen umgesetzt sind. Es ist von großer Bedeu- tung, dass kontinuierlich die Effektivität des ISMS überwacht und überprüft wird. Dies gewährleistet, dass es mit dem sich ständig verändernden Risikoumfeld Schritt hält und Anpassungen vorgenommen werden können. Das System, die Strategie und der geschaffe- ne Unternehmenswert müssen also gelebt werden. FAZIT Für Start-ups, die in der heutigen digitalisierten Welt­bestehen­wollen,­ist­ein­zertifiziertes­ISMS­ nach ISO 27001 kein Luxus, sondern eine Not- wendigkeit. Es schützt nicht nur vor Cyberbedro- hungen, sondern trägt auch wesentlich zum Ge- schäftserfolg und zur Marktpositionierung bei. Mit einem etablierten ISMS sind Start-ups besser gerüstet, um die Herausforderungen der heuti- gen digitalen Welt erfolgreich zu meistern. n ALEXANDER JABER ist CEO & Founder der Compliant Business Solutions GmbH, Experte für Informationssicherheit und Datenschutz, Universitätsdozent an der DIPLOMA. IT-SICHERHEIT_1/2024 29

SECURITY MANAGEMENT | NETZWERKSICHERHEIT über den Netzwerkverkehr, was zu einer verbes- serten Sicherheit führt. Darüber hinaus gibt es noch weitere Arten der Mikrosegmentierung: Mikrosegmentierung Netzwerksegmentierung teilt das Netzwerk in größere Segmente oder Zonen auf Definition Fokus teilt das Netzwerk in kleinere Segmente auf der Ebene einzel- ner Hosts oder Prozesse auf granulare Kontrolle und Sicht- barkeit auf der Ebene einzelner Geräte oder Anwendungen Fokus auf größere Netzwerk- segmente oder Zonen ƒ Anwendungssegmentierung: Hier wird die Ost-West-Kommunikation eingeschränkt. Verwaltung kann komplexer in der Verwal- tung sein aufgrund der Fein- granularität einfacher in der Verwaltung aufgrund der größeren Netz- werksegmente Vorteile Nachteile Zero Trust verbesserte Sicherheit, granu- lare Kontrolle und Sichtbarkeit, Flexibilität einfachere Implementierung und Verwaltung, weniger Kom- plexität kann komplexer in der Imple- mentierung und Verwaltung sein unverzichtbar für die Umset- zung einer Zero-Trust-Sicher- heitsrichtlinie, da jeglicher unautorisierte Zugriff auf eine Anwendung oder ein Gerät blo- ckiert werden kann weniger granulare Kontrolle und Sichtbarkeit, möglicher- weise weniger effektiv für Zero Trust Zero Trust kann schwieriger umzusetzen sein, da der Ver- kehr innerhalb eines Netzwerk- segments nicht inspiziert wird Tabelle 1: Mikro- und Makrosegmentierung im Überblick ments nicht von einer Next-Generation-Firewall (NGFW) überprüft. Mikrosegmentierung hinge- gen unterzieht den gesamten Verkehr im Unter- nehmensnetzwerk einer Inspektion. Das erhöht die Sicherheit, da jeglicher unautorisierter Zugriff auf eine Anwendung oder ein Gerät unabhängig von seinem Ursprung blockiert werden kann. Mikrosegmentierung ist auch eine gute Metho- de, um Legacy-Applikationen und -Systemsoft- ware abzuschirmen, für die der Hersteller keine Updates oder keinen Support mehr anbietet. In der Vergangenheit haben hostbasierte Sicher- heitskontrollen­häufig­Schwierigkeiten­bereitet.­ Sie waren schwer zu implementieren, schwie- rig zu verwalten und boten oft unzureichenden Schutz. Moderne hostbasierte Mikrosegmentie- rungs-Technologien haben jedoch viele dieser Herausforderungen überwunden. Sie bieten eine verbesserte Sichtbarkeit des Netzwerkverkehrs, granulare Kontrollen und eine einfachere Imple- mentierung und Verwaltung. Für die Umsetzung einer Zero-Trust-Sicherheits- richtlinie ist Mikrosegmentierung unerlässlich. Zero Trust erfordert die Fähigkeit, jeglichen unautorisierten Zugriff auf eine Anwendung oder ein Gerät zu blockieren, was die Überwa- chung des gesamten Datenverkehrs zu dieser Ressource voraussetzt, unabhängig von dessen Ursprung. ARTEN VON MIKROSEG- MENTIERUNGSTECHNIKEN Es gibt verschiedene Techniken zur Mikroseg- mentierung, darunter ƒ infrastrukturbasierte, ƒ hypervisorbasierte und ƒ hostbasierte Lösungen. Jede­davon­hat­ihre­Stärken­und­Schwächen;­die­ Auswahl­hängt­von­den­spezifischen­Anforde- rungen und der Organisation selbst ab. In hybriden Cloud-Umgebungen bietet die host- basierte Mikrosegmentierung echte Vorteile. Sie­ist­sehr­flexibel,­denn­sie­kann­sich­leicht­an­ wechselnde Netzwerkbedingungen anpassen. Darüber hinaus bietet sie eine feinere Kontrolle ƒ Segmentierung nach Umgebung: Eine Auf- teilung erfolgt zum Beispiel in Entwick- lungsabteilung, Produktion und Verwal- tung. ƒ Prozessbasierte Segmentierung: Diese Art ist sehr granular und wird auf Prozess- und Dienstebene abgebildet. Zum Beispiel kann ein­spezifischer­Software-Dienst­isoliert­ und nur zur Kommunikation auf explizit er- laubten Netzwerkpfaden, Protokollen und Ports zugelassen werden. Die feingranulare Aufgliederung kennt praktisch keine Grenzen, macht das Ganze aber auch komplexer. Man braucht also eine gute Stra- tegie. Deswegen sollten die Verantwortlichen in­den­Unternehmen­als­Erstes­herausfinden,­ welche Bereiche der eigenen IT besonders schützenswert sind. Anschließend sollten sie geeignete Sicherheitswerkzeuge auswählen, die sie bei der Segmentierung und der kontinu- ierlichen Überwachung der Netzwerksegmente unterstützen. BEST PRACTICES BEI DER UMSETZUNG EINER HOSTBASIERTEN MIKRO- SEGMENTIERUNG Die Implementierung und Verwaltung der host- basierten Mikrosegmentierung kann eine He- rausforderung sein. Es gibt Best Practices, die den Prozess erleichtern können. Erstens ist es wichtig, eine vollständige Sicht- barkeit des Netzwerkverkehrs zu haben, sowohl des Nord-Süd- als auch des Ost-West-Verkehrs. Als Nord-Süd-Verkehr bezeichnet man den Da- tenverkehr von einem internen Client zu einem externen Server. Der Begriff Ost-West-Verkehr beschreibt die Datenpakete. Während der Netz- werkentdeckungsphase sollten Informationen über Anwendungen, Workloads und aktive Verbindungen zwischen diesen gesammelt werden.­Quellen­für­zusätzliche­Informationen­ könnten­Konfigurationsmanagement-Daten- IT-SICHERHEIT_1/2024 31

Online­Schulungen IT­Sicherheit 2024 Themen Referenten Termine Einführung Notfallmanagement nach BSI­Standard 200­4 Tobias Baader IT­Sicherheit von M365 – Sicheres Design und sichere Konfiguration Eric Soldierer Betriebssystem Windows härten und absichern – Eine Schritt für Schritt Anleitung Tobias Elsner Das NIS2 Umsetzungsgesetz (NIS2UmsuCG): Was Unternehmen jetzt beachten müssen Tobias Baader Dirk Seeburg 13.06.2024 10.09.2024 19.11.2024 19.06.2024 25.09.2024 04.11.2024 29.05.2024 13.11.2024 19.06.2024 17.09.2024 12.11.2024 Incident­Response­Maßnahmen – Auf Sicherheitsvorfälle optimal reagieren Tobias Elsner Thomas Wallutis 10.06.2024 16.12.2024 Praxisfall: Herausforderungen und Bewältigung eines Cyberangriffes – vom Angriff bis zur Abwicklung Tobias Baader Informationssicherheit beim Einsatz von KI für IT, OT und im produzierenden Umfeld Alexander Jaber Physische Sicherheit für IT-Profis: Vom Konzept zur Umsetzung CISO und Consulting Exzellenz für Informationssicherheit Alexander Jaber Alexander Jaber Quickwins für IT­Sicherheit: Mental­Tool­Box für Sofortmaßnahmen zur Risikoreduzierung Alexander Jaber 11.06.2024 12.09.2024 14.11.2024 16.05.2024 11.07.2024 24.09.2024 18.07.2024 02.10.2024 11.11.2024 23.05.2024 01.08.2024 11.09.2024 25.07.2024 19.09.2024 21.11.2024 Jeweils von 10:00 Uhr bis 14:30 Uhr I online Änderungen bei Terminen bleiben vorbehalten. Jetzt anmelden für nur 349,– € zzgl. MwSt.: www.datakontext.com/it­sicherheit­seminare 10 % Rabatt für kes+ Abonnenten

