kes Special Best Practices -2022

Verlagsbeilage, Juni 2022 Die Zeitschrift für Informations-Sicherheit Special Risiko- betrachtung: Gemeinsamkeiten und Unterschiede bei GRC S. 4 Zero Trust: Risiken durch 3rd-Party-Zugriffe minimieren S. 10 Best Practices Stand der Technik m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t

Inhalt Gemeinsamkeiten und Unterschiede bei der Risikobetrachtung für Gover- nance, Risk & Compliance Seite 4 Mit XDR die Fertigung wirksam vor Cyberangriffen schützen Seite 7 Vertrauen ist nicht gut, Kontrolle ist nötig: Risiken durch 3rd-Party- Zugriffe minimieren Seite 10 Kaspersky legt als einziger An- bieter seinen Quellcode offen Seite 18 Best Practices und Wirkung der Mitarbeitersensibilisierung Seite 20 Raus aus dem Bermudadreieck der Cybersicherheit Seite 22 Was KRITIS-Betreiber jetzt beachten müssen Seite 25 S. 26 Mit Device Control externen Datenﬂuss regulieren Seite 12 Impressum Perfekte Sicherheit beim Remote-Zugriff Seite 15 Mitherausgeber SaaS © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 3

Risikobetrachtung Warum sich eine Analyse lohnt Gemeinsamkeiten und Unter- schiede bei der Risikobetrachtung für Governance, Risk & Compliance Erst nach gründlichem Vergleich der Risikobetrachtung in den verschiedenen Bereichen der Compliance und Informationssicherheit können die Gemeinsamkeiten genutzt werden, um softwaregestützte Prozesse miteinander zu verbinden und in einem Integrated-Risk- Management (IRM) zusammenzuführen. Die daraus resultierende Zeiteinsparung kommt den Verantwortlichen und anderen Beteiligten zugute. Von Daniel Linder, HiScout GmbH m o c . e b o d a . k c o t S – e n i L p m i S © Die Betrachtung und Behandlung von Risiken in den Fachrichtungen Datenschutz, Business-Continui- ty-Management (BCM) und Informationssicherheit dreht sich immer um dieselbe Fragestellung: Welche Bedrohung trifft auf welche Schwachstelle und wie geht man mit dem daraus resultierenden Risiko um? Die zugehörigen Regelwerke wie DSGVO, BSI-Standards 200-1 bis 200-4, ISO 27001, ISO 27005 und ISO 22301 beantworten diese Frage jeweils aus ihrem besonderen Blickwinkel und set- zen daher unterschiedliche Schwerpunkte. Die verschie- denen Ausprägungen desselben Sachverhalts dennoch fachbereichsübergreifend zu verstehen und zu nutzen – darin liegt die hohe Kunst einer übergreifenden Software für Governance Risk and Compliance (GRC). Wie wird eine Risikoanalyse erstellt? Zuerst wird eine Schwellwertanalyse durchge- führt. Diese berechnet auf Grundlage verschiedener Fakto- ren mit zuvor festgelegten Grenzwerten, ob eine formelle Risikoanalyse notwendig ist. Bei der Erstellung der Risiko- analyse werden die einen Sachverhalt betreffenden und als wahrscheinlich angesehenen Gefährdungen systematisch erfasst und evaluiert. Wenn zu einer Gefährdung eine Schwachstelle identifiziert wird, spricht man von einem Risiko, das nach seiner Eintrittswahrscheinlichkeit und potenziellen Schadenshöhe zu bewerten ist. Im nächsten Schritt werden diesem Risiko geeignete Maßnahmen entgegengesetzt, um es soweit wie möglich zu mindern. Um die Herausforderungen zu meistern, die eine übergreifende Risikoanalyse mit sich bringt, müssen die besonderen Bedürfnisse der einzelnen Fachbereiche verstanden werden: Im Datenschutz werden lediglich Ri- siken für die Rechte und Freiheiten natürlicher Personen betrachtet, die aus der Verarbeitung von personenbezo- genen Daten erwachsen. Im Notfallmanagement werden nur Risiken für den Ausfall von Ressourcen analysiert, die für kritische Geschäftsprozesse notwendig sind. Um welche Art von Prozessen oder Ressourcen es sich dabei handelt, ist vorerst vollkommen irrelevant. In der Infor- mationssicherheit ist der Blick weit gefasst. Es werden alle Risiken bewertet, die die Vertraulichkeit, Integrität und Verfügbarkeit der untersuchten Daten bedrohen. Im Mittelpunkt der Betrachtung stehen die Ressourcen, die für die Verarbeitung dieser Daten benötigt werden. Eine Einschränkung der Art der möglichen Risiken oder der Art der durch die Risiken bedrohten Daten findet nicht statt. Ein weiterer Unterschied besteht in der Anzahl und Kategorisierung der Schutzbedarfe. In der Informa- tionssicherheit werden die bereits erwähnten Schutzbe- 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

darfe Vertraulichkeit, Integrität und Verfügbarkeit mit einer frei wählbaren Anzahl von Ausprägungen bewertet, zum Beispiel „normal“, „hoch“ und „sehr hoch“. Im Da- tenschutz kommen die Kategorien Datenminimierung, Intervention, Nichtverkettung und Transparenz hinzu und es stehen die Ausprägungen „null“, „hoch“ und „sehr hoch“ zur Auswahl. Beim BCM wird ausschließlich die Verfügbarkeit ins Auge gefasst. Bei der Risikoanalyse der die Prozesse stützenden Ressourcen kann die Anzahl der Schwerestufen, mit denen Eintrittswahrscheinlichkeit und erwartete Schadenshöhe gemessen werden, ebenfalls selbst festgelegt werden. Welche Anforderungen geben die Regelwerke und Standards vor? Die verschiedenen Blickwinkel und Schwerpunk- te spiegeln sich auch in den unterschiedlichen Anforde- rungen der verwendeten Rahmenwerke und Normen für die notwendige Betrachtung und Behandlung von Risiken wider: Die DSGVO schreibt in Artikel 35 in Verbindung mit den Erwägungsgründen 75 und 84 vor, dass bei der Verar- beitung personenbezogener Daten eine Risikoabwägung stattzufinden hat. Wie diese auszusehen hat, überlässt sie dem Datenschutz-Verantwortlichen nach DSGVO. Der BSI-Standard 200-2 regelt, dass im IT-Grundschutz die Risikoanalyse nach BSI Standard 200-3 vorzunehmen ist. Die ISO 27001 gibt, wie der Datenschutz, nur vor, dass eine Risikoanalyse erfolgen muss, nicht aber die zu ver- wendende Methodik. Im BCM nach BSI Standard 200-4 (Community Draft) kann die Organisationsleitung die Art der Risikoanalyse selbst wählen, es wird aber der BSI-Stan- dard 200-3 beispielhaft vorgeschlagen. Da die Risikoanalyse nach BSI-Standard 200-3 im IT-Grundschutz vorgeschrieben ist und für das BCM vom BSI-Standard 200-4 empfohlen wird, kann man die- se Vorgehensweise mit guter Begründung auch bei den anderen Rahmenwerken als mögliche Option betrachten. Hinzu kommt der deutsche Sonderweg beim Datenschutz: Mit dem Standard-Datenschutzmodell (SDM) wird eine grundschutzartige Methode über die Vorgehensweise der DSGVO gelegt und man befindet sich auch hier formell beim BSI-Standard 200-3. Wie lassen sich alle Bedürfnisse in eine Vorgehensweise integrieren? Wenn die Risikoanalyse nach BSI Standard 200-3 als Grundlage für alle Fachbereiche verwendet wird, kommt man zu folgenden Ergebnissen und Synergieef- fekten: Das BCM prüft gegen das Schutzziel Verfügbar- keit, Grundschutz und ISO 27001 gegen Vertraulichkeit, Integrität und Verfügbarkeit und der Datenschutz gegen alle oben erwähnten sieben Schutzziele. Betrachtet man dieselben Geschäftsprozesse und -tätigkeiten, so kann Vergleich der in den Regelwerken festgelegten Schutzziele der verschiedenen GRC-Fachbereiche. man im optimalen Fall eine gemeinsame Risikoanalyse betreiben, zumindest aber – wie beispielsweise bei den verschiedenen Blickwinkeln von Grundschutz und Daten- schutz – dem anderen Fachbereich die eigene Bewertung zur Kenntnis bringen. Eine wichtige Voraussetzung dafür ist, dass alle Beteiligten dieselbe Sprache sprechen und dass man sich vor Beginn der Arbeit auf gleiche Termini einigt: Der Schutzbedarf „normal“ aus dem Grundschutz kann hier gegebenenfalls mit dem Schutzbedarf „hoch“ aggregiert und in den Schutzbedarf „hoch“ beim Da- tenschutz überführt werden, wenn man ein Prinzip der Maximalvererbung verwendet. Andererseits kann eine solche pauschale Vererbung auch in Sackgassen führen, wenn man die unterschiedlichen Blickwinkel vergisst. Es kann sein, dass ein im Grundschutz mit „hoch“ oder „sehr hoch“ bewertetes Schutzgut für den Datenschützer komplett irrelevant ist, da es keine personenbezogenen Daten betrifft und dieses im Datenschutz dann einen Schutzbedarf von „null“ hätte. Ebenso verhält es sich beim Notfallmanagement, das nur auf Verfügbarkeit prüft: Ein hoher Schutzbedarf aus einem anderen Fachbereich, zum Beispiel im Bereich Vertraulichkeit, taucht im Blickfeld des Business-Continuity-Managers gar nicht erst auf. Fazit Die Entwicklung einer übergreifenden Risikoana- lyse für verschiedene GRC-Bereiche erschließt wertvolle Zeiteinsparungspotenziale, stellt aber höchste Ansprüche an eine GRC-Software. Die themenspezifischen Blickwin- kel, Risikobewertungen und mitigierenden Maßnahmen müssen verständlich und transparent sichtbar gemacht werden. Erst auf dieser Grundlage können die in den Managementsystemen für Informationssicherheit, Busi- ness-Continuity und Datenschutz vorhandenen Daten und Bewertungen für andere Fachbereiche regelgerecht nutzbar gemacht werden. n Daniel Linder ist GRC-Praktiker mit vielseitiger Projekt- erfahrung. Im Rahmen dieser Projekte beriet er unter anderem Konzerne im Banken- und Energiesektor, Internetlogistiker sowie Organisationen der öffentlichen Hand. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 5