SECURITY MANAGEMENT | QUANTENCOMPUTER Konsortialpartner Assoziierte Partner Abbildung 1: Das PlanQK Ökosystem (Quelle: PlanQK) und die Universalität der Einsatzmöglichkeiten machen­es­sehr­wahrscheinlich,­dass­Quanten- computing als buchbarer Service in den nächsten Jahren genauso verfügbar sein wird wie zum Beispiel TensorFLow, IBM Watson, ChatGPT oder andere KI-Services. Mit PlanQK gibt es sogar eine vielversprechen- de deutsche Initiative, verschiedene Systeme und Anbieter auf einer Plattform zur Verfügung zu stellen. Unter der Konsortialführung der Anaqor AG sind sowohl mehrere Anbieter von Modellierung von Energienetzen Dienstplanung Erkennung von Finanzbetrug Bausteine sicherer Identitäten Defektidentifikation von Straßen Kapazitäts- und Umlaufoptimierung Wasseranomalie- detektion in Gebäuden Kommunale Register-KI Initialregstrierung Geokadaster Verknüpfung & Kontrolle von Industriesteuerung Simulation von Prozess- & Materialeigenschaften Industrielle Produktionslinien … Flugzeugnavigation Routenplanung Data-driven CRM Anomalieerkennung in Netzwerken Servicetechniker- zuweisung Abbildung 2: Anwendungsbereiche von Quantencomputern (Quelle: PlanQK) IT-SICHERHEIT_1/2024 35 Quantencomputern als auch namhafte Player aus Forschung, Industrie und Beratung dabei (siehe Abbildung 1). Die Anwendungsszenarien reichen von Anomalie- und Betrugserkennung über Logistik-, Energie- und Dienstplanoptimie-rungen bis hin zur Vorhersage neuer Material-eigenschaften, um nur einige zu nennen (siehe Abbildung 2).Selbst Quantencomputer-Chips werden wir höchst wahrscheinlich in diesem Jahrzehnt genauso kaufen können wie Prozessoren oder Speicherchips. Solche „Zimmer-Temperatur-geeigneten“ Chips werden auch in Deutschland entwickelt. Vor allem autonome Systeme werden einen immensen Schub bekommen, denn die Echt-zeit-Verarbeitung großer Datenmengen aus diversen Sensoren wird die Erkennungs- und Reaktionsfähigkeit von autonomen Systemen dramatisch verbessern. Für alle wichtigen Zu-kunftsthemen wie Energiewende, Green Deal, Smart City oder virtuelle Welten versprechen

SECURITY MANAGEMENT | QUANTENCOMPUTER 64 Bits. Bereits in der Vergangenheit wurde das symmetrische Verschlüsselungsverfahren DES mit der Schlüssellänge von 56 Bit stark kritisiert, sodass die amerikanische Bundesbehörde Natio- nal Institute of Standards and Technology (NIST) damals einen Wettbewerb ins Leben gerufen hat, um ein neues symmetrischen Verschlüsselungs- verfahren­zu­finden.­Da­AES­auch­eine­Schlüssel- länge von 256 Bits anbietet, kann dieses symme- trische Primitive leicht angepasst werden. Viele Forscher und Forscherinnen gehen davon aus, dass­bereits­im­Jahr­2030­der­erste­Quantencom- puter existiert, der die heute eingesetzten kryp- tografischen­Verfahren­brechen­könnte.­­ Asymmetrische­kryptografische­Verfahren­kön- nen­durch­die­bereits­erwähnten­Quantenal- gorithmen komplett gebrochen werden. Bei bisher­entwickelten­Quantencomputern­ist­dies­ aber noch nicht möglich, da sie über nicht ge- nügend Leistung verfügen. Die Forschung auf diesem Gebiet schreitet jedoch voran, sodass quantenresistente­kryptografische­Verfahren­ bereits entwickelt und standardisiert werden müssen. Das Technologieunternehmen IBM will­im­Jahr­2024­einen­Quantencomputer­mit­ mindestens­1.386­Qubits­vorstellen­(siehe­Ab- bildung 3). Im darauffolgenden Jahr ist bereits ein­Quantencomputer­mit­mindestens­4.185­ Qubits­geplant.­ Das NIST hat schon vor vielen Jahren das Pro- blem erkannt und einen Auswahlprozess zur Standardisierung­von­Post-Quanten-Kryptogra- fie­Verfahren­begonnen.­Post-Quanten-Krypto- grafie­bezeichnet­im­Allgemeinen­die­Forschung­ zu­quantensicheren­kryptografischen­Verfahren.­ Sie basieren auf mathematischen Problemen, die­auch­mit­einem­Quantencomputer­nach­ aktuellem­Stand­der­Forschung­nicht­effizient­ gelöst werden können. Es gibt gitterbasierte, codebasierte, hashbasierte, multivariate und isogeniebasierte­Post-Quanten-Kryptografie- (PQC)-Verfahren. Im Auswahlprozess wurden quantensichere kryptografische­Verfahren­eingereicht,­mit­denen­ beispielsweise Sitzungsschlüssel ausgetauscht und digitale Signaturen erstellt werden konnten. Ob diese Verfahren tatsächlich quantensicher sind, musste gründlich untersucht werden. Der Standardisierungsprozess verläuft in meh- reren Runden. Die Verfahren werden in jeder Runde­hinsichtlich­vordefinierter­Kriterien­ bewertet, wie zum Beispiel der Sicherheit und der Performance. Im Juni 2022 wurde die dritte Runde beendet, was zur Folge hatte, das erste Verfahren zur Standardisierung und weitere Finalisten für die vierte Runde ausgewählt wur- den. Alle Dokumentationen zu den eingereich- ten Verfahren sind öffentlich einsehbar. Für die vierte Runde hat es das isogeniebasier- te Verfahren SIKE geschafft, welches jedoch nur wenige Wochen später mit einem klassischen Computer innerhalb von wenigen Stunden ge- brochen worden ist. Die Hoffnung auf sichere isogeniebasierte­kryptografische­Verfahren,­die­ mithilfe von Isogenien zwischen supersingulä- ren elliptischen Kurven konstruiert werden, war nicht mehr haltbar. Zu diesem Zeitpunkt standen nur noch gitterba- sierte und hashbasierte Verfahren zur Erstel- lung von quantensicheren digitalen Signatu- ren zur Verfügung. Das hashbasierte Verfahren SPHINCS+ gilt zwar als sehr sicher, ist aber aufgrund der schlechten Performance nicht alltagstauglich. Sollten sich in der Zukunft die gitterbasierten Verfahren als unsicher erweisen, so gäbe es in diesem Bereich keine quantensi- cheren Alternativen. Dieses Problem hat NIST erkannt und zum 1. Juni 2023 erneut aufgerufen, das neue Verfahren zur Erstellung von digitalen Signaturen eingereicht werden dürfen. 40 der eingereichten Verfahren entsprechen den An- forderungen und werden nun weiter untersucht – eins davon ist sogar isogeniebasiert. Der Stan- dardisierungsprozess bei NIST soll im Jahr 2024 beendet werden. BEDEUTUNG FÜR DIE PRAXIS Was genau bedeutet das nun für die Industrie? Diese neuen Verfahren müssen in kryptogra- fische­Soft-­und­Hardware-Module­imple- mentiert­werden­und­auch­kryptografische­ Protokolle, wie zum Beispiel das Protokoll zur sicheren Datenübertragung TLS, müssen ent- sprechend weiterentwickelt werden. Da das Bundesamt für Sicherheit in der Informations- technik (BSI) während der Übergangsphase die Verwendung­von­Post-Quanten-Kryptogra- fie-Verfahren­in­Kombination­mit­klassischen­ kryptografischen­Verfahren­fordert,­muss­ die Public-Key-Infrastruktur in der Lage sein, sowohl klassische asymmetrische Schlüs- sel­als­auch­PQC-Schlüssel­zu­verwalten.­Dies­ erfordert die Implementierung zusätzlicher Prozesse und Tools zur Generierung, Speiche- rung­und­Verwaltung­von­PQC-Schlüsseln­und­ Zertifikaten.­ ZZeeiitt ddeerr BBeeddrroohhuunngg zzuu bbeeggeeggnneenn!! BBeeddrroohhuunngg nniicchhtt mmeehhrr aabbzzuuwweennddeenn DDaatteenn bbeeddrroohhtt,, ffaallllss nniicchhtt mmiiggrriieerrtt!! SSiicchheerruunnggsszzeeiitt „„xx““ VVeerrffüüggbbaarrkkeeiitt bbrreecchheennddeerr QQuuaanntteennccoommppuutteerr „„zz““ UUmmsstteelllluunnggsszzeeiitt „„yy““ ZZeeiitt xx == AAnnzzaahhll JJaahhrree ,, ddiiee aabbggeessiicchheerrtt wweerrddeenn mmüüsssseenn yy == BBeennööttiiggttee ZZeeiitt ffüürr ddiiee UUmmsstteelllluunngg aauuff qquuaanntteennssiicchheerree KKrryyppttooggrraaffiiee zz == AAnnzzaahhll JJaahhrree,, bbiiss QQuuaanntteennccoommppuutteerr ddiiee aakkttuueellll vveerrwweennddeettee KKrryyppttooggrraaffiiee ggeeffäähhrrddeenn Abbildung 4: Wie viel Zeit bleibt für die Migration? (Quelle: Grutzig/Scholz) IT-SICHERHEIT_1/2024 37

10 % Rabatt für kes+ Abonnenten Quickwins für IT­Sicherheit: Mental­Tool­Box für Sofortmaßnahmen zur Risikoreduzierung 25.07.2024 I online 19.09.2024 I online Referent: Alexander Jaber Schwerpunkte: ◾ Grundlagen der Informationssicherheit ◾ Identifikation von IT-Risiken ◾ Entwicklung von Quickwins ◾ Best Practices ◾ Risikomanagement-Methoden Jetzt anmelden: www.datakontext.com/it­sicherheit Looker_Studio - stock.adobe.com

SECURITY MANAGEMENT | MITRE ATT&CK MATRIX I n einer IT-Infrastruktur ist eine Viel- zahl von Produkten zur Erhöhung der Sicherheit im Einsatz. Das wohl bekann- teste Tool ist die Firewall. Mit der E-Mail als Einfallstor Nummer eins für Schadsoftware gehören aber auch E-Mail-Security-Gateways und Endpunkt-Virenscanner zur Grundaus- stattung. Diese werden von den Verantwort- lichen in den Unternehmen meist noch durch Intrusion-Detection-and-Prevention-(IDS/ IPS)-Systeme sowie Extended-Detection-and- Response-(XDR)-Lösungen ergänzt. Alle diese Sicherheitskomponenten – aber auch die meisten anderen Systeme heutiger IT- Infrastrukturen – protokollieren umfangreiche Informationen über durchgeführte Änderungen oder erfolgte Zugriffe. Viele moderne Angriffs- formen lassen sich erst durch die Zusammen- schau­dieser­Informationen­identifizieren.­Die­ MITRE „Adversarial Tactics, Techniques and Common­Knowledge“-(­ATT&CK)-Matrix­kann­ dabei helfen, diese Daten zu strukturieren und zu entscheiden, welche Daten sicherheitsrele- vant sind und welche fehlen, um einen Angriff möglichst schnell zu erkennen. WAS IST DAS MITRE ATT&CK-FRAMEWORK Die­MITRE­ATT&CK­Matrix­wurde­von­der­Organi- sation MITRE entwickelt, die sich mit verschie- denen Programmen im Bereich IT-Sicherheit Abbildung 1: Darstellung eines Attack-Lifecycles durch Defender XDR (Bild: Net at Work GmbH) IT-SICHERHEIT_1/2024 41 engagiert. Neben der Enterprise Matrix gibt es noch eine Matrix für mobile Betriebssysteme und eine für Industrial Control Systems (ICS).Das­ATT&CK-Framework­stellt­Informationen­über­Cyberbedrohungen­und­Vorgehensweisen­von Angreifergruppen zur Verfügung, setzt sich mit­den­verschiedenen­Phasen­eines­Hacker-angriffs auseinander und ordnet den Phasen Angriffstechniken­zu,­die­auf­realen­Ereignissen­basieren.­Dabei­werden­die­Techniken­innerhalb­der­Enterprise­Matrix­aktuell­in­die­folgenden­14 Taktiken­als­Spalten­eingeordnet.­ ƒReconnaissance Hier sammeln Angreifer Informationen für ei-nen späteren Angriff. ƒRessource Development Beschaffung von Ressourcen, die für einen späteren­Angriff­genutzt­werden­können ƒInitial Access Der Angreifer verschafft sich Zugriff zum Un-ternehmensnetzwerk. ƒExecution Ausführung­von­Schadsoftware ƒPersistence Der Angreifer verfestigt den Zugriff, um längerfristigen Zugang zu den Systemen zu behalten. ƒPrivilege Escalation Verschaffen von höheren Berechtigungen im Unternehmensnetzwerk ƒDefense Evasion Verwischen von Spuren, um unerkannt zu bleiben ƒCredential Access Der Angreifer versucht, an die Zugangsdaten des Benutzers zu kommen. ƒDiscovery Aufbau eines umfassenden Überblicks über das Unternehmensnetzwerk ƒLateral Movement Verbreitung im Netzwerk und Kompromittie-rung von weiteren Systemen ƒCollection Sammeln von relevanten Unternehmensdaten ƒCommand and Control Erlangen der Kontrolle über die Systeme ƒExfiltration Daten auslesen und stehlen ƒImpact Manipulation oder Beschädigung der Systeme und DatenIn der Matrix werden die einzelnen Techniken dann in die Spalte mit der jeweiligen Taktik ein-sortiert und beschrieben. Die Beschreibung gibt Empfehlungen, wie sich diese Angriffe erkennen lassen, und erläutert Möglichkeiten zur Vor-beugung­oder­Reduzierung­der­Angriffsfläche.­Da rüber hinaus werden Beispiele für bekannte Angriffe oder Schadprogramme aufgeführt, die sich dieser Technik bedienen. Mithilfe dieser Einordnung kann abgeleitet wer-den, welche Protokolle oder Log-Informationen für die Erkennung wichtig sind. Man sollte zu-dem sicherstellen, dass diese Informationen in das zentrale Security-Information-and-Event-Management-(SIEM)-System­einfließen.­Ein Beispiel: Eine Technik in der Phase „Defense Evasion“ ist Indicator Removal. Konkret geht es hier darum, dass Angreifer im Unternehmens-netzwerk versuchen, durch das Ändern oder