XDR Extended Detection and Response Mit XDR die Fertigung wirksam vor Cyberangriffen schützen Industrieunternehmen bauen auf Endpoint-Detection and -Response (EDR), um Cyber- angriffe zu verhindern. Doch Angreifer nutzen heute zunehmend ausgefeiltere Angriffs- methoden. Sie dringen über Netzwerke ebenso ein wie über die Cloud. Extended Detection and Response (XDR) bietet wirksamen Schutz auch gegen aktuelle Angriffsszenarien. Die moderne Technologie macht das Bedrohungsgeschehen über die gesamte IT-Umgebung hinweg transparent und analysiert Vorfälle automatisch und mit Methoden der künstlichen Intelligenz. Von Udo Schneider, Trend Micro Die moderne Fertigung nutzt längst die Potenziale der Digita- lisierung. Ihre Fertigungsstraßen arbeiten weitgehend automatisiert und vernetzt, die Wartung erfolgt auf Big-Data-Analysen basierend und vorausschauend. Produkti- onsdaten liegen in der Regel in der Cloud, was nicht nur ihre Verwal- tung vereinfacht, sondern auch den schnellen und effizienten Austausch mit externen Geschäftspartnern und Zulieferern ermöglicht. Doch die Digitalisierung spielt auch den Cy- berkriminellen in die Hände. Längst sind Angreifer nicht mehr nur auf Endpoints angewiesen, um in Unter- nehmensnetzwerke einzudringen. Angriffe sind heute an verschiedens- ten Punkten denkbar, beispielsweise an Maschinensteuerungen oder Sen- soren in der Produktion. Die dafür nötige Schadsoftware wird bereits im Darknet gehandelt – etwa in Form von Ransomware-as-a-Service. Dass eine umfassende Endpoint-Detecti- on und -Response nicht ausreicht, um Angriffe wirksam zu verhindern, wird Anwendern in der Regel erst dann deutlich, wenn die Produktion steht und eine Lösegeldforderung vorliegt. Angesichts der verschärf- ten Bedrohungslage wird es immer wichtiger, Cyberangriffe bereits im Entstehen aufzuspüren, die betrof- fenen Systeme zu identifizieren und rechtzeitig Gegenmaßnahmen einzuleiten. Bedrohungen aufspüren – mit EDR nahezu unmöglich Doch das alles ist keines- wegs so einfach wie es klingt. Denn IT und OT bilden vor allem in Industrieunternehmen ein äußerst konvergentes und unüberschaubares System. Welche Systeme Zugang zum Internet haben, auf welchem Stand die einzelnen Bestandteile sind oder wohin sie kommunizieren, ist kaum nachvollziehbar. Angriffe lassen sich aufgrund dieser Komplexität nur schwer aufspüren geschweige denn nachvollziehen. Verstellt wird der zentrale Blick auf das Be- drohungsgeschehen zudem durch das Vorhalten der Analysedaten in einzelnen Silos. Hier die relevanten Informationen herauszufiltern – egal, ob innerhalb eines Security Operations Center (SOC), eines Se- curity-Information-and-Event-Ma- nagement-(SIEM)-Systems oder eines „Security Orchestration, Au- tomation and Response“ (SOAR) – erfordert eine zeitraubende und mühevolle Analysearbeit durch die internen Security-Spezialisten. All dies schwächt die Reaktionsfähig- keit von Unternehmen gegenüber aktuellen Bedrohungen deutlich. Abhilfe schafft Extended Detection and Response (XDR). Sie ist in der Lage, aus den täglich Hunderten im Unternehmensnetzwerk eingehen- den Meldungen die tatsächlich kriti- schen herauszufiltern und relevante Bedrohungen aufzuspüren. XDR geht weit über EDR hinaus und ergänzt SIEM, SOC und SOAR. Die Technologie sammelt die Informationen aus allen dem Unternehmensnetzwerk angeschlos- senen Sicherheitssystemen in einem „Data Lake“. Sie analysiert diese Daten automatisiert mit Mitteln der künstlichen Intelligenz. Auf diese Weise schafft XDR Transparenz über alle Vektoren hinweg – von den Endpunkten über Netzwerke, Ser- ver und E-Mail-Systeme bis hin zu Cloud-Workloads. Die Daten werden korreliert und False Positives aus- sortiert. Während bei Einsatz eines SIEM der Großteil der Analysearbeit dem Security-Team überlassen bleibt, ist XDR in der Lage, aus Tausenden Warnungen in kurzer Zeit die wirk- lich relevanten herauszufiltern. So © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 7

XDR werden die verschiedenen Ereignisse zuverlässig und zeitnah korreliert und erkannt, welche Alerts wichtig sind. Aufgrund all dieser Funktionen erfolgt die Analyse der Bedrohungen deutlich schneller, als dies bei EDR möglich wäre. Anwender werden in die Lage versetzt, einem erfolgten Angriff zeitnah und wirksam zu begegnen und rechtzeitig die passen- den Maßnahmen zu ergreifen. Doch XDR bietet noch einen weiteren Vorteil: Use Cases sind hier bereits in Form vorgefertigter Szenarien für die Endpoint- und E-Mail-Security eingebunden – ein weiterer wichtiger Faktor für eine schnelle und wirksa- me Gegenreaktion. Mehr Flexibilität dank Managed Service Ein SIEM, SOC und SOAR durch Extended Detection and Res- ponse zu ergänzen, erhöht deutlich die Sicherheit gegenüber Cyberatta- cken. Eine solche Ergänzung kann ganz einfach erfolgen, indem ein Anwender XDR im Managed Ser- vice eines qualifizierten Providers nutzt. Letzterer sollte ein führendes Security-Stack bereitstellen können und über ein großes und erfahrenes Team an SOC-Spezialisten verfü- gen. Ein weiteres Kriterium ist ein großer Kundenstamm, denn dann ist die Datenbasis entsprechend groß und Analysen sind besonders treffsicher. XDR im Managed Service zu betreiben, spart zudem deutlich Kosten, denn der Kunde erhält einen jederzeit skalierbaren und auf seine Bedürfnisse abstimmbaren Rund- um-Service. Dieser Service umfasst die Sicherheits-Expertise erfahrener SOC-Analysten, die rund um die Uhr die Ereignisse der XDR-Lösung im Blick behalten und kritische Alerts auswerten. Um Indikatoren zu suchen und Bedrohungen ein- zuschätzen, nutzen sie sowohl eigene Erfahrungswerte als auch weltweite Threat-Datenbanken. Auf diese Weise werden gefährliche An- griffe im Moment ihres Entstehens transparent – ganz egal, wo sie im Service auf ihre Anforderungen zuschneiden. Wie auch immer sie XDR nutzen – die neue Technologie versetzt sie in jedem Fall in die Lage, den Angreifern einen entscheiden- den Schritt voraus zu sein. n Netzwerk auftreten. Bei einem er- folgten Angriff erhalten Anwender qualifizierte und detaillierte Hand- lungsanweisungen, sodass sie die At- tacke wirksam stoppen können. Eine zentrale Konsole zeigt an, welche Systeme betroffen sind und wie ein Angriff bisher verlaufen ist. Dank der automatisierten, intelligenten Aus- wertung, die XDR leistet, profitieren Unternehmen insgesamt von einer deutlich höheren Transparenz über die Bewegungen von Angreifern und einer weitaus besseren Reaktionsfä- higkeit im Ernstfall. XDR bietet dafür eine äußerst hohe Effizienz: Dank intelligenter und automatischer Auswertungsmechanismen reduziert es die Anzahl der Security-Events um bis zu 90 Prozent. Und – in Zeiten an- haltenden Fachkräftemangels eben- falls wichtig – das Arbeitsvolumen übersteigt die menschliche Leistung deutlich. Laut ESG Research Insights Report kann XDR die Arbeit von acht Vollzeit-Mitarbeitern leisten und diese können sich wieder anderen wichtigen Aufgaben widmen. Angreifern einen Schritt voraus dank höherer Transparenz Angesichts einer immer komplexeren Bedrohungslandschaft ist es für Unternehmen heute ein Muss, XDR einzusetzen. Gartner nennt XDR sogar als einen der Top Security- und Risk-Manage- ment-Trends. Unternehmen sollten also die Chancen ergreifen, die ihnen XDR bietet. Diese liegen nicht allein in der Verlagerung der Analysearbeit auf externe, erfahrene Fachleute per Managed XDR. Sie liegen auch in der Entlastung der eigenen IT-Abteilung und einem deutlichen Zuwachs an Security-Know-How. Denn die An- bieter von Managed XDR arbeiten für zahlreiche Kunden weltweit und kennen aktuelle Bedrohungssze- narien. Ihr Wissen geben sie in der Kommunikation mit dem Kunden weiter. Unternehmen können dabei flexibel gestalten, wie sie XDR nutzen wollen und den Anteil des Managed 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

Bessere Cyber-Security dank sicherer Passwörter Cybersicherheit ist aktuell die wichtigste Herausforderung in der neuen Arbeits- welt: mobile Endgeräte, bring-your-own-device und Homeoffice erfordern mehr Kontrolle für die IT und einfache Hand habung für die Mitarbeitenden. Der Passwort- manager von LastPass ist dafür die All-in-One-Lösung: Keine Wiederverwendung von Passwörtern mehr Zentrale Passwortverwaltung Schutz Ihrer sensiblen Daten Einfache und sichere Passwortfreigabe BSI C5 / SOC2 Typ II / SOC3 zertifiziert Mehr erfahren auf LastPass.com © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 9

Zero Trust Zero-Trust-Ansatz ermöglicht Anbindung und sicheren Zugriff von Drittanbietern in minutenschnelle. Vertrauen ist nicht gut, Kontrolle ist nötig: Risiken durch 3rd-Party- Zugriffe minimieren Im Jahr 2021 waren 51 Prozent der Unternehmen von einer Datenschutzverletzung betroffen, die durch die Handlungen Dritter verursacht wurde. Probleme mit BYOD, VPNs, mangelnder Compliance, Transparenz und privilegierten Zugangskonten schaffen Schwachstellen und beeinträchtigen die Produktivität. Durch die Einführung einer Zero-Trust-Strategie für den Applikationszugriff erhalten Drittfirmen einen einfachen, sicheren Zugang zu allen benötigten Unternehmensressourcen. Lieferanten, Partner und Kunden greifen auf Geschäftssysteme zu bei gleichzeitiger Erhöhung der Sicherheit und der betrieblichen Produktivität. Von Josh Martin, Cyolo Die zunehmenden globalen Herausforderungen und Pandemien beschleunigten den Weg: Remote-Arbeit, globale Lieferketten und das ständige Bestreben nach mehr Effizienz und Kosteneinsparungen können nur mit Drittanbietern und deren Fähigkeiten realisiert werden. Heute sind viele Organisationen von Dritten abhängig, seien es Dienstleister, Vertragspartner, Geschäftspartner oder Zulieferer. Die Zusammenarbeit mit externen Part- nern bedeutet gleichzeitig ein hohes Risiko, über welches Unternehmen mit heutigen Technologien und Konfigu- rationen kaum bis keine Kontrolle haben. Der Cyber-Angriff auf SolarWinds im Dezember 2020 steht stellvertretend für die Schwachstellen und Risi- The Future of Secure Access ken, mit denen 3rd-Party-Zugriffe beziehungsweise Liefer- ketten behaftet sind. Der Angriff erfolgte durch russische Hacker, die bösartigen Code in das neue Orion-Update von SolarWinds einschleusten. Als SolarWinds dieses Update an über 18 000 Kunden verschickte, ermöglichte es den Angrei- fern, in die Netzwerke von mehr als 250 großen globalen Organisationen und US-Regierungsstellen einzudringen. Dieser Vorfall veranschaulicht deutlich die Risiken, die entstehen, wenn man seinen externen Partnern vertraut. Obwohl die Angriffe auf Lieferketten und durch externe Partner steigen, verwenden die meisten Organi- sationen veraltete Methoden zur Risikobewertung von Drittanbietern, wie zum Beispiel unzuverlässige Fragebö- gen, und lassen klaffende Lücken, die von potenziellen Angreifern ausgenutzt werden können. Zero Trust: ein Weg zur Risikominimierung Zero Trust ist ein Framework, eine Art Strategie, die Nutzer, Geräte und Anwendungen dazu zwingt, ihren Zugriff bei jeder neuen Zugriffsanfrage zu authentifizieren. Der Mensch ist der neue Perimeter, Sicherheitsmethoden wie VPNs reichen nicht mehr aus. Da Zero Trust annimmt, dass es keinen Perimeter mehr zu sichern gibt, verlangt das Framework Zugriffsbeschränkungen, eine Verifizierung vor der Nutzung von Ressourcen, sowie die Protokollie- rung und Prüfung jeglichen Netzwerk-Traffics. Vertrauen ist nicht gut, Kontrolle ist nötig. 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

Zero Trust stellt die Identität in den Mittelpunkt der Sicherheitsmaßnahmen und passt sich an diese neue, flexible Umgebung an. Dieses Modell schreibt vor, dass jeder Benutzer, egal ob ein Mitarbeiter oder ein externer Partner, autorisiert werden muss, bevor der Zugang ge- währt wird. Zero Trust hat drei Grundprinzipien: ––——— explizite Überprüfung ––——— Prinzip der geringsten Berechtigung ––——— ständige Annahme eines Verstoßes Durch die Annahme, dass jeder Beteiligte eine Be- drohung darstellt, ermöglicht Zero Trust Organisationen, den Zugang zu überprüfen und Bewegungen innerhalb von Netzwerken zu verfolgen. Das Prinzip der geringsten Privilegien stellt sicher, dass Benutzer nur auf das Mini- mum zugreifen können, das sie zur Erfüllung ihrer Aufga- ben benötigen. Schließlich werden durch Mikrosegmen- tierung Sicherheitsblöcke um wichtige digitale Ressourcen herum errichtet und seitliche Bewegungen verhindert. Diese Maßnahmen werden sowohl für interne Benutzer als auch für Drittfirmen durchgeführt, sodass keinem Anbieter innerhalb des Netzwerks transitives Vertrauen entgegengebracht wird – sogar wenn der Anbieter selbst als „genehmigt“ gilt. Diese Implementierung von Zero Trust stellt sicher, dass Angreifer, die einen Lieferanten kompromitiert haben, keinen Zugang zu den Systemen seiner Kunden erhalten. Durch die Aktivierung von Zero Trust können Unternehmen ihre Verwundbarkeit gegenüber Drittan- bietern einschränken und Schaden verhindern, falls diese Parteien angegriffen werden. Wenn Unternehmen ihren Zulieferern über Connectivity-Lösungen wie VPNs einen breiten Zugang zu ihrem Netzwerk gewähren, sind sie genauso anfällig wie ihre Zulieferer. Ist jedoch Zero Trust aktiviert, müssen Benutzer von Drittanbietern au- torisiert werden und erhalten nur Zugriff auf bestimmte Anwendungen oder Systeme. Kurz gesagt, Unternehmen sind nicht mehr gezwungen, sich auf die internen Sicher- heitskontrollen ihrer Lieferanten zu verlassen und sind dadurch wesentlich sicherer. Echtes Zero Trust ZTNA 2.0 von Cyolo bietet echtes Zero Trust, da die Daten jederzeit innerhalb der Organisation blei- ben und nicht beim Cloud-Provider. Dieser Ansatz zum Aufbau einer eigenen Zero-Trust-Infrastruktur geht den entscheidenden Schritt weiter: Die Lösung speichert keine Kundendaten. Cyolo wird seine Kunden niemals nach ih- ren Verschlüsselungsdaten oder anderen sensiblen Daten fragen. Selbst Cyolo-Mitarbeiter haben nur einen sehr ein- geschränkten Zugang zum „Tenant“ des Kunden. Durch dieses Architektur-Modell sind die Daten der Organisation auch bei einem erfolgreichen Angriff auf den Cloud-Pro- vider geschützt. Weiterhin ermöglicht die Lösung auch den sicheren Zugriff auf jede Anwendung und Ressource, ohne den Netzwerkzugang (Layer 3) zu gewähren. So erreicht man operative Agilität und Geschäftskontinui- tät ohne Risiko, optimiert IT-Ressourcen und verbessert die Produktivität der Mitarbeiter – wo immer diese auch gerade arbeiten. ––——— Bereitstellung und Skalierung innerhalb von Minuten: Die Bereitstellung und Skalierung ist in Minuten erledigt. Die Lösung ist plattformunabhängig und agen- tenlos und lässt sich vollständig in bestehende Infrastruk- turen integrieren, zum Beispiel Okta, Active Directory und Azure AD. ––——— Sichere Verbindungen: MFA und SSO lassen sich auf jede Anwendung ausweiten. So ermöglicht Cyolo ex- ternen Benutzern einen sicheren und einfachen Zugriff auf ihre Anwendungen, Ressourcen, Arbeitsstationen, Server und Dateien. ––——— Volle Kontrolle und Transparenz durch Zugriffs- überwachung in Echtzeit: Protokollierung aller Aktivitä- ten und Erstellung von Sitzungsaufzeichnungen sowie vollständige Audit-Trails für spätere Untersuchungen. Mit ZTNA 2.0 die eigene private Cloud betreiben Selbst Unternehmen mit einer verteilten Um- gebung, die sich auf cloudbasierte Sicherheitslösungen verlassen, sind schutzlos, wenn die Cloud-Infrastruktur nicht verfügbar ist. Wenn ein bestimmter Cloud-Server oder eine Verbindung ausfällt, möchte ein Unternehmen, dass sein Sicherheitsanbieter unabhängig arbeitet, ohne sich auf den Anbieter zu verlassen. In einem solchen Fall muss der Sicherheitsdienstleister über eine eigene Lösung verfügen, die es ihm ermöglicht, seinen Dienst weiter an- zubieten und seine Kunden zu schützen. ZTNA 2.0 bietet diese Möglichkeit: Mithilfe der Edge-Erweiterung von Cyolo kann der Kunde sich einen eigenen internen Zu- gang für Offline-Umgebungen und sensible Bereiche ein- richten. Mit dem Zero-Trust-Ansatz können sich Orga- nisationen vom Tunneling verabschieden und sichere Verbindungen zu Ressourcen ohne Netzwerkzugang ermöglichen. Die Architektur ist sicherer, weil zu kei- nem Zeitpunkt Daten, Verschlüsselungscodes oder Ac- cess-Richtlinien in der Cloud gespeichert werden. Um die komplexen Unternehmensanforderungen von heute zu unterstützen, wird die Bereitstellung beschleunigt und der Zugriff auf Legacy- und On-Premises-Anwendungen abgesichert. Organisationen erhalten sicheren Zugriff mit Kontrolle und Transparenz, da Nutzer und Drittanbieter jetzt einfach auf jede Anwendung und Ressource zugreifen können – die IT- und Security-Teams übernehmen wieder die Kontrolle. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 11

Endpoint-Security m e l l i i / u G o n o t n A o t o h p k c o t s i Mit Device Control externen Datenﬂuss regulieren Das Unternehmen DriveLock schützt mit seinen Lösungen Device Control und Encryption 2-Go die Daten eines renommierten Keramikwarenherstellers. Die reibungs- lose Einführung der Lösung sowie der seit Jahren störungsfreie Betrieb machen deutlich, dass Sicherheit und Produktivität kein Widerspruch sein müssen. Von Andreas Fuchs, DriveLock Als die Cloud vor zehn Jahren noch in den Anfängen steck- te, waren USB-Sticks und externe Festplatten das Mittel der Wahl für den Datenaustausch. Zwar existiert inzwischen eine Vielzahl an weiteren Möglichkeiten, dennoch gibt es nach wie vor relevante Szenarien, in denen Unternehmen auf externe Geräte setzen, um Daten zu speichern und zu transportieren. Die Kontrolle über diese Geräte – wer darf was wo und auf welchem Gerät speichern oder abrufen – kann schnell unübersicht- lich und aufwendig werden. Ohne entsprechende Lösung ergibt sich daraus eine erhöhte Bedrohung für die IT-Sicherheit. Cyberbedrohungen machen vor keiner Branche halt. Sie betreffen gleichermaßen Behörden, Banken, die Fertigungsbranche, kritische Infrastrukturen oder auch dienst- leistende Unternehmen. Die krimi- nelle Werkzeugpalette potenzieller Angreifer ist dabei umfangreich. Ein gängiges Szenario: In Unternehmen befinden sich zahlreiche USB-Sticks, darunter Werbegeschenke oder Gerä- te aus privaten Haushalten, die in der Arbeit liegen bleiben oder auch ohne böswillige Absicht an ganz anderen Orten und für ganz andere Zwecke gebraucht werden. Das öffnet Krimi- nellen Tür und Tor, indem mithilfe von infizierten „Bad USB“-Sticks ungewollt Malware in die Systeme gelangt und daraufhin Daten Gefahr laufen, kompromittiert oder gestoh- len zu werden. Deshalb ist es wich- tig, einen genauen Überblick über alle internen und externen Geräte zu haben. Außerdem sollten Daten idealerweise auch auf externen Spei- 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

chermedien verschlüsselt werden. Bei Verlust oder Diebstahl findet so kein Datenabfluss statt. Transparenz und Regulierung des Datenﬂusses bieten Sicherheit Vor diesen Herausforderun- gen stand auch ein international renommierter Hersteller von Kera- mikwaren. Das Traditionsunterneh- men hatte mehrere Anforderungen, für die es eine Lösung zu finden galt: Zunächst mussten die vollständige Übersicht und die Kontrolle über die eigenen USB-Schnittstellen erlangt werden. Außerdem sollte sämtlicher externer Datenfluss reguliert werden, um sicherzustellen, dass kein uner- laubter Datenausgang stattfand und keine Schadsoftware ins Netzwerk gelangen konnte. Neben der Überwachung von USB-Schnittstellen und der Kontrolle des Datenflusses war der Wunsch, ein internes System zu schaffen, innerhalb dessen Daten problemlos zwischen Rechnern ausgetauscht werden können. Die Unternehmens-IT umfasste rund 5 000 Endgeräte, die es alle zu si- chern galt. Zunächst wurden hierfür spezifische Zugangsberechtigungen für die Mitarbeitenden auf der gan- zen Welt zugewiesen und technisch eingerichtet. Dann etablierten die Projekt-Verantwortlichen individu- ell anpassbare Regelwerke für ver- schiedene Unternehmensbereiche. Dabei mussten die unterschiedlichen Anforderungen und Aufgaben der Geräte in den Büros, Geschäften und Werken berücksichtigt werden. Mit Device Control und Encryption 2-Go mehr Sicherheit mit wenig Aufwand Bei der Wahl des Security-An- bieters fiel die Entscheidung sehr schnell auf DriveLock. Ausschlag- gebend dafür waren der modulare Umfassender Schutz mit anwenderfreundlichen und ﬂexiblen Modulen Die gesamte Einrichtung erfolgte mühelos und ohne Hürden und Umstellungen für die Beleg- schaft. Im Active Directory wurden die drei verschiedenen Unterneh- mensbereiche – Business PCs, Werke und Stores – mit nur geringem Aufwand individuell konfiguriert. Für die Mitarbeiterinnen und Mit- arbeiter war diese Umstellung kaum bemerkbar. Zudem können Daten innerhalb des Betriebs gefahrlos übertragen und getauscht werden dank verschlüsselter „Corporate USB Sticks“. Hohe Sicherheit und Pro- duktivität sind mit DriveLock kein Widerspruch. Die Ergebnisse im hier angeführten Use Case sprechen für sich: Bei über 5 000 Endpoints haben die Verantwortlichen lediglich 75 Change Requests über den gesam- ten Zeitraum von zwölf Jahren ver- zeichnet, bei denen Mitarbeitende zusätzliche Leseberechtigung für ein externes Speichermedium brauch- ten. Das IT-Team konnte über den DriveLock Self-Service für End User die angeforderten Rechte bequem und zentral freischalten. Die flexi- blen Module von DriveLock kön- nen zudem je nach Bedarf skaliert werden. Am Ende der Bilanz steht: Die Einführung und Umsetzung von DriveLock Device Control und Encryption 2-Go verlief reibungs- los und funktionierte auf Anhieb im täglichen Betrieb. Die flexiblen und voll umfänglichen Konfigura- tionsmöglichkeiten passen sich an die wachsenden Veränderungen an und schützen gleichzeitig die Daten äußerst effektiv. n Aufbau, das Berechtigungskonzept sowie das Dashboard von DriveLock. Die Zero Trust Platform des deut- schen Spezialisten für Endpoint- und Datensicherheit bietet zahlreiche, individuell anpassbare Module, die das Keramikwarenunternehmen bei seinem Unterfangen abwägen und spezifisch auswählen konnte. Nach einem gründlichen Assess- ment wurden schließlich DriveLock Encryption 2-Go und Device Control auf mehr als 5 000 Clients installiert. Die Lösung ermöglicht die einfache Konfiguration integrierter Geräte, und der Dateitransfer wird nur bei gewünschten Geräten und explizit autorisierten externen Lauf- werken zugelassen. Automatisch erscheinende Benutzerauswahldia- loge gewährleisten im Kontext der Schnittstellenkontrolle zusätzliche Sicherheit, wenn externe Laufwerke angeschlossen werden. Hinzu kom- men containerbasierte Verschlüsse- lung und Verzeichnisverschlüsse- lung, wodurch vertrauenswürdige Daten auch dann geschützt sind, wenn sie über mobile Speicherme- dien wie USB-Laufwerke das Unter- nehmen verlassen. Diese Features werden ergänzt durch eine mögliche forensische Analyse und Reporting, um den IT-Security-Mitarbeitenden sowie Führungskräften Transparenz zu ermöglichen. Da sich die Unternehmens- welt und damit auch Sicherheitsrisi- ken ständig wandeln, passen Unter- nehmen ihre Sicherheitsvorschriften entsprechend der Bedrohungslage an. Im Rahmen der DriveLock Zero Trust Platform sind Veränderungen wie diese sehr einfach, individuell und flexibel umsetzbar. Die Geräte werden bei der Implementierung bereits systematisch und vollum- fänglich erfasst. Weitere Sicher- heitsregeln lassen sich dadurch schnell einrichten. Zudem entwi- ckelt DriveLock seine Lösungen kontinuierlich weiter, um Cyberkri- minellen stets einen Schritt voraus zu sein. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 13