SECURITY MANAGEMENT | MITRE ATT&CK MATRIX angebunden.­Die­angeschlossenen­Log-Quellen­ werden mit Analyseregeln untersucht, und jede Regel kann einer oder mehreren Taktiken zuge- ordnet werden. Somit ergibt sich eine Über- sicht, welche Techniken und Taktiken der MITRE ATT&CK­Matrix­gut­abgedeckt­sind­und­wo­Blind­ Spots vorhanden sind. BLIND SPOTS SCHLIEßEN Wurden­nun­mit­der­integrierten­ATT&CK­­Matrix­ in Microsoft Sentinel die Blind Spots ermittelt, muss man als Nächstes für die Schließung dieser Lücken sorgen. Dabei hilft das folgende Vor- gehen: 1. Priorisierung Je nachdem wie viele Phasen oder Techniken ohne angebundene Datenquellen ermittelt wurden, ist hier eine Priorisierung unerläss- lich, um nicht den Fokus zu verlieren. Die Priorisierung kann sich jedoch bei verschie- denen Organisationen unterscheiden. Hierbei können zum Beispiel spezielle Branchenbe- drohungen oder regionale Bedrohungen eine Rolle spielen. Des Weiteren kann auch eine Abbildung 3: Beispiel eines Daten-Connectors (Bild: Net at Work GmbH) Einordnung nach Angriffsgruppen bei der Priorisierung helfen. Werden die Angriffs- gruppen ermittelt, die eine entsprechende Relevanz für das Unternehmen haben, kann sich die Blind-Spot-Analyse auf die einge- setzten Techniken fokussieren. 2. Identifizierung der Datenquelle Wurden die fehlenden Bereiche ermittelt, wird als Nächstes geklärt, ob die Daten prin- zipiell bereits im SIEM vorhanden sind bezie- hungsweise ob überhaupt Protokollinforma- tionen­sinnvoll­zur­Identifizierung­genutzt­ werden können. Um die notwendigen Daten- quellen zu ermitteln, kann wieder die MITRE ATT&CK­Matrix­zu­Rate­gezogen­werden. 3. Anbindung von Datenquellen Fehlende Log-informationen müssen nun per Daten-Connector angebunden werden. Wur- de beispielsweise ermittelt, dass bestimmte Event Logs von Windows-Servern zur Erken- nung von Angriffen dienen können, kann ein Event Log Forwarding eingerichtet werden. Sind hingegen zusätzliche Firewall-Logs er- forderlich, kann eine Syslog-Anbindung an Microsoft Sentinel helfen, die Informations- lücke zu schließen. Für viele Produkte stehen bereits vorgefertigte Connectoren zur Verfü- gung,­die­nur­konfiguriert­werden­müssen. 4. Analyseregeln Wenn die Daten bereits vorhanden waren oder nun durch zusätzliche Anpassungen oder neue Daten-Connectoren vorhanden sind, sollte das SIEM bei Auffälligkeiten min- destens alarmieren. Dafür werden Analyse- regeln eingerichtet, die per Abfragesprache Logs durchsuchen und einen Alarm auslösen, wenn die Abfrage ein entsprechendes Ergeb- nis zurückgibt. Diese Analyseregeln werden mit­den­MITRE­ATT&CK-Techniken­verknüpft,­ sodass dann auch in der integrierten Matrix die Abdeckung weiter visualisiert werden kann. In dem Beispiel von oben für die Tech- nik „Indicator Removal“ kann so etwa das Löschen des Windows Security-Logs einen Alarm auslösen. Dafür wird zunächst das re- levante Event mit der ID „1102“ per Event Log Forwarding vom Domain Controller an Mi- crosoft Sentinel angebunden. Das Event wird immer dann protokolliert, wenn das Security- Log gelöscht wird. In einer Analyseregel wird das Aufkommen dieses Events also abgefragt und mit der Technik „T1070 – Indicator Re- moval on Host“ verknüpft. 5. Visualisierung Bei einigen Daten kann eine zusätzliche gra- fische­Aufbereitung­der­Logs­sinnvoll­sein.­ So kann im Analysefall schnell ein Überblick gewonnen werden. Die Aufbereitung in Form von­Grafiken­oder­Tabellen­ist­ebenfalls­mit­ Microsoft Sentinel möglich. FAZIT Die Analyse vieler Daten und die Ausarbeitung der relevanten Daten zur Angriffserkennung ist mit steigender Komplexität in IT-Infrastrukturen eine Herausforderung. Neuerungen bei Angriffs- mustern oder neuartige Bedrohungen machen diese Aufgabe nicht leichter. Mit der MITRE ATT&CK­Matrix­und­einer­strukturierten­Einbin- dung in ein SIEM ist es jedoch möglich, die Blind Spots im Blick zu behalten und die Abdeckung über die Angriffsphasen zu optimieren. n THOMAS WELSLAU ist Competence Lead Security bei Net at Work GmbH. IT-SICHERHEIT_1/2024 43 . m o c . e b o d a k c o t s - w o F e g a m l I : d l i B

SERVICE | BUCHBESPRECHUNG DSGVO, BDSG, TTDSG Kommentar P ünktlich fünf Jahre nach Wirk- samwerden der Datenschutz- grundverordnung (DSGVO) und fünf­Jahre­nach­Erscheinen­der­Vorauflage­liegt­ der Kommentar von Plath und seinem Auto- renteam zur DSGVO und zum Bundesdaten- schutzgesetz (BDSG) seit Mai 2023 in überar- beiteter Form vor. Während bei Erstellen der Vorauflage­noch­viele­Aussagen­zur­DSGVO­ Spekulationen­waren,­fußt­die­aktuelle­Auflage­ auf einigen Praxiserfahrungen, aber auch auf einer sich stets ausweitenden Rechtsprechung. Die hieraus gewonnenen Erkenntnisse hat das Autorenteam, das überwiegend aus Anwälten besteht, für die betriebliche Praxis auf rund 850 Seiten­aufgearbeitet. Dabei stellt der Verlag insbesondere die Einar- beitung folgender Themen und Aktualisierungen heraus: ƒ EuGH: gemeinsame Verantwortlichkeit (u. a. Facebook-Fanpages) ƒ EuGH und BGH: Klagebefugnis von Verbraucherschutzverbänden ƒ EuGH und BGH: Umfang des Auskunfts- anspruchs nach Art. 15 DSGVO ƒ BVerfG: Recht auf Vergessen ƒ Bereichsspezifischer­Datenschutz Plath DSGVO/BDSG/TTDSG 2023, 4. Auflage 1.717 Seiten 169,00 € Verlag Dr. Otto Schmidt ISBN 978­3­504­56076­8 ƒ Standardvertragsklauseln zu Drittland- transfers und zur Auftragsverarbeitung ƒ Datenschutzrechtliche Einwilligung, Reichweite des Koppelungsverbots, Schutz von Kindern ƒ COVID-19-Pandemie: Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis ƒ Haftung und Recht auf Schadensersatz ƒ Bußgelder nach der DSGVO Ergänzt wird die Kommentierung der DSGVO um eine umfangreiche Kommentierung des BDSG mit circa 500 Seiten und des Telekommunikati- on-Telemedien-Datenschutz-Gesetzes (TTDSG) mit knapp 300 Seiten. Dabei umfasst die Kom- mentierung des BDSG alle vier Teile des BDSG, also auch die Bestimmungen zur Umsetzung der Richtlinie (EU) 2016/680. Das Autorenteam bemüht sich im Rahmen sei- ner Kommentierung, die komplexen juristischen Zusammenhänge für die Praxis verständlich zu machen. Ob man hierzu heute immer noch Fälle diskutieren muss, die im Übergang zur DSGVO relevant waren, wie die Frage der Weitergeltung von „Altverträgen“ zur Auftragsverarbeitung, ist Geschmackssache. Dennoch zeigt dies auch, wie detailliert sich das Autorenteam um alle Fa- cetten der jeweiligen Norm kümmert. Vor allem praxisrelevante Normen werden intensiv be- handelt. So enthält zum Beispiel § 26 BDSG auf circa 100 Seiten über die reine Kommentierung des Paragrafen hinausgehende umfangreiche Ausführungen zu praxisrelevanten Themen des Beschäftigtendatenschutzes. Auch die Kommen- tierung des „Cookie-Paragrafen“, § 25 TTDSG, umfasst auf crica 60 Seiten eine umfassende Auseinandersetzung mit täglichen Fragen im Bereich der Webseitengestaltung. Das Werk unterstützt Praktiker in Unternehmen mit Arbeits- und Argumentationshilfen in ihrer Arbeit. n THOMAS MÜTHLEIN ist Geschäftsführer der DMC Datenschutz Management & Consulting GmbH. IT-SICHERHEIT_1/2024 45