Globalisierung erhöht den Bedarf an IT-Sicherheitspersonal Welche Rollen für die Informationssicherheit gibt es in Unternehmen? Unser Informationsmanagement – Lehrgangssystem für Ihr IT-Sicher- heitsmanagement-Personal Grundlagen Ausbildungen im Bereich IT-Sicherheit gemäß ISO 27001 und IT-Grundschutz Fortbildungen Ihr direkter Weg zu unserem IT-Qualifizierungspfad Lesen Sie hier den kompletten Blog-Beitrag „Rollen und Aufgaben in der Informationssicherheit“ in unserer IT-Themenwelt: www.tuev-nord.de/wissen/it-rollen In einer globalisierten und digitalen Gesellschaft können vertrauliche Informationen in Sekundenschnelle verbreitet werden. Immer häufig werden Hackerangriffe oder Datenschutzskandale bekannt. Dadurch wächst das Bedürfnis nach Sicherheit – besonders in der Informationssicherheit. Wie kann man als Unternehmen diese Sicherheit gewährleisten? Welche Ressourcen benötigt ein effektives Informationsmanage- mentsystem? Wie sehen die Aufgaben von Informationssicherheits beauf- tragten aus? Welche Weiterbildungen werden in der Informationssicherheit empfohlen? Sie müssen als Unternehmen nicht die neuste Technik einkaufen, um die Infor- mationssicherheit in Ihrem Unternehmen zu gewährleisten. Sie können stattdessen das geeignete Fachpersonal beschäftig- ten und so die Prozesse im Unternehmen verstehen und mögliche Risiken der Informationssicherheit unterbinden. TÜV NORD Akademie Ihr Weiterbildungsspezialist im Bereich Informationsmanagement Mit unseren zertifizierten Seminaren im Bereich Informationsmanagement schaffen Sie Sicherheit für die digitalisierten Informationen Ihres Unternehmens Hier finden Sie alle IT-Seminare: www.tuev-nord.de/it-seminare L e r n e n S i e We i t e r b i l d u n g n e u k e n n e n !

Interview Perfekte Sicherheit beim Remote-Zugriff Was ist Privileged-Access-Management (PAM), wozu dient es, und wie funktioniert es? Bernhard Aregger, Sales Specialist beim IT-Security-Distributor BOLL, erklärt Funktion und Nutzen von PAM-Lösungen anhand der Lösung Fudo PAM. Warum braucht es Privileged-Access-Manage- ment (PAM)? Beim ersten Kontakt mit Interessenten für eine PAM-Lösung stelle ich initial immer die folgende Frage: Wissen Sie genau, wer auf Ihre Systeme wie Firewalls, Server oder Datenbanken zugreift, was dabei geschieht und wann der Zugriff erfolgte? Angesichts der meist zahl- reichen Nutzerkonten mit privilegiertem Zugang – zum Beispiel für externe Dienstleister – fehlt oft die Übersicht, und die Unternehmen können das Zugriffsmanagement nicht mehr manuell handhaben. Und was bringt eine PAM-Lösung konkret? PAM-Lösungen wie Fudo PAM machen Unsicht- bares sichtbar, schaffen vollständige Visibilität über Remote-Sessions, helfen dabei, schädliche Aktivitäten zu erkennen und zu blockieren, und unterstützen so die je- weiligen Compliance-Anforderungen. Fudo PAM ist nicht nur für Großunternehmen interessant, sondern auch für KMU, nimmt doch die Zahl der relevanten Systeme stetig zu. Und gerade KMU setzen vermehrt auf externe Spezialis- ten, die ihre Systeme aus der Ferne verwalten und warten. Ein Grund mehr, alle privilegierten Zugänge bestmöglich abzusichern. Wie funktioniert die Lösung von Fudo? Fudo PAM klinkt sich in Form einer Hardware-Ap- pliance oder als virtuelle Maschine zwischen die Remo- te-Nutzer und die Systeme des Unternehmens ein und zeichnet von A bis Z sämtliche User-Sessions auf. Das kontinuierliche Session-Monitoring mit Aufzeichnung erlaubt es, auch nachträglich alles nachzuvollziehen, bis zum einzelnen Tastenanschlag. Gleichzeitig analysiert die integrierte künstliche Intelligenz (KI) das Nutzerverhalten und kann so verdächtige Aktivitäten erkennen und unter- binden. Weitere Funktionen sind der Secret Manager zur automatisierten Passwortverwaltung und der Efficiency Manager. Was ist die Aufgabe des Efficiency Manager? Dieser analysiert das Aktivitätsniveau während einer Session. So wird beispielsweise erkannt, ob ein Dienstleister stundenlang angemeldet war, aber kaum et- was getan hat. So lässt sich überhöhten Rechnungen, wie dies in der Praxis immer wieder vorkommt, Paroli bieten. Der Efficiency Manager ist eine nützliche Zusatzfunktion. Übrigens: All die erwähnten Funktionen sind in der Lizenz enthalten und müssen nicht separat dazugebucht werden. Wie unterscheidet sich Fudo von anderen PAM-Lösungen? Zunächst durch die Aufzeichnungsmethode. Im Gegensatz zu vergleichbaren Lösungen erstellt Fudo PAM nicht etwa eine Videoaufnahme, sondern zeichnet die Rohdaten auf, also die Kommunikation in nativen Pro- tokollen wie RDP, VNC, SSH, Telnet, HTTP/HTTPS sowie Datenbankprotokollen und OT-Protokollen wie Modbus SCADA. Dadurch belegen die Aufzeichnungen massiv weniger Speicherplatz. Eine Session von acht Stunden benötigt in der Regel 20 oder 30 Megabyte versus mehrere Gigabyte bei einer Videoaufnahme. Welche weiteren Vorteile bringt die Rohdaten- aufzeichnung? Die integrierte OCR-Funktion ermöglicht eine schnelle Volltextsuche über alle Sessions hinweg. So findet man in Sekunden die gesuchten Aktivitäten und muss nicht stundenlang Videomaterial durchforsten. So kann Privilegierte Zugriffe perfekt geschützt Privileged-Access-Management-Lösungen (PAM) überwachen sämtliche Nutzeraktivitäten und verwalten den Zugang von Personen mit privilegierten Rechten auf die IT-Infrastruktur. Fudo PAM ist eine schnell implementierbare, umfassende PAM-Platt- form. Sie ermöglicht die Überwachung, Kontrolle und Aufzeichnung von Zugriffen auf sensible Daten und Systeme. Dazu wird Fudo PAM als Gateway im Netzwerk in die Session eingebunden und ist in der Lage, ver- schlüsselte und unverschlüsselte Daten aufzuzeichnen und, mit Zeitstempeln versehen, zu archivieren. Uner- laubte Zugriffe, Aktivitäten und Kommandos erkennt Fudo PAM in Echtzeit, sodass eine kritische Verbindung automatisch getrennt werden kann. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 15

Interview man nach einem Breach viel schneller reagieren. Mithilfe sogenannter Regular Expressions lässt sich zudem defi- nieren, dass eine Session beim Vorkommen bestimmter Begriffe automatisch gestoppt wird oder dass der Adminis- trator eine Warnung erhält. Die Rohdaten sind mit einem Timecode versehen und so nur schwer manipulierbar. Welche weiteren Eigenschaften zeichnen Fudo aus? Fudo, übrigens kein US-Unternehmen, sondern ein europäischer Hersteller mit Haupt- und Entwicklungs- sitz in Warschau, wollte eine einfache, schlanke Lösung schaffen. Das merkt man auch, wenn man das Produkt näher betrachtet: Es kommt aufgeräumt und strukturiert daher, ist DSGVO-konform und konzentriert sich ganz auf die Sicherung privilegierter Zugriffe, das Management der Zugriffsberechtigungen und das Session-Monitoring. Zusammen mit einer agentenlosen Architektur schlägt sich dies in einer schnellen Implementierung nieder. Fudo PAM lässt sich in wenigen Stunden einrichten, ohne Un- terbrechung der IT-Dienste. Das Feintuning erfolgt dann im laufenden Betrieb. Darüber hinaus ist die Lösung als virtuelle Appliance cloudfähig und lässt sich für Managed Services einsetzen. n Fudo PAM – die Highlights ––——— agentenlose, appliancebasierte All-in-one- PAM-Lösung ––——— umfassender Schutz für alle privilegierten Zu- griffe ––——— sichere und compliancekonforme Passwortver- waltung ––——— erhöhte Sicherheit durch Substitution von Benutzerkonten ––——— proaktives Session Monitoring und Session Collaboration ––——— platzsparende Session-Aufzeichnung anhand von Protokoll-Rohdaten Drei Hauptfunktionen ––——— Nahtloses Live-Streaming der User-Sessions per Session Monitoring. Die Überwachungsfunktion erkennt Aktivitätsmuster und kann unerwünschte Sit- zungen automatisch beenden. ––——— Der Secret Manager generiert Passwörter mit anpassbarer Komplexität, speichert sie sicher und hält dabei Compliance-Vorgaben ein. Dazu kommt ein Application-to-Application-Passwortmanager, der die di- rekten Verbindungen zwischen Anwendungen abdeckt. ––——— Die KI-basierte Anomalie-Erkennung ermög- licht Fudo PAM, kleinste Veränderungen im Verhalten der Nutzer während laufenden SSH- und RDP-Verbin- dungen zu erkennen. Treten verdächtige Ereignisse auf – beispielsweise die Zunahme von Verbindungen oder von längeren Sessions – benachrichtigt Fudo PAM den Systemadministrator. Weitere Features ––——— Der Efﬁciency Analyzer misst die Produktivität der Mitarbeitenden und der externen Dienstleister. ––——— Dank Session-Collaboration kann der Sys- tem-Administrator zu jedem Zeitpunkt Sessions beitre- ten und mit einem Remote User gemeinsam arbeiten. ––——— Security Policies – deﬁnierte Muster für eine proaktive Sitzungsüberwachung. Wird ein zuvor deﬁ- niertes Muster erkannt, kann Fudo PAM eine Verbindung automatisch anhalten oder beenden, den Benutzer blockieren und eine Benachrichtigung an den System- administrator senden. Vier Betriebsmodi ––——— Fudo PAM Appliances werden zwischen den Nutzern und dem Unternehmensnetzwerk eingebunden und lassen sich individuell in vier Betriebsvarianten (Transparent, Gateway, Proxy und Bastion) gemäß der vorhandenen Infrastruktur implementieren. Fudo PAM passt sich somit den Unternehmen an – nicht umge- kehrt. Aufzeichnung der Rohdaten in allen gängigen Protokollen ––——— Kommandozeilenbasiert: SSH, Telnet, TN3270, TN5250 ––——— GUI-basiert: RDP, VNC, X11 via SSH, ICA ––——— Datenbank-Clients: Oracle, MySQL, TDS für MS SQL ––——— Diverse: Modbus SCADA ––——— HTTP/HTTPS (Rendering) Für weitere Informationen: BOLL Europe GmbH, Joachim Walter, CEO, Ringstrasse 3, 89081 Ulm, +49 731 850 748 23, jwa@ boll-europe.com, www.boll-europe.com 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