schläge. Es folgte der Trilog, in dem Parlament, Minister- rat und Kommission sich auf den finalen Verordnungs- text einigten. Die Einigung gelang im Dezember 2023 unter der spanischen Ratspräsidentschaft. Im Februar 2024 soll die finale Abstimmung über die KI-VO erfolgen. Seit dem 22. Januar 2024 ist der vermutlich endgültige Verordnungstext jedoch öffentlich verfügbar, nachdem er von mehreren Journalist:innen geleakt wurde. Es ist zu erwarten, dass die Verordnung noch vor der Wahl des Europäischen Parlaments im Juni 2024 in Kraft treten wird, gut möglich sogar noch im ersten Quar- tal des Jahres. Anschließend wird es grundsätzlich eine zweijährige Umsetzungsfrist geben. Gewisse Regelungen sollen jedoch bereits sechs Monate nach Inkrafttreten der Verordnung gelten. Dies sind die allgemeinen Be- stimmungen aus Titel I, die insbesondere Anwendungs- bereich und Definitionen beinhalten, sowie Titel II, in dem gewisse Praktiken verboten werden. Zwölf Monate nach dem Inkrafttreten müssen die Mitgliedstaaten so- genannte notifizierte Stellen eingerichtet haben, zudem sollen bis dahin ein europäischer Ausschuss für künstli- che Intelligenz sowie nationale Aufsichtsbehörden ein- gerichtet werden. Die Bestimmungen hinsichtlich Gene- ral Purpose KI sowie zu Vertraulichkeit und Sanktionen sollen ebenfalls bereits nach zwölf Monaten zu beachten sein. Die Bestimmungen für Hochrisiko-KI nach Anhang II zur KI-VO, ein Herzstück der Verordnung, sollen hin- gegen erst nach 36 Monaten Anwendung finden. Der Anwendungsbereich der Verordnung Der sachliche Anwendungsbereich der KI-VO bestimmt sich über Art. 3 Abs. 1 der Verordnung, in der künstliche Intelligenz erstmals gesetzlich definiert wird. Die Defi- nition war über den gesamten Gesetzgebungsprozess Gegenstand von Diskussionen und entspricht in ihrer finalen Form keiner der zwischenzeitlich gemachten Vorschläge. Vielmehr orientiert sie sich an der jüngst ak- tualisierten Definition für KI der Organisation für wirt- schaftliche Zusammenarbeit und Entwicklung (OECD). Frei übersetzt aus dem englischen Entwurfstext ist ein KI-System danach „[…] ein maschinengestütztes Sys- tem, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und nach seiner Einführung eine Anpassungsfähigkeit aufweist, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beein- flussen können.“ Jede Technik, die unter diese Definition zu subsumie- ren ist, wird in Zukunft grundsätzlich unter das Regime der KI-VO fallen. Gewisse Ausnahmen sollen jedoch für RECHT | KI-GESETZ Der persönliche Anwen- dungsbereich der KI-VO um- fasst insbesondere Anbieter und Betreiber von KI-Syste- men. Als Anbieter gelten alle natürlichen oder juristi- schen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System entwickeln oder entwickeln lassen, um es unter eige- nem Namen oder ihrer Mar- ke auf den Markt zu bringen oder selbst zu verwenden. Open-Source-Software, privat genutzte KI, Forschung zu KI und KI für Sicherheits- und Verteidigungszwecke gelten. Der persönliche Anwendungsbereich der KI-VO umfasst insbesondere Anbieter und Betreiber von KI-Systemen. Als Anbieter gelten alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder sonstige Stel- len, die ein KI-System entwickeln oder entwickeln lassen, um es unter eigenem Namen oder ihrer Marke auf den Markt zu bringen oder selbst zu verwenden. Betreiber sind diejenigen natürlichen oder juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System unter der eigenen Verantwortung verwen- den. Zudem wird die KI-VO Vorgaben für Einführer und Händler von KI-Systemen sowie Produkthersteller, die KI-Systeme zusammen mit ihrem Produkt unter ihrem Namen oder ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen, enthalten. In ihrem räumlichen Anwendungsbereich soll die Ver- ordnung für alle Anbieter gelten, die ein KI-System in der Union auf den Markt bringen oder verwenden, unab- hängig davon, ob sie in der Union oder einem Drittland niedergelassen sind. Für Betreiber gilt die KI-VO, wenn sie in der EU niedergelassen sind. Zudem gilt die Ver- ordnung für Anbieter und Betreiber von KI-Systemen, IT-SICHERHEIT_1/2024 IT-SICHERHEIT_1/2024 47 47

setzt werden sowie KI-Systeme in der Risikokalkulation und Bepreisung von Policen in Versicherungen. Da die Anforderungen für Hochrisiko-KI sehr umfangreich und komplex sein werden, ist es für Unternehmen unabding- bar, schon jetzt festzustellen, ob sie davon betroffen sein werden. Darüber hinaus regelt die Verordnung KI-Systeme mit geringem Risiko. Bei diesen handelt es sich vor allem um KI, die dafür bestimmt ist, mit Menschen zu interagieren. Hauptsächlich soll bei deren Nutzung garantiert werden, dass natürlichen Personen mitgeteilt wird, dass sie es mit einer KI zu tun haben. Outputs sollen als KI-generiert ge- kennzeichnet werden und Anbieter von General Purpose KI, wie etwa ChatGPT, müssen (unter Einschränkungen) sicherstellen, dass ihre technischen Lösungen wirksam, interoperabel, robust und zuverlässig sind. Zuletzt werden in der Gesetzesbegründung zum Ver- ordnungsvorschlag KI-Systeme mit minimalem Risiko genannt. Das von ihnen ausgehende Risiko soll jedoch so klein sein, dass sie nicht dem Anwendungsbereich der KI-VO unterfallen sollen. Für sie erwachsen aus der kommenden Verordnung daher keine Verpflichtungen. Jedoch sieht die KI-VO die Einführung von freiwilligen Verhaltenskodexen vor, die sich an den Vorgaben der Verordnung orientieren und auch für KI mit minimalem Risiko eingeführt werden können. Die Pflichten für Hochrisiko­KI Für Hochrisiko-KI enthält die kommende KI-VO einen extensiven Pflichtenkatalog. Diese Pflichten richten sich zuvörderst an Anbieter von Hochrisiko-KI-Systemen. Dazu zählt beispielsweise die Pflicht, ein Risikomanage- ment-System einzurichten, Pflichten hinsichtlich der verwendeten Datensätze und der Daten-Governance sowie Transparenz- und Dokumentationspflichten. Zu- dem sollen Anbieter von Hochrisiko-KI-Systemen ein Konformitätsbewertungsverfahren für diese durchfüh- ren. Jedoch sind auch Pflichten für Betreiber und andere Akteure in der KI-Wertschöpfungskette enthalten. Für Betreiber umfasst dies etwa die Pflicht, eine mensch- liche Aufsicht zu bestimmen sowie Verpflichtungen hinsichtlich der Eingabedaten. Außerdem können unter bestimmten Voraussetzungen auch alle anderen Akteure Adressaten der umfangreichen Anbieterpflichten wer- den. So zum Beispiel, wenn sie eine bereits existierende Hochrisiko-KI mit ihrem Namen oder ihrer Marke verse- hen oder wesentliche Änderungen an einer bestehenden Hochrisiko-KI vornehmen. RECHT | KI-GESETZ Für Hochrisiko-KI enthält die kommende KI-VO einen extensiven Pflichtenkatalog. Diese Pflichten richten sich zuvörderst an Anbieter von Hochrisiko-KI-Systemen. KI-Modelle, die ein Spektrum unterschiedlicher Aufga- ben kompetent auszuführen können, unabhängig da- von, wie das Modell auf den Markt gebracht wird, und das in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden kann. Darunter fallen beispielsweise Large Language Models wie ChatGPT. Im ursprünglichen Verordnungsentwurf war diese Klassifi- zierung für KI nicht vorgesehen, weshalb sie außerhalb der Risikotaxonomie der Verordnung stehen. In der fina- len Version wurde den General-Purpose-Modellen mit Titel VIII A nun sogar ein eigener Abschnitt gewidmet. Darin werden die Modelle in einem abgestuften Ansatz geregelt: Es wird unterschieden zwischen allgemeinen GP-Modellen und GP-Modellen, von denen ein syste- misches Risiko ausgeht. Letztere umfasst solche KI, die einen bestimmten Schwellenwert an Rechenressour- cen für das Training erreicht. Die EU-Kommission wird ermächtigt, delegierte Rechtsakte zu erlassen, um die Schwellenwerte zu ändern, oder weitere Kriterien zu bestimmen, wann von einem Modell ein systemisches Risiko anzunehmen ist. Für alle GP-Modelle sollen grundlegende Dokumenta- tions- und Informationspflichten sowie bestehendes EU-Urheberrecht und die Pflicht zur Zusammenfassung der zum Training verwendeten Inhalte bestehen. Für Modelle mit einem systemischen Risiko gilt zudem die Verpflichtung zur Bewertung der systemischen Risiken, kontradiktorische Tests durchzuführen, über Zwischen- fälle unverzüglich an ein einzurichtendes europäisches KI-Büro und die nationalen Aufsichtsbehörden zu be- richten sowie ein hohes Maß an Cybersicherheit für die Modelle und ihre physische Infrastruktur zu gewährleis- ten. SANKTIONSREGIME GENERAL PURPOSE KI Als General Purpose (GP) KI (deutsch: KI mit allgemei- nem Verwendungszweck) definiert die KI-VO solche Für den Fall der Nichteinhaltung sieht die KI-VO teilwei- se sehr hohe Bußgelder vor. Wie hoch diese im Einzelfall tatsächlich ausfallen werden, richtet sich nach der Art des Verstoßes. Bis zu 35 Millionen Euro oder 7 Prozent IT-SICHERHEIT_1/2024 49