CYBERSECURITY KANN SCHÖN SEIN. Cyberbedrohungen sind bösartig und hässlich. Die Welt wird immer komplexer. Deshalb benötigen Sie vernetzte Lösungen und Transparenz über Ihre gesamte IT-Infrastruktur. Mit Trend Micro können Sie sich besser schützen, mehr erkennen und schneller auf Bedrohungen reagieren. Denn wenn Sie das große Ganze im Blick haben, kann Cybersecurity schön sein. Das ist die Kunst der Cybersecurity. Erfahren Sie mehr unter TheArtofCybersecurity.com Das Kunstwerk zeigt die Erkennung und Bekämpfung Das Kunstwerk zeigt die Erkennung und Bekämpfung von Bedrohungen über mehrere Angriffsvektoren durch von Bedrohungen über mehrere Angriffsvektoren durch Trend Micro. Erstellt auf Basis echter Sicherheitsdaten Trend Micro. Erstellt auf Basis echter Sicherheitsdaten vom Künstler Brendan Dawes. vom Künstler Brendan Dawes.

Transparenz Über Vertrauen und Transparenz Kaspersky legt als einziger Anbieter seinen Quellcode offen Die Welt wird immer komplizierter, aber eine Sache bleibt konstant: Kaspersky setzt sich dafür ein, Kunden auf der ganzen Welt vor Cyberbedrohungen zu schützen – mit Transparenz und Zuverlässigkeit. Unsere „Globale Transparenzinitiative“ hat in der Branche Maßstäbe für digitales Vertrauen gesetzt. Von Christian Milde, Kaspersky Der anhaltende Krieg in der Ukraine hat die Welt, wie wir sie kennen, erschüttert. Neben dem menschlichen Leid im Kriegsgebiet spüren wir alle die wirtschaftlichen, politischen und sozialen Auswirkungen. Auch Kaspersky ist direkt betroffen. Seit 25 Jahren schützt Kaspersky als privat geführtes, internationales Cybersicherheitsunter- nehmen Kunden und Partner auf der ganzen Welt vor Cyberbedrohungen, unabhängig von deren Herkunft. Der Krieg hat uns in ein anderes Licht gerückt. Besonders schmerzhaft trifft uns die Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Kaspersky-Virenschutzprodukten, die nicht auf technischen, sondern auf geopolitischen Gründen beruht. Cybersicherheitslösungen von Kaspersky gehören zu den am meisten geprüften, preisgekrönten und trans- parentesten auf dem Markt [1]. Durch kontinuierliche In- novation stellen wir Spitzenlösungen und Services bereit, wir monitoren und teilen Informationen zu allen Cyber- bedrohungen. Darüber hinaus arbeiten wir mit der inter- nationalen Cybersicherheits-Community zusammen; wir sensibilisieren, schulen und unterstützen Verbraucher, Unternehmen und öffentliche Organisationen weltweit. SOC-2 Audit und ISO-27001-Zertiﬁzierung Seit jeher legen wir bei Kaspersky großen Wert auf Transparenz, Vertrauen, Sicherheit und Integrität. Sicherheitsprodukte greifen tief in das Betriebssystem ein. Deshalb müssen Anwender den Produkten und An- bietern vertrauen. Externe Audits von unabhängigen und anerkannten Organisationen weisen die Sicherheit und Zuverlässigkeit unserer Produkte und Praktiken nach. So hat Kaspersky im April 2022 erneut das Typ-1-SOC-2-Audit erfolgreich bestanden [2]. Dies bestätigt unsere robusten, hochsicheren Softwareentwicklungs- und Verteilungs- prozesse und belegt, dass unsere Antivirus-Datenbanken durch starke Sicherheitsmaßnahmen vor unbefugten Änderungen geschützt sind. Nur ein Beispiel: Die Entwicklung von Kaspersky AV-Software findet niemals ausschließlich in einem Land statt. An der Erstellung von Updates sind zwingend Kaspersky-Experten außerhalb Russlands beteiligt – bei- spielsweise die Kaspersky-Teams in den USA und Kanada. Das gehört zu unseren Sicherheitsvorkehrungen, um die Integrität der Updates zu gewährleisten. Wir sind zudem seit 2020 nach ISO/IEC 27001: 2013, dem international anerkannten Best-Practice- Industrie- und Sicherheits-Standard, zertifiziert [3] und haben diese Zertifizierung im Februar 2022 erneuert [4]. Damit bestätigt TÜV AUSTRIA, dass unsere Datensicher- heitssysteme einschließlich des Kaspersky Security Net- work den besten Datensicherheitspraktiken der Branche entsprechen. Unser Engagement für Vertrauen und Transparenz Des Weiteren haben wir als erstes Unternehmen unserer Branche mit unserer „Globalen Transparenzini- tiative“ [5] konkrete Maßnahmen ergriffen, die auf eine noch größere Datensicherheit, stärkere Transparenz, mehr Vertrauen und Integrität sowie Sicherheit allgemein ein- zahlen (kas.pr/vertrauen). Kaspersky hat weltweit mehrere Transparenzzentren eröffnet, um Sicherheitsbedenken gemeinsam mit Kunden, vertrauenswürdigen Partnern und Regierungsvertretern auszuräumen; die Datenver- arbeitung von Nutzern unter anderem aus Europa, und damit auch Deutschland, findet seit einigen Jahren in Rechenzentren in Zürich statt. In den Transparenz zentren 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

können unser Quellcode, Software-Updates und die Regeln zur Erkennung von Bedrohungen unabhängig überprüft werden. Damit ist Kaspersky Pionier und bislang der einzige Cybersicherheitsanbieter, der dies ermöglicht. Außerdem bieten wir eine unabhängige Prüfung der si- cheren Entwicklung unserer Lifecycle-Prozesse sowie der Strategien, mit denen wir Risiken in der Software-Entwick- lung und in der Lieferkette minimieren. Unsere Produkte zählen zu den besten der Welt. Zwischen 2013 und 2021 wurden sie insgesamt 741 unabhängigen Tests und Bewertungen unterzogen. In diesem Zeitraum wurden Kaspersky-Lösungen 518 Mal mit dem ersten Platz ausgezeichnet, 612 Mal erhielten sie Top-Drei-Platzierungen. Diese Ergebnisse belegen die technische Exzellenz unserer Lösungen und Services [6]. Neben der technologischen Schutzkomponente sind wir bei Kaspersky besonders auf unsere Threat In- telligence [7] stolz, die auf mehr als 20 Jahren Erfahrung in der Suche, Erkennung und Bekämpfung von Cyberbe- drohungen sowie auf globalen Daten beruht. Kaspersky Threat Intelligence hilft dabei, komplexe Bedrohungen in Unternehmen aufzudecken, indem sie proaktive Tech- niken zur Bedrohungssuche einsetzt, die von unseren hochqualifizierten Sicherheitsexperten entwickelt wer- den. Unser Global Research & Analysis Team [8] besteht aus mehr als 40 internationalen Sicherheitsexperten und ist weltweit anerkannt. Sie spüren täglich den Methoden der raffiniertesten cyberkriminellen Gruppen der Welt nach, ganz unabhängig von deren Ursprung. Menschen, Mitarbeiter und internationale Community Kaspersky ist ein globales Unternehmen, das in rund 200 Ländern mit 34 Niederlassungen tätig ist. Der Sitz der Holding als Oberste Konzerngesellschaft befindet sich in Großbritannien. Unsere Server sind auf der ganzen Welt verteilt (einschließlich der Schweiz, Deutschland, China und Kanada); dadurch können wir Informationen schneller verarbeiten und die Verfügbarkeit der Server jederzeit gewährleisten. Wir engagieren uns sowohl global als auch lokal für Cybersicherheit und arbeiten daher mit internationalen Strafverfolgungs- und Regierungsorgani- sationen [9] wie INTERPOL im Kampf gegen Cyberkrimi- nalität zusammen. Das globale Cybersicherheits-Ökosystem, das jahrelang auf Vertrauen und Zusammenarbeit aufgebaut wurde, ist durch den geopolitischen Konflikt gefährdet. Wir sind davon überzeugt, dass eine sichere digitale Welt nur durch gemeinsame Anstrengung möglich ist und auf Dialog, Expertise und Transparenz beruhen muss. In diesem Sinne werden wir bei Kaspersky immer das tun, was wir am besten können: die Cybersicherheit aller ge- Kaspersky unterzieht sich regelmäßig umfassenden Zertiﬁzierungen nach international anerkannten Standards. währleisten – mit Transparenz, Professionalität sowie den besten Lösungen und Services. Kostenlosen Zugang zu Kaspersky Threat Intelligence anfordern Wir müssen leider davon ausgehen, dass die Zahl von Cyberbedrohungen aller Art in der derzeitigen Situa- tion weiterhin zunehmen wird. Deshalb ermöglichen wir Unternehmen und Organisationen mit einem kostenlo- sen Zugang zum Kaspersky Threat Intelligence-Ressource Hub Zugriff auf diejenigen Informationen, die sie benöti- gen, um Cyberbedrohungen entgegenzutreten. Der leis- tungsstarke Service unterstützt die Suche in verschiedenen Daten-Quellen in einer einzigen Benutzeroberfläche. Durch eine Echtzeitsuche können Kunden Informatio- nen aus allen Datenbanken abrufen, einschließlich APT-, Crimeware-, ICS- und Digital Footprint Intelligence-Be- richten und Profile bestimmter Akteure sowie aus Quellen des Dark Web, Surface Web und validierten OSINT IoCs. Dieser kostenlose Zugang wird zunächst für einen Monat gewährt. Sollte es die Situation erfordern, eventuell auch darüber hinaus. Wer das Angebot nutzen möchte, kann einen kostenlosen Zugang zur Kaspersky Threat Intelligen- ce (TI) unter kas.pr/ti-service anfordern. n Literatur [1] www.kaspersky.de/top3 [2] www.kaspersky.com/about/compliance-soc2 [3] www.kaspersky.de/about/press-releases/2020_kaspersky- erhaelt-iso-27001-zertifizierung [4] www.kaspersky.de/about/press-releases/2022_kaspersky- erhalt-rezertifizierung-durch-den-tuv-austria [5] www.kaspersky.de/about/transparency [6] www.kaspersky.de/about/press-releases/2022_ kaspersky-belegt-in-76-prozent-aller-tests-den-ersten-platz- und-beweist-damit-technologische-exzellenz [7] www.kaspersky.de/enterprise-security/threat-intelligence [8] www.kaspersky.com/about/team/great [9] www.kaspersky.com/about/law-enforcement-cooperation © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 19