Das Cybersecurity-Erfordernis aus der KI-VO für Hochri- siko-KI lässt sich so zusammenfassen, dass die Systeme widerstandsfähig gegen Versuche sein müssen, ihre Nut- zung, ihr Verhalten und ihre Leistung zu verändern. Um diese Ziele zu erreichen, müssen entsprechende organi- satorische und technische Lösungen implementiert wer- den. Zudem ist eine Bewertung der Cybersicherheitsri- siken vorzunehmen. Die technischen Lösungen müssen den jeweiligen Umständen und Risiken angemessen sein. Zudem müssen Anbieter von Hochrisiko-KI diese gem. Art. 13 KI-VO mit Gebrauchsanleitungen für Betreiber ausstatten. Diese müssen unter anderem Informationen über die IT-Sicherheit eines Systems nach Art. 15 KI-VO enthalten. Darüber hinaus müssen Anbieter von Hoch- risiko-KI technische Dokumentationen durchführen, in denen die eingerichteten Cybersecurity-Maßnahmen aufgeführt werden. Ferner müssen für alle Hochrisiko- KI-Systeme Konformitätsbewertungsverfahren durch- geführt werden, aus denen hervorgeht, dass sie die An- forderungen der Verordnung erfüllen, zu denen auch die Cybersecurity gehört. IT-Sicherheitsanforderungen stellt die KI-VO zudem für GP-Modelle mit einem systemischen Risiko auf. Für alle sonstigen GP-Modelle fehlt ein solches Erfordernis jedoch. In Anbetracht der immer verbreiteteren Ver- wendung derartiger Modelle in allen Lebensbereichen scheint ein solches Erfordernis etwas zu fehlen. Zu be- achten ist freilich, dass GP-Modelle, die unter die den Anwendungsbereich der Hochrisiko-KI fallen, freilich auch die Vorgaben für diese befolgen müssen. Die KI­VO im Zusammenspiel mit dem Cyber­ security Act Die KI-VO wird sich mit Inkrafttreten in eine Reihe von bereits bestehenden und noch kommenden Gesetzen eingliedern, die die Stärkung der IT-Sicherheit zum Ziel haben. Im Zusammenspiel ist unter diesen wohl vor al- lem der im Juni 2019 in Kraft getretene Cybersecurity Act (CSA) von Bedeutung. Das Gesetz enthält zum einen ein permanentes Mandat für die europäische Cybersicher- heitsagentur ENISA und zum anderen einen Rahmen für die Sicherheitszertifizierung von Produkten, Dienstzei- tungen und Prozessen. Dabei wird es bei Techniken, die sowohl unter den Anwendungsbereich des CSA als auch der KI-VO teilweise zu Überlappungen kommen, da letz- tere ebenfalls ein Zertifizierungsverfahren vorsieht. Um diesbezüglich Synergien zu nutzen, verweist die KI-VO in Art. 42 Abs. 2 direkt auf den CSA und normiert, dass bei KI-Systemen, die nach diesem bereits eine Zertifizierung erhalten haben, die Vermutung besteht, dass sie den Anforderungen des Art. 15 KI-VO genügen. Zumindest hinsichtlich des Cybersecurity-Erfordernisses können sich Unternehmen die Überschneidungen hier folglich RECHT | KI-GESETZ zunutze machen. Die Zertifizierungsverfahren aus bei- den Verordnungen unterscheiden sich jedoch teilweise, sodass Abweichungen und Eigenheiten dabei stets im Blick gehalten werden müssen. FAZIT Die KI-VO ist das erste Gesetz, das die Entwicklung und die Nutzung von KI umfassend regelt. Sie markiert damit einen Meilenstein in der KI-Regulierung und soll dazu beitragen, das Vertrauen in KI-Technologien zu stärken und ihre sichere Nutzung zu fördern. Sie adressiert die wachsende Bedeutung von KI-Systemen in verschiede- nen Sektoren und hat dabei auch Implikationen für die IT-Sicherheit der Modelle. Da die Anforderungen der Verordnung mitunter komplex sein können, gilt es für Unternehmen, sich bereits jetzt darauf vorzubereiten. Dabei ist zunächst festzustellen, ob die eigenen Tech- nologien überhaupt unter den Anwendungsbereich der KI-VO fallen und anschließend, welcher Risikoklasse sie zuzuordnen sind. Insbesondere für Hochrisiko-KI sind strenge Vorgaben enthalten, die sich auch auf die IT-Sicherheit der Systeme auswirken. In der Compliance mit der Verordnung lassen sich teilweise Synergien mit anderen Gesetzen feststellen, wie etwa mit dem Cybersecurity Act. Dabei sind jedoch stets die spezifi- schen Anforderungen der Regelwerke zu betrachten. Die Entwicklung von Standards und Prüfkriterien zur Bewertung der Sicherheit von KI-Systemen, vor allem in sicherheitskritischen Anwendungen, benötigt besonde- re Aufmerksamkeit. Die Kombination aus technischer Expertise und regulatorischer Perspektive ist dabei ent- scheidend, um sowohl bestehende als auch potenzielle Risiken effektiv zu managen. n JOHANNES GILCH, LL.M. (Dresden/Strasbourg) ist Rechtsanwalt bei Schürmann Rosenthal Dreyer und spe- zialisiert auf die Beratung in den Bereichen IT-Sicherheit, Datenschutz und Telekommunikationsrecht. Seine Expertise erstreckt sich zudem auf den Einsatz von KI-Systemen im Gesundheitswesen. Dabei konzentriert er sich nicht nur auf die rechtlichen Aspekte der digitalen Transformation, sondern auch auf die Förderung innovativer Ansätze zum Schutz von Daten und Systemen. www.srd­rechtsanwaelte.de VALENTIN TANCZIK LL.M. (Groningen) ist wissenschaftlicher Mitarbeiter bei Schürmann Rosenthal Dreyer und verfügt über umfangreiche Erfahrungen im Bereich moderner und digitaler Technologien. Neben seiner Expertise in der Sicherheit und Regulierung von KI-Systemen sowie den rechtlichen Herausforderungen für Unternehmen im digitalen Zeitalter, liegt sein besonderer Schwerpunkt im internationa- len öffentlichen Recht und im Schutz der Menschenrechte. IT-SICHERHEIT_1/2024 51