Awareness Best Practices und Wirkung der Mitarbeitersensibilisierung Schulungen für Mitarbeiter und realitätsnahe Phishing-Simulationen erhöhen die Unternehmenssicherheit und mindern mögliche Schäden durch Cyberkriminalität. Das belegt die aktuelle Studie von ThriveDX. Die Studiendaten zeigen außerdem, welche Phishing- Szenarien erfolgreich sind und was für Themen der Informationssicherheit geschult werden. Von Palo Stacho und Ehud Ben-Porat, ThriveDX Es ist nach wie vor eine Tat- sache: Gemäß dem „IBM Cyber Se- curity Intelligence“-Index beginnen 95 Prozent der erfolgreichen Hacks bei einem unachtsamen Mitarbeiter. Deswegen ist es nicht erstaunlich, dass viele Unternehmen heutzutage nicht nur in professionelle IT-Secu- rity-Lösungen investieren, sondern auch in die Weiterbildung ihrer An- gestellten, damit diese sicherheitsbe- wusster werden. Mithilfe von Cybersecurity- Awareness-Kampagnen werden Mitarbeitende dazu motiviert, ein umfassendes Sicherheitsverständnis zu entwickeln und souverän danach zu handeln. Höhere Unternehmenssicherheit durch Mitarbeiter- sensibilisierung Die Studie „Global Cyber- security Awareness 2022“ von Abbildung 1: Die Security-Awa- reness-Aktivitäten haben zu einem höheren Sicher- heitsniveau in unserer Organisati- on geführt. ThriveDX (www.thrivedx.com) be- legt, dass die Unternehmenssicher- heit zunimmt, wenn die Mitarbeiter mithilfe von IT-Sicherheitstrainings und realitätsnahen Phishing-Simula- tionen üben können: 97 Prozent der Studienteilnehmer bestätigen, dass die Awareness-Maßnahmen zu einer höheren Sicherheit in der Firma füh- ren. In der Regel werden zu diesem Zweck Phishing-Simulationen mit Cybersecurity-Trainings kombiniert. Die Studie zeigt zusätzlich, dass die meisten Organisationen die Phis- hing-Kampagnen im Vorfeld nicht ankündigen. Der Benutzer soll durch solche E-Mails durchaus überrascht werden. Leider bieten nur 42 Prozent der befragten Unternehmen ihren Mitarbeitenden einen sogenannten Phishing-Button an. Mithilfe eines solchen Melde-Buttons kann der Angestellte verdächtige E-Mails an das Sicherheitsteam melden. Das gibt den Mitarbeitenden Sicherheit und potenziell gefährliche Nachrichten können rascher, effizienter und gegebenenfalls auch automatisch analysiert werden. Dazu gaben 87 Prozent der Teilnehmer an, dass das Sicher- heitsniveau in ihrer Organisation nicht gehalten werden kann, wenn man nur auf Technik setzt und auf Sensibilisierungsmaßnahmen beim Mitarbeiter verzichtet. Awareness-Trainings: ein wichtiges Element in der IT-Security-Strategie Die Erkenntnis, dass IT-Si- cherheit ohne Mitarbeitersensibili- sierung nur ausgesprochen schwer sichergestellt werden kann, hat inzwischen dazu geführt, dass die Mehrheit der Teilnehmenden das Thema Awareness in der IT-Strategie verankert hat. 58 Prozent der Stu- dienteilnehmer haben angegeben, dass für die Sensibilisierungsmaß- nahmen eine strategische Grundlage wie eine Awareness-Policy oder ein Awareness-Mission Statement ge- schaffen wurde. Bei der Umsetzung jedoch besteht bei vielen befragten Unternehmen Nachholbedarf: Fast zwei Drittel der Teilnehmer teilten mit, sie wollen die Awareness weiter ausbauen. Die Umfragedaten zeigen, dass für eine umfassende Cybersecu- rity-Strategie in Unternehmen neben IT-Security-Maßnahmen und dem physischen Schutz der Infrastruktur 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

––——— E-Mail-Sicherheit (4,7 %) ––——— Sicherheit im Homeofﬁce / Secure Work from Home (3,9 %) ––——— Sicherheit bei bei Mobilge- räten (3,9 %) ––——— CEO-Fraud (3,9 %) ––——— Andere (19,5 %) Bei der Beantwortung waren Mehrfachnennungen möglich. Wei- ter wurden die rund 2000 Empfänger der Umfrage zu den Erfolgsfakto- ren einer guten Schulung befragt. Die drei meistgenannten Faktoren waren: Die Schulungsdauer (kurz, sprich weniger als 15 Minuten). Zweitens wurden die Unterhaltsam- keit und der Spaßfaktor genannt. Und als drittwichtigster Punkt wurde die Personalisierung und die Anpas- sung an den Firmenkontext erwähnt. Weitere Erfolgsfaktoren können der Studie entnommen werden. Fazit Für eine umfassende Cyber- security-Strategie in Unternehmen sind neben IT-Security-Maßnahmen und dem physischen Schutz der Infrastruktur auch Phishing-Simula- tionen und interne Schulungen der mulationen auf, welche zu einer hohen Klickrate führen [siehe Stufe 2 und Stufe 3 in Abbildung 2]. Wichtig ist dabei: Alle diese Szenarien sind so aufgebaut, dass diese von den Mitar- beitenden grundsätzlich als Fake-E- Mail hätten erkannt werden können. Die beliebtesten Trainings zur Informationssicherheit Die nachfolgenden Zahlen sprechen für sich. Lediglich neun Trainingsgebiete machen aktuell über 80 Prozent der Schulungen aus. Die Frage „Welche Sensibilisierungs- schulungen haben Sie in letzter Zeit durchgeführt?“ haben die Teilneh- menden wie folgt beantwortet [siehe auch Abbildung 3]: Abbildung 2: Was war Ihre erfolgreichste Phishing-Simulation? auch interne Schulungen der Mitar- beitenden notwendig sind. Bei der Auswertung der Umfrageergebnisse trat ein weiterer Nutzen zu Tage: Fast unglaubliche 99 Prozent der Befragten gaben an, dass Awareness einen positiven Beitrag zur Fehlerkultur im Un- ternehmen leistet. 96 Prozent der Teilnehmer bestätigten außerdem, dass sich Phishing-Simulationen positiv auf das Arbeitsklima auswir- ken. Der Nutzen von Cybersecurity- Awareness geht weiter, als nur die IT-Infrastruktur zu schützen. Die erfolgreichsten Phishing-Szenarien Die Frage nach den erfolg- reichsten Phishing-Szenarien lieferte eine große Menge von Antworten. Bei näherer Betrachtung wurde ersichtlich, dass es schlussendlich eine überschaubare Menge von simulierten Angriffen gibt, die zu funktionieren scheinen. Speziell: Die Studienteilnehmer gaben relativ häufig an, dass grundsätzlich alle Phishing-Simulationen hohe Klick- raten erzielen, wenn das Angriffs- szenario plausibel einen Unterneh- menskontext nutzt und die richtige Sprache verwendet wird (im Sinne des Betriebsdialekts). Dabei sind vor allem die Sze- narien erfolgreich, welche die emo- tionale Ebene ansprechen: Neugier, Pflichtbewusstsein, Dringlichkeit, Hilfsbereitschaft, Gier, Gewinn, Em- pathie und persönliche Ansprache. Daneben zeigt die Studie rund 40 weitere Szenarien von Phishing-Si- Abbildung 3: Welche Sensibili- sierungsmaßnahmen haben Sie in letzter Zeit durchgeführt? ––——— Entdecken von Phis- hing-Mails (28,1 %) ––——— Passwortsicherheit (13,3 %) ––——— Social Engineering generell (9,4 %) ––——— Malware, insbesondere Ransomware (7,0 %) ––——— Datenschutz, Datensicher- heit und GDPR/DSGVO (6,3 %) Mitarbeitenden wichtig. Dabei kann man auf einen gut funktionierenden Bestand von Angriffsszenarien und Schulungsthemen zurückgreifen. Belohnt wird man nicht nur mit ei- nem besseren Schutz, sondern auch mit einem positiven Beitrag zum Ar- beitsklima und der Fehlerkultur. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 21

Authentifizierung 1 9 9 a n a g a r d - m o c . o t o h p k c o t S i : e l l e u Q Warum sichere Passwörter in der neuen Arbeitswelt Priorität haben sollten Raus aus dem Bermudadreieck der Cybersicherheit Neue Formen der Zusammenarbeit, permanente Cyberbedrohungen und unsere ureigenen menschlichen Schwächen: Das ist das Bermudadreieck der Cybersicherheit. Wer hier nicht abstürzen will, muss solide Schritte unternehmen, um Mitarbeitende und Firmendaten robust zu schützen. Hier einige vielversprechende Ansätze. Von Peter van Zeist, LastPass Die Realität unserer täglichen Arbeit macht es deutlich. Ein reales, ständig wachsendes Bedrohungssze- nario, eine neue hybride Arbeitswelt und schließlich unser allzu mensch- liches Verhalten – dieser verhängnis- volle Mix ist das Bermuda-Dreieck der Cybersicherheit und Unternehmen tun gut daran, sich intensiv damit zu beschäftigen, wie sie diesbezüglich ihre IT-Sicherheit auf eine solide Grundlage stellen können. Die Fakten sprechen für sich: Die Zahl der Cyberangriffe steigt auch 2022 immer noch weiter an und gerade Unternehmen in Deutsch- land versprechen ein lohnendes Ziel für Cyberkriminelle zu sein. 2021 hat die Polizei bundesweit 146 363 Straftaten im Bereich Cybercrime registriert – das waren noch einmal deutlich mehr als im Vorjahr – und die Aufklärungsrate ist – sagen wir – extrem übersichtlich. Das ist umso kritischer, als auf der anderen Seite IT-Landschaf- ten in der neuen Arbeitswelt immer komplexer werden: Mobility, Cloud, Internet of Things, neue Nutzer, Dienste und Devices sind hier die Stichworte. In diesem Kontext haben IT-Helpdesks und IT Security na- türlich immer mehr Probleme, Mitarbeitende zu schützen. Die Her- ausforderung ist: einerseits im neuen „Work-from-Anywhere“ den Zugang der Mitarbeitenden zu ihren Ressour- cen zu erleichtern und andererseits die Cyberrisiken zu minimieren. Aber wie geht das? IT-Sicherheit durch mehr Bewusstsein schaffen Der erste Schritt ist hier zunächst grundsätzlich, das Sicher- heitsbewusstsein aller Mitarbeiten- den zu erhöhen. Egal, ob Teammit- glieder zu Hause, im Büro oder in einem Café arbeiten, ihnen muss jederzeit klar sein, welche Gefahren von böswilligen Hackern und Cyber- kriminellen ausgehen und welche Schritte und Tools zur Bekämpfung eingesetzt werden können. Wichtig ist dabei, dass die Mitarbeitenden nicht nur entspre- chend geschult werden, sondern dass das Thema Sicherheit fest in der Unternehmenskultur verankert ist. Nur so können Unternehmen sicher- stellen, dass sich ihre Teams während 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

der Arbeitszeit vorsichtig verhalten und keine Sicherheitspannen durch Leichtsinn entstehen. Alles in allem jedoch sind Menschen eben menschlich, und es kann sogar sein, dass selbst Faktoren wie etwa Produktivitätsdruck letzt- lich zu unvorsichtigem Verhalten führen. Hier gilt es, geeignete Sicher- heitsstrategien zu finden. Starke Passwörter Einer der wichtigsten und wirksamsten Schritte in Sachen Sicherheit ist deshalb ein starkes Passwort-Management – ob von zu Hause, im Büro oder irgendwo sonst auf der Welt. Denn: Passwörter zählen noch immer zu den größten Sicherheitslücken in Unternehmen. Viele Nutzer verwenden dasselbe, unsichere Passwort über verschiede- ne Anwendungen hinweg (und 50 Konten sind heute bei Weitem keine Seltenheit mehr). Am beliebtesten in der Realität sind hier aber leider noch immer die unsterblichen Klassiker „123456“, „quertz“ oder „Passwort“. Dadurch wird klar: Unter- nehmen müssen Kontrolle über die Verwendung von Passwörtern durch Mitarbeitende haben, um einen Ver- stoß rechtzeitig zu verhindern, aber gleichzeitig keine Mehrarbeit für die Nutzer zu verursachen. Eine logische Lösung ist hier zweifellos ein guter Business Passwortmanager. Er verwaltet alle Passwörter, die individuell für ein Konto erstellt werden, in einem si- cheren Tresor, der nur über ein starkes Master-Passwort des Users zugänglich ist. Die Mitarbeitenden müssen sich also nur ein Passwort merken. So wird vermieden, dass sie ihre Passwörter unsicher gestalten oder mehrfach für verschiedene Anwendungen verwen- den. Dazu bieten solche Lösungen mittlerweile weitere Funktionen, um die Sicherheit zu verstärken, beispiels- weise Single Sign-on (SSO) oder Mul- ti-Faktor-Authentifizierung (MFA). Zusätzliche Maßnahmen wie SSO und MFA Mit SSO kann die Anzahl der Passwörter, die Mitarbeitende erstellen, sich merken und verwalten müssen, erheblich reduziert werden. SSO verbindet einen Mitarbeitenden sicher mit den Anwendungen, die ihm zugewiesen wurden, ohne dass er ein extra Passwort eingeben muss. Ist SSO mit einem Passwortmanager verbunden, kann ein Unternehmen die vollständige Kontrolle über sowohl Passwörter als auch Benut- zerzugriff erreichen. So bekommen alle Log-ins eine zusätzliche Sicher- heitsstufe. Die Multi-Faktor-Authen- tifizierung (MFA) geht hier sogar noch einen Schritt weiter. Hier ist es zum Einloggen erforderlich, neben dem Passwort auch einen Code ein- zugeben, der an ein anderes Gerät des Nutzers oder über Biometrie – beispielsweise einen Fingerabdruck – geschickt wird. So wird nur mit Eingabe dieses zweiten Faktors der Anmeldevorgang abgeschlossen. Sichere VPN schaffen In einer Studie von 2021 ga- ben 45 Prozent der IT-Verantwortli- chen an, dass die Mitarbeitenden auf ungesicherte WLAN-Netze zugrei- fen. Daher ist es wichtig, auch den Zugang zum Unternehmensnetz- werk abzusichern. Ein VPN ist hier ein unverzichtbares Werkzeug für Unternehmen auf der ganzen Welt geworden. Durch die einfache Nut- zung, einen einzigen Zugangspunkt und eine sichere Datenübertragung erfreut sich diese Technologie hoher Akzeptanz. Allerdings bergen genau diese Eigenschaften auch ein hohes Potenzial für Cyber-Angriffe. Mit nur einem Satz gestohle- ner Log-in-Daten oder einem durch Malware kompromittierten Compu- ter kann sich ein Hacker Zugang zu sensiblen Daten im Unternehmens- netzwerk verschaffen – und es im schlimmsten Fall komplett kapern. Daher braucht auch ein VPN eine zusätzliche Absicherung. Mit MFA lässt sich hier die Sicherheitsebene verdoppeln. Damit wird vermieden, dass sich unberechtigte Personen Zugang zum Netzwerk verschaffen, ohne aber zusätzliche Komplexität für die Mitarbeitenden zu kreieren. Wach bleiben und Sicherheit als Prozess sehen Es ist zweifellos ein Wett- lauf mit der Zeit. Cyber-Angriffe werden perfider und komplexer, sodass technologiebasierte Cyber-Si- cherheitspraktiken sich permanent weiterentwickeln müssen. Unter- nehmen müssen in der Lage sein, Unmengen an Vorfallsdaten, fehler- haften oder doppelten Datensätzen, eine Vielzahl von Malware-Mustern über Tausende von Protokollen zu bewältigen. In naher Zukunft werden deshalb mit Sicherheit auch neue Technologien wie künstliche Intel- ligenz und Machine Learning eine wichtigere Rolle spielen, um schnel- ler und zuverlässiger kriminelle Muster bei großen Datenmengen zu erkennen und entsprechend frühzei- tig Warnungen zu generieren. Wichtig bleibt jedoch vor allem die Erkenntnis, dass IT-Sicher- heit heute kein statischer Zustand mehr sein kann, sondern ein fort- laufender Prozess ist, der permanent sowohl Ressourcen als auch Auf- merksamkeit benötigt. So kann es gelingen, nicht im Bermuda-Dreieck der Cybersi- cherheit verloren zu gehen, sondern immer die bestmögliche Sicherheits- infrastruktur für Mitarbeitende, Unternehmen und Daten zu bieten – und zwar ohne eine produktive Zusammenarbeit zu behindern. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 23

BOLL – engagiert für den Channel « Für Fudo Security ist die Zusammenarbeit mit BOLL eine wahre Bereicherung. Da treffen Kundenorientierung, Kompetenz und Expertenwissen aufeinander – und schaffen eine perfekte Rezeptur » für einen starken Channel. Patryk Brozek / CEO, Fudo Security Ein starker Partner Motiviert / Erfahren / Verlässlich BOLL Europe GmbH Ringstrasse 3 / DE-89081 Ulm / Telephone +49 731 85074823 / jwa@boll-europe.com / www.boll-europe.com

Log-Management Log-Management zur Einhaltung von IT-SiG und B3S Was KRITIS-Betreiber jetzt beachten müssen Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG) haben sich die Pflichten für KRITIS-Betreiber nochmals verschärft. So müssen sie nun technische und organisatorische Maßnahmen einführen, die der Prävention gegen IT-Vorfälle, deren Detektion oder Mitigation dienen und dem Stand der Technik entsprechen. Logfiles, also Protokolldateien, die Ereignisse dokumentieren, spielen dabei eine zentrale Rolle. Von Sanjo Franz, SYSTEMA Gesellschaft für angewandte Datentechnik mbH Zur Einhaltung zahlreicher Gesetzgebungen und Regulatorien im Bereich Datenschutz und Daten- sicherheit sind die Verfügbarkeit, Integrität und Vertraulichkeit der eingesetzten IT-Systeme sowie die Authentizität der Informationen heute eine bedingungslose Grund- voraussetzung. Gemäß BSI-Gesetz und IT-Sicherheitsgesetz (IT-SiG) sind hier die Betreiber kritischer Infrastrukturen seit 2015 verpflich- tet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen und zur Erhöhung der IT-Sicherheit zu tref- fen. Dabei müssen zentrale Vorgaben aus der Regulatorik (DSGVO, BSIG, BDSG …) erfüllt und bestehende Standards (ITIL, ISO 27001, BSI IT-Grundschutz, B3S …) eingehalten werden. Mit der Erweiterung des im Mai 2021 in Kraft getretenen IT-Si- cherheitsgesetzes 2.0 haben sich die Pflichten (Meldepflicht, Registrie- rung) für KRITIS-Betreiber nochmals verschärft. Zudem fallen nach neuer KRITIS-Verordnung nun auch Unter- nehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI) und deren Zulieferer unter die Regulierung. Log-Management ist keine Kür, sondern Pﬂicht Tagtäglich verarbeiten IT-ge- stützte Systeme personenbezogene Daten und vertrauliche Geschäfts- informationen. Um gesetzliche Anforderungen an den Datenschutz zu erfüllen und die Nachvollzieh- barkeit von sicherheitsrelevanten Ereignissen zu gewährleisten, müs- sen KRITIS-Betreiber technische und organisatorische Maßnahmen im Sinne der Kritikalität (Verfügbarkeit, Integrität, Authentizität und Ver- traulichkeit der Daten) entwickeln. Diese Anforderungen setzen den Ein- satz einer Log-Management-Lösung zur Protokollierung von Störungen, Informationssicherheitsvorfällen, Datenzugriffen von Benutzern und Administratoren sowie von Veränderungen entsprechender Benutzerrechte voraus. Die ordent- liche Erfassung und Auswertung dieser Protokolldaten – neben dem Backup und der Firewall die dritte Säule der IT- und Datensicherheit in Unternehmen – dient also nicht nur der Erfüllung gesetzlicher Vor- gaben. Sie unterstützt Unternehmen auch maßgeblich dabei, nahezu in Echtzeit auf Datenmissbrauch oder -verlust zu reagieren. Verbesserung der IT- und Cybersicherheit KRITIS-Betreiber müssen technische und organisatorische Maßnahmen (TOM) im Bereich IT-Sicherheit einführen, die der Prävention gegen IT-Vorfälle, deren Detektion oder Mitigation dienen und dem Stand der Technik ent- sprechen. Dies ist spätestens bis zum 1. Mai 2023 gegenüber dem BSI nachzuweisen. Mit Prävention sind Abwehrmaßnahmen wie die AUDITSICHERES LOG-MANAGEMENT IN VIER SCHRITTEN Schutzbedarfs-und Risikoanalyse inkl. Protokollierungskonzept Umsetzung und Betrieb Überprüfung/Analyse, Berichte und Alarme Anpassung auf veränderte Regularien, regelmäßige Updates der Berichtspakete © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022 25 Neben der Verbesserung der IT-Sicherheit lassen sich durch geeignete Log-Management- Tools geforderte Regularien einhalten und somit eine umfassende Auditsicherheit nachweisen.

Log-Management sichere Authentifizierung, IPS und NAC gemeint. Ein professionelles Sicherheitsmanagement (ISMS) defi- niert die Standards und kontrolliert kontinuierlich deren Einhaltung. Detektion von IT-Sicherheitsvorfäl- len kann durch einzelne Maßnah- men wie IDS, SIEM oder durch eine IT-Sicherheitszentrale (SOC), in der alle Informationen zur IT-Sicherheit zusammenlaufen, erreicht werden. Logfiles, also kleine Protokoll- dateien, die Ereignisse dokumentie- ren, spielen bei der Prävention und Detektion eine zentrale Rolle. Von professionellem Log-Management spricht man, wenn Logfiles mani- pulationssicher, pseudonymisiert und mit eindeutigem Zeitstempel abgespeichert werden. Da die meis- ten Logdateien für die Detektion von IT-Sicherheitsvorfällen nicht entscheidend sind, müssen Filter wichtige Ereignisse sichtbar machen und bei Anomalien die Verantwort- lichen alarmieren. Fazit Es gibt viele Gründe, die für den notwendigen Einsatz von Log-Management in kritischen In- frastrukturen sprechen. Das sind zum einen zu erfüllende Regulato- rien und Compliance-Vorschriften, aber auch der fortlaufend zu gewähr- leistende störungsfreie IT-Betrieb Log-Management gemäß IT-SiG und B3S – LIVE Event am 8.9.2022 in Potsdam Potsdam. Sie haben an diesem Tag keine Zeit? Dann melden Sie sich al- ternativ für unseren 60-minütigen Experten-Webcast an. Erfahren Sie in beiden Ver- anstaltungen alles Wissenswerte zu den neuen Vorgaben des IT-Sicher- heitsgesetz 2.0 (IT-SiG) und infor- mieren Sie sich kostenlos über Ihr persönliches Realisierungskonzept. Melden Sie sich bequem über diesen QR-Code an: Immer mehr Unterneh- men fallen unter die KRITIS-Verord- nung, und die IT-Sicherheitsanfor- derungen werden für die Betreiber kritischer Infrastrukturen immer komplexer. Um die zunehmend höher werdenden KRITIS-An- forderungen zu erfüllen und ein Audit erfolgreich zu bestehen, hat die Systema Datentechnik GmbH mit Unterstützung der IT-Security Experten der ProSoft GmbH ein umfassendes Realisierungskonzept für Log-Management & SIEM er- arbeitet. Dieses praxisnahe Konzept präsentieren wir interessierten IT-Verantwortlichen und anderen Fachbereichsleitern am 8. Septem- ber auf unserem LIVE-Event in und die damit zusammenhängende IT-Sicherheit. Für diese Felder ist die Logfile-Analyse eine wichtige und vielfach auch vorgeschriebene Infor- mationsquelle. Bei der Unmenge an Logfiles, die täglich bereits in kleinen IT-Infrastrukturen anfallen, gleicht die Filterung von relevanten Log- dateien der Suche nach der „Nadel im Heuhaufen“. Aber professionel- les Log-Management kann aus Big Data nützliche Informationen für die Verfügbarkeit der IT und deren Absicherung erkennen. Bedenkt man alle Vorgaben, ist der Einsatz einer Log-Management-Lösung al- ternativlos für den sicheren Betrieb von Anlagen und IT/OT-Systemen in kritischen Infrastrukturen. n Impressum GmbH Augustinusstraße 9d, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁnden Sie online auf www.kes.info/media/. Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁlm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 40 vom 01. Januar 2022 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: Shawn Hempel / stock.adobe.com 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Best Practices – Stand der Technik, Juni 2022