AUS DER FORSCHUNG | PRIVILEGIERTE NUTZERKONTEN Konto ist somit überberechtigt, was das Risiko für die Unternehmens-IT erhöht. Die­Berechtigungsvergabe­findet­häufig­über­ Systemadministratoren statt. Mithilfe ihrer Erfahrungen und Analysemöglichkeiten sol- len angestrebte IT-Sicherheitsrichtlinien in der Unternehmens-IT umgesetzt werden. Über ein Rechte- und Rollenkonzept werden die Berech- tigungsgranularitäten jedes Nutzerkontos so festgelegt, dass nur die benötigte Menge an Be- rechtigungen vergeben ist, die für die anfallen- den Aufgaben notwendig ist. Jedoch kommt es in der Unternehmens-IT im Laufe der Zeit zu Veränderungen. Mitarbeiter übernehmen karrierebedingt eine neue Rolle oder erhalten temporär eine organisatorische Rolle. Vergebene Berechtigungen werden aufgrund der Informationsmenge und des Zeitaufwandes­häufig­nicht­als­aktuelle­Not- wendigkeiten geprüft, Dokumentationen zur Nachverfolgung nicht erstellt und IT-Sicher- heitsrichtlinien keinen strengen Prozessen unterzogen. Das Resultat sind IT-Sicherheitsrichtlinien, die nicht richtig umgesetzt sind. Es entstehen Fehl- konfigurationen,­weil­zu­viele­Berechtigungen­ vergeben werden. Diese Überberechtigungen verstoßen gegen die angestrebten IT-Sicher- . m o c . e b o d a k c o t s - F r e R : d l i B Abbildung 1: Abhängigkeit zwischen Berechtigungen und Sicherheitsrisiko (Bild: if(is)) IT-SICHERHEIT_1/2024 53 entsprechende Aufgaben in einem Unterneh-men bearbeiten zu können [2]. Hierbei existieren verschiedene Berechtigungsgranularitäten. Un-privilegierte oder normale Berechtigungen, wie beispielsweise bei Standard-Nutzerkonten, ver-fügen über eine begrenzte Anzahl von Berechti-gungen. Somit können die Mitarbeiter ihre Auf-gaben im Unternehmen erfüllen. Dazu zählen zum Beispiel das Ausführen und das Beenden bestimmter und für die Aufgabe notwendiger Programme sowie die Nutzung des Unterneh-mensnetzes. Privilegierte Nutzerkonten haben hingegen mehr Rechte als andere. Root- oder Administra-torkonten mit uneingeschränkten Berechtigun-gen fallen hierunter ebenso wie Konten mit der Befugnis auf IT-Systemen sensible Daten einzu-sehen, Software zu installieren oder Einstellun-gen zu verändern. Je mehr Berechtigungen ein Konto besitzt, desto kritischer ist das IT-Sicher-heitsrisiko einzustufen. Abbildung 1 illustriert diese Abhängigkeit.Wird die Berechtigungsgranularität eines Nutzer-kontos verändert, so erhält ein unprivilegiertes Standardnutzerkonto möglicherweise dieselben Berechtigungen wie ein erweitertes Nutzerkonto (siehe Abbildung 1). Dem Nutzer stehen dadurch mehr Berechtigungen zur Verfügung, als dieser für die Bewältigung der Aufgaben benötigt. Das Ein weltweit bekannter Angriff, bei dem übermäßige Berechti-gungen ausgenutzt wurden, war der Datendiebstahl bei der NSA durch Edward Snowden im Jahr 2013 [1]. Snowden nutzte Ad-ministratorrechte und eine ständig wachsen-de Berechtigungsansammlung aus. Über sein selbst entwickeltes „Heartbeat“-System erhielt er Zugang zu vielen Geheimdienstinformatio-nen der NSA sowie zu weiteren Daten der CIA, des FBI und dem „Joint Worldwide Intelligence Communications System“. Die Menge an Be-rechtigungen, über die Snowden zuletzt ver-fügte, war deutlich höher, als er für die Erfül-lung seiner Aufgaben bei der NSA benötigte. Der Softwarehersteller Fortra gibt in seinem „Zero Trust Security Report 2023“ an, dass bei 10 Prozent­der­befragten­Unternehmen­alle­Benutzer überberechtigt sind [2].­Bei­46­Prozent­waren einige Nutzer überberechtigt und bei 33 Prozent­einige­wenige.­Lediglich­9­Prozent­antworteten, dass keine überberechtigten Konten existieren. Trotz des hohen Anteils von 89 Prozent,­bei­dem­es­laut­Report­mindestens­einige wenige Überberechtigungen gibt, mein-ten­47­Prozent,­dass­überberechtigte­Konten­ein­Problem­darstellen.Eine­Umfrage­des­Instituts­für­Internet-Sicher-heit­–­if(is)­mit­fünf­relevanten­Unternehmen­bestätigt, dass die Risikowahrnehmung dem be-stehenden Risiko von Überberechtigungen nicht gerecht wird. Obwohl in allen fünf befragten Unternehmen­überberechtigte­Konten­vorlagen,­existierte­bei­vier­der­Unternehmen­kein­Risiko-bewusstsein.­Drei­der­fünf­Unternehmen­waren­von mindestens einem IT-Sicherheitsvorfall be-troffen.­Diese­drei­Unternehmen­gaben­an,­dass­die IT-Sicherheitsvorfälle auf Überberechtigun-gen zurückzuführen waren.Die­Zahlen­zeigen,­dass­die­Unternehmen­die­Ursache­von­Sicherheitsvorfällen­nicht­ausrei-chend ernst nehmen und das Risiko von über-berechtigten Konten keine bewusste Wahrneh-mung erfährt.WAS SIND ÜBERBERECH-TIGUNGEN IN DER UNTER-NEHMENS-IT?Über Nutzerkonten wird Mitarbeitern der Zugriff auf notwendige IT-Systeme ermöglicht, um

AUS DER FORSCHUNG | PRIVILEGIERTE NUTZERKONTEN Abbildung 3: Prozentualer Anteil aller von Datendiebstahl betroffenen Unternehmen zwischen 2019–2023 (Bild: if(is)) Abbildung 4: Entstandener Schaden durch Betriebsstörungen sowie Zeitraum der Schadens- regulierung (Bild: if(is)) IT-SICHERHEIT_1/2024 55 ein Drittel der Unternehmen mit Datendiebstäh-len konfrontiert sind.Zusätzlich kann der Angreifer dem Unterneh-men mit der Veröffentlichung der gestohlenen Daten drohen, um hohe Lösegelder zu erpres-sen. Jüngste Ransomware-Angriffe nutzen diese Möglichkeit in Form einer doppelten Er-pressung [7]. Die CyberEdge Group führte 2023 eine Studie durch, in der 41 Prozent der Unter-nehmen hiervon betroffen waren [8]. Darüber hinaus gab es einen deutlichen Anstieg der Unternehmen, die von Ransomware-Angriffen betroffen waren, von 55,1 Prozent (2018) auf 72,7 Prozent im Jahr 2023.Verschlüsselungsangriffe wie Ransomware werden oft eingesetzt, um Betriebsstörungen auszulösen [9]. Im Januar 2020 fand bei dem größten US-amerikanischen Elektronikherstel-ler­Communications­&­Power­Industries­ein­solcher Angriff statt [10]. Mittels Phishing wurde ein Administrator mit hohen Berechtigungen erfolgreich dazu verleitet, auf einen bösartigen Link zu klicken. Nachdem die Malware instal-liert und im Unternehmensnetzwerk einge-schleust war, breitete sich diese im gesamten Unternehmen aus. Die Folge war eine Betriebs-störung, weil alle IT-Systeme verschlüsselt wurden und somit nicht nutzbar waren. Um die Verschlüsselung aufzuheben, wurde ein Lösegeld von 500.000 Dollar gefordert. Das IT-Unternehmen entschied sich für die Zahlung des Lösegelds.Eine im Jahr 2016 von der Risk Management Society (RIMS) durchgeführte Online-Umfrage zeigt [11], wie viele Unternehmen mit Schadensre-gulierungen durch Betriebsstörungen konfron-tiert waren und wie lange die Schadensregulie-rung dauerte (siehe Abbildung 4).WIE LASSEN SICH ÜBERBERECHTIGUNGEN VERHINDERN?Die ersten Schritte zur Reduzierung der Angriffs-fläche­bestehen­darin,­verschiedene­Maßnah-men­anzuwenden,­um­verdächtige­Berechtigun-gen­schon­im­Vorfeld­zu­senken.­Anschließend­müssen die Administratoren die übrigen Berech-tigungen­identifizieren­und­manuell­korrigie-ren, falls es sich dabei um Überberechtigungen handelt. Hierzu wird der Einsatz von proaktivem Handeln sowie die Beobachtung und der Ab-gleich von Berechtigungen vorgeschlagen. 1. Proaktives Handeln Hierbei­kann­die­ausschließliche­Vergabe­von­temporären­Berechtigungen­unterstützen.­Über­einen­„Just­in­Time“-Ansatz­werden­temporäre­Berechtigungen vergeben, die ein Nutzer für die Bewältigung­seiner­aktuellen­Aufgaben­benö-tigt. Dauerhafte Berechtigungen sind hingegen unzulässig.­Hat­der­Mitarbeiter­die­Aufgaben­abgeschlossen, werden die Berechtigungen nicht mehr benötigt und dadurch wieder ent-zogen. Eine­weitere­Maßnahme­ist­die­Reduzierung­von Administratorkonten. Da diese Konten das höchste Sicherheitsrisiko aufweisen (siehe Abbildung 1) und die Ausnutzung von Überbe-rechtigungen erleichtern, sollten diese auf ein Minimum reduziert werden. Nach dem Angriff von Snowden fand bei der NSA eine Senkung der Administratorkonten um 90 Prozent statt [1]. Darüber­hinaus­können­regelmäßige­Schulun-gen­von­Administratoren­Fehlkonfigurationen­vorbeugen,­indem­über­Best-Practice-Vorgänge­der Wissensstand stetig aufgefrischt wird. Eine

AUS DER FORSCHUNG | PRIVILEGIERTE NUTZERKONTEN Machine Learning Dieser Ansatz nutzt für die Erkennung von Fehl- konfigurationen­selbstlernende­Algorithmen,­ die anhand von Mustern und Zusammenhängen aus vorhandenen Datensätzen trainiert werden. Die trainierten Algorithmen sind in der Lage, ei- genständig Überberechtigungen vorherzusagen und Handlungsempfehlungen zu äußern. Hierzu können verschiedene Machine-Learning-Techni- ken eingesetzt werden. ƒ Neben der bekannten Mustererkennung existiert auch die unbekannte Mustererken- nung. Anstelle von Korrelationsregeln werden die Log-Meldungen analysiert, um eine Ab- standsanalyse durchzuführen. Mithilfe eines festgelegten Abnormalitätsgrades werden unbekannte auffällige Angriffsszenarien auto- matisch erkannt und gemeldet. ƒ Die C4.5-Klassifizierung nutzt Entschei- dungsbäume. Diese bestehen aus Berechti- gungsregeln (Zweige) und Attributen (Knoten). Über eine Inkonsistenz-Analyse wird jedes Attribut eines Endknotens geprüft. Besitzt ein Endknoten mehrere Attribute, so werden alle Attribute mit der IT-Sicherheitsrichtlinie ver- glichen. Werden die Attribute in der IT-Sicher- heitsrichtlinie gefunden, handelt es sich um eine­identifizierte­Fehlkonfiguration. ƒ Über das Ensemble Learning werden mehre- re Algorithmen mit unterschiedlichen Stärken (Robustheit, Schnelligkeit, Genauigkeit etc.) miteinander kombiniert, um eine höhere Klas- sifizierung­bei­der­Erkennung­von­Fehlkonfi- gurationen zu erreichen. Hierzu stehen die Al- gorithmen Random Forest, AdaBoost, XGBoost und LightGBM mit ihren unterschiedlichen Stärken zur Verfügung. FAZIT Die Existenz von überberechtigten Konten stellt ein erhöhtes IT-Sicherheitsrisiko für die Unternehmens-IT dar. Bereits eine oder weni- ge subtile Überberechtigungen bewirken eine unnötige­Erhöhung­der­Angriffsfläche.­Setzt­die­ Unternehmens-IT keine Gegenmaßnahmen ein und ignoriert damit das Risiko, treten mit hö- herer Wahrscheinlichkeit IT-Sicherheitsvorfälle auf. Hierdurch kann das Unternehmen massive Schäden erleiden. Insbesondere Betriebsstörun- gen­durch­Ransomware­treten­immer­häufiger­ auf, teilweise mit verheerenden Schäden. Dieser zunehmende Missstand ist alarmierend und er- fordert, alle zur Verfügung stehenden Möglich- keiten auszuschöpfen, um Überberechtigungen zu reduzieren. Die Unternehmens-IT muss ein stärkeres Be- wusstsein für überberechtigte Konten und die damit verbundenen Risiken entwickeln. Ist dieses Bewusstsein etabliert, können mögliche Fehlkonfigurationen­besser­erkannt­werden.­ Standardnutzer, denen irrtümlich ein Adminis- tratorkonto für alltägliche Zwecke zur Verfügung steht, werden seltener. Darüber hinaus muss die Unternehmens-IT in Gegenmaßnahmen investieren, um Überberech- tigungen­zukünftig­proaktiv­identifizieren­und­ verhindern zu können. Dazu haben wir verschie- dene Gegenmaßnahmen empfohlen. Besonders die unterschiedlichen Algorithmen des „Machine Learning“ bieten einen vielversprechenden An- satz, um Überberechtigungen in Zukunft noch ef- fektiver­zu­reduzieren.­Durch­die­flexiblen­Kombi- nationsmöglichkeiten der Algorithmen kann eine höhere Konsistenz und Robustheit und dadurch eine­noch­bessere­Klassifizierung­erreicht­wer- den.­Überberechtigungen­und­deren­Angriffsflä- che lassen sich dadurch deutlich reduzieren. n Literatur [1] Dave Howe, Deciphering How Edward Snowden Breached the NSA [8 Years Later]. [Online]. Verfügbar unter: https://venafi.com/blog/ deciphering-how-edward-snowden-breached-the-nsa/ (Zugriff am: 19. Dezember 2023). [2] M. J. Haber, Privileged Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Organizations. Berkeley, CA: Apress, 2020. [Online]. Verfügbar unter: https://doi.org/10.1007/978-1-4842-5914-6 [3] National Institute of Standards and Technology, Guide for Conducting Risk Assessments: Information Security. [Online]. Verfügbar unter: https://csrc.nist.gov/glossary/term/advanced_persistent_threat (Zugriff am: 19. November 2023). [4] A. Alshamrani, S. Myneni, A. Chowdhary und D. Huang, „A Survey on Advanced Persistent Threats: Techniques, Solutions, Challenges, and Research Opportunities“, IEEE COMMUNICATIONS SURVEYS AND TUTORIALS, Jg. 21, Nr. 2, S. 1851–1877, 2019, doi: 10.1109/ COMST.2019.2891891. [5] J. King, G. Bendiab, N. Savage und S. Shiaeles, „Data Exfiltration: Methods and Detection Countermeasures“ Booklet, IEEE, 2021. [Online]. Verfügbar unter: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=9527962. [6] EY, „Datenklaustudie 2023 Virtuelle Gefahr - reale Schäden: Eine Befragung von über 500 deutschen Unternehmen zur aktuellen Lage“, März 2023. [Online]. Verfügbar unter: https://www.ey.com/de_de/forensic-integrity-services/virtuelle-gefahr-reale-schaeden- datenklaustudie. Zugriff am: 11. Oktober 2023. [7] A. Cartwright et al., „How cyber insurance influences the ransomware payment decision: theory and evidence“, Geneva Papers on Risk & Insurance - Issues & Practice, Jg. 48, Nr. 2, S. 300–331, 2023, doi: 10.1057/s41288-023-00288-8. [8] CyberEdge Group, 2023 Cyberthreat Defense Report. [Online]. Verfügbar unter: https://cyber-edge.com/cdr/ (Zugriff am: 7. Dezember 2023). [9] S. Hoar und P. M. Marchel, „Emerging trends in insurance coverage: Massive encryption attacks create urgent need for business interruption and cyber coverage“, Cyber Security: A Peer-Reviewed Journal, Jg. 2, Nr. 2, S. 122–130, 2018. [10] J. Orr, Incident Of The Week: Defense Electronics Manufacturer CPI Succumbs To Ransomware Demands: Restoring All Systems Is Multi-Month Process; Compromised Admin Credentials To Blame. [Online]. Verfügbar unter: https://www.cshub.com/attacks/articles/ incident-of-the-week-defense-electronics-manufacturer-cpi-succumbs-to-ransomware-demands (Zugriff am: 21. Dezember 2023). [11] „RIMS Business Interruption Survey 2017“, 2017. [Online]. Verfügbar unter: https://www.rims.org/resources/risk-knowledge/white- paper/rims-business-interruption-survey-2017 [12] C. Richthammer, M. Kunz, J. Sänger, M. Hummer und G. Pernul, „Dynamic Trust-based Recertifications in Identity and Access Management“ Booklet, 2015. [Online]. Verfügbar unter: https://epub.uni-regensburg.de/32538/; https://epub.uni-regensburg.de/32538/1/ PID3817891.pdf. [13] B. Shen, „A Survey of Access Control Misconfiguration Detection Techniques“ Booklet, 2023. [14] X. Ma, R. Li, Z. Lu, J. Lu und M. Dong, „Specifying and enforcing the principle of least privilege in role-based access control“, CONCURRENCY AND COMPUTATION-PRACTICE & EXPERIENCE, Jg. 23, 12, SI, S. 1313–1331, 2011, doi: 10.1002/cpe.1731. MARCEL JOHANNES studiert im Master Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit Überbe- rechtigungen in der Unternehmens-IT. NORBERT POHLMANN ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicher- heit – if(is) an der Westfälischen Hoch schule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesver- bands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco. IT-SICHERHEIT_1/2024 57

NEU Mit <kes>+ bleiben Sie auf dem Laufenden über die Entwicklungen in der Informationssicherheit: ▪ Fachzeitschrift inkl. Specials 6x jährlich per Post und digital ▪ Zugang zu aktuellen Online­Fachartikeln und Studien sowie zu dem kompletten Online­Archiv ▪ Exklusiver Zugriff auf aktuelle Videos und Webinaraufzeichnungen ▪ 10 % Rabatt auf DATAKONTEXT- Online-Schulungen im Bereich Informations sicherheit ▪ nur 199,00 € im Jahr (inkl. Mwst. und Versand) Jetzt bestellen: www.kes­informationssicherheit.de