Wir schützen Ihre Daten überall, jederzeit. DriveLock ist Spezialist für cloud-basierte Endpoint- und Datensicherheit. Die cloud-basierten Lösungen von DriveLock bieten mehrschichtige Sicherheit, sind sofort verfügbar und wirtschaftlich effizient mit niedrigen Investitionskosten. Die DriveLock-Lösungen Device Control und Application Control sind nach Common Criteria EAL3+ zertiﬁziert. Die Zertiﬁzierung ist vom Bundesamt für Informationstechnik (BSI) anerkannt. www.drivelock.com

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Management und Wissen PCI Data Security Standard PCI DSS 4.0: Das Warten ist vorbei Nach langer Zeit gibt es wieder einmal ein neues Major-Release des „Payment Card Industry Data Security Standard“ (PCI DSS). Unsere Autoren ziehen im Wesentlichen ein positives Fazit der überfälligen Aktualisierung und fassen die wichtigsten Änderungen für Unternehmen zusammen. Von Christopher Kristes und Torsten Schlotmann, Köln Nach über vier Jahren Ent- wicklungszeit – der erste RFC startete bereits Ende 2017 – ist Ende März 2022 die lang erwartete Version 4.0 des „Payment Card Industry Data Security Standard“ (PCI DSS) veröf- fentlicht worden. DSS 4.0 ist das erste Major-Release seit 2013. Die lange Entwicklungszeit und der Abstand zur vorherigen Hauptversion lassen schon erahnen, dass die neue Version signiﬁkante Änderungen und Neue- rungen mit sich bringt. Eine Aktualisierung war auch dringend notwendig, denn selbst wenn der Standard vom Grundprinzip her immer technolo- gieunabhängig war, haben sich die Informationstechnik und auch die Angriffe auf die IT seit 2013 doch massiv geändert – zum Beispiel nutzen heute, anders als damals, viele Kreditkarten-Dienstleister und Händler cloudbasierte Lösungen. Die neue Version PCI DSS 4.0 versucht, den Sicherheitsbedarf der Kreditkar- tenindustrie nach aktuellem Stand der Technik zu unterstützen und auch der geänderten Bedrohungslage gerecht zu werden. Darüber hinaus haben sich in der Zwischenzeit wei- tere wichtige IT-Sicherheitsstandards etabliert – auch hier versucht der DSS 4.0 diese Entwicklung mit einer höheren Flexibilität bei An- forderungen und Prüfmethoden zu unterstützen. Mittlerweile ist zwar die deutsche Übersetzung des Standards verfügbar – leider enthält aber auch die neue deutsche Fassung viele Übersetzungsfehler. Die Autoren empfehlen daher weiterhin, wenn möglich ausschließlich mit der eng- lischsprachigen Originalversion zu arbeiten. Aus diesem Grund verwen- det auch dieser Artikel hauptsäch- lich die englischen Originalbegriffe aus dem Standard. Umsetzungszeitplan PCI DSS 4.0 wurde am 31. März 2022 veröffentlicht. Wie in der Vergangenheit bekommen Unternehmen jedoch eine Über- gangsfrist zur Umsetzung der neuen Anforderungen: Zunächst einmal kann jedes Unternehmen bis zum 31. März 2024 selbst entscheiden, ob es sich weiterhin nach DSS 3.2.1 oder direkt nach 4.0 zertiﬁzieren lassen will. Generell werden Zertiﬁ- zierungen allerdings erst ab Sommer 2022 möglich sein, da alle Auditoren noch ein spezielles Training absolvie- ren müssen, das voraussichtlich erst im Juni/Juli zur Verfügung gestellt wird. Wie in den DSS-Veröffentli- chungen zuvor, unterteilen sich die Änderungen im neuen DSS 4.0 in drei verschiedene Kategorien: Evolving Requirement, Clariﬁcation/Guidance und Structure/Format. Der Großteil der neuen Anforderungen wird erst ab dem 31. März 2025 verpﬂichtend. Bis dahin werden sie als Best Practice verstanden und müssen bei einer Zertiﬁzierung nach Version 4.0 noch nicht zwingend erfüllt werden. Insgesamt sind die defi- nierten Zeiträume, bis Unternehmen zwingend alle DSS-4.0-Anforderun- gen umsetzen müssen, sehr großzü- gig gewählt (vgl. Abb. 1). Aufgrund der langen Zeit seit dem letzten Major-Release und der großen An- zahl an Neuerungen empfehlen die Autoren allerdings allen betroffenen Unternehmen, sich zeitnah mit den Anforderungen zu befassen. Allgemeine Änderungen Im Folgenden werden zu- nächst wichtige grundlegende Änderungen im neuen Standard beschrieben. Generell unterscheidet der PCI DSS weiterhin an einigen Stellen zwischen Händlern (Mer- chants) und Bezahldienstleistern (Service-Providers). 53 von 64 neuen Anforderungen sind jedoch für alle Arten von PCI-relevanten Unter- nehmen anwendbar – nur 11 An- forderungen gelten ausschließlich für Bezahldienstleister und nicht für Händler. 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2022#3

Security als kontinuierlicher Prozess Obwohl der PCI DSS 3.2.1 einen besonderen Fokus auf die sogenannten Business-as-usual-(BAU)-Prozesse legt, stand bei der Entwicklung des PCI DSS 4.0 weiter die Aufrechterhaltung der PCI-Compliance über das gesamte Jahr hinweg im Mittelpunkt. Ein Beispiel hierfür ist die Erweiterung beim The- ma Scoping, also die Deﬁnition des Audit-Umfangs: Dies ist seit jeher eine große Herausforderung in komplexen Kreditkartenumgebungen. Seit 2016 gibt es bereits ein separates Informationsdokument (Information-Supple- ment) vom PCI Council zum Thema Scoping, das aber nur Empfehlungscharakter besitzt. Viele Aspekte dieses Dokuments werden nun durch die Übernahme in den ofﬁziellen Standard verpﬂichtend. Ein wichtiger neuer Aspekt sind die jährlichen (für Bezahldienstleister sogar halbjährlichen) oder nach bedeutenden Änderungen an der Umgebung geforderten Scope-Reviews. Die Ergebnisse des internen Scope-Reviews müssen ofﬁziell dokumentiert und dem Auditor während der jährlichen Rezertiﬁzierung nachvollziehbar dargelegt werden. Customized Approach versus Deﬁned Approach PCI DSS war schon immer ein sehr konkreter IT-Si- cherheitsstandard – neben klar deﬁnierten Requirements für nachweispﬂichtige Organisationen enthält er ebenso klar deﬁnierte Testing-Procedures für die Auditoren. Diese Vorgehensweise ist Fluch und Segen zugleich: Auf der ei- nen Seite helfen konkrete Anforderungen Unternehmen bei der Umsetzung und die Testing-Procedures sorgen für eine gleichbleibende hohe Qualität der Audit-Ergebnisse. Allerdings gibt es mittlerweile viele Unternehmen, die verschiedenen IT-Sicherheitsanforderungen (ISO 27001, SOC, § 8a BSIG usw.) unterliegen und denen die Erstellung eines einheitlichen Control-Sets durch die eng deﬁnierten DSS-Anforderungen erschwert wird. Dadurch wird PCI DSS heute häuﬁg als Insellö- sung für die Kreditkartendatenumgebung genutzt. Um gerade großen Unternehmen mehr Flexibilität bei der Umsetzung des DSS zu geben, werden neben dem Tra- ditional Approach – in DSS 4.0 auch Deﬁned Approach genannt – eine neue Art der Anforderungsdeﬁnition und entsprechende Möglichkeiten zur Prüfung eingeführt: der Customized Approach. Mit dem Customized Approach kann ein Un- ternehmen für fast alle Anforderungen (bis auf wenige Ausnahmen) eigene Controls erstellen, anstatt die im Deﬁned Approach vorgegebenen Controls umzusetzen. Wichtig ist dabei, dass das Objective, also die Intention hinter der Anforderung, auch mit diesen individuell deﬁ- nierten Controls erfüllt wird. Um das zu überprüfen, muss der jeweilige Qualiﬁed Security-Assessor (QSA) geeignete Testing-Procedures aus den Controls ableiten. Der Prozess hierfür ist detailliert beschrieben und sehr komplex. Das PCI Council empﬁehlt daher auch, dass nur Unternehmen mit IT-Sicherheitsorganisationen, die über entsprechende Ressourcen verfügen, dieses Werkzeug umfassend nutzen sollten. Trotzdem bietet der neue Customized Approach Unternehmen endlich die benötigte Flexibilität, um mehrere Sicherheitsstandards miteinander zu verzahnen und bereits vorhandene IT- Sicherheitszertiﬁzierungen besser nutzen zu können. Neue Security-Anforderungen Generell wurden viele Anforderungen aktualisiert und angepasst – die Grundstruktur des Standards hat sich allerdings nicht geändert: Es gibt weiterhin 12 Hauptan- forderungen, die vom Themenbereich her grundlegend gleichgeblieben sind (vgl. Tab. 1). Der folgende Abschnitt geht auf ausgewählte neue oder geänderte Anforderungen ein, die aus Sicht der Autoren für Unternehmen hauptsächlich relevant sind. Sämtliche hier aufgeführte Anforderungen sind bis zum 31. März 2025 als Best Practices deﬁniert und müssen erst danach verpﬂichtend umgesetzt werden. Abbildung 1: Zeitleiste zur Umsetzung von PCI DSS 4.0 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2022#3 7

Management und Wissen PCI Data Security Standard Auf alle 64 neuen Anforderungen einzugehen, würde den Rahmen eines Fachbeitrags sprengen – die Autoren empfehlen dennoch sämtlichen betroffenen Un- ternehmen dringend, sich frühzeitig umfassend mit allen Details des neuen Standards zu beschäftigen. Kopieren der Primary Account-Number (PAN) Der Schutz der Kreditkartennummer (Primary Account-Number – PAN) ist seit jeher das primäre Ziel des PCI DSS. Im DSS 4.0 wird nun eine neue Anforderung ergänzt, durch die das Kopieren der PAN im Rahmen eines Remotezugriffs technisch unterbunden werden muss, sofern für den jeweiligen Benutzer kein Business-Need für diese Funktion besteht. Da Standardlösungen für den Zugriff auf Systeme, wie RDP oder SSH, diese Funktionalität nicht „out of the Box“ mit sich bringen, sind hierfür neue technische Lö- sungen zu evaluieren und zu implementieren. Generell bietet es sich an, per Remotezugriff ohnehin nur den Zugriff auf ausmaskierte Daten zu erlauben. Aber häuﬁ g ist eine Unterscheidung für einzelne Benutzer auf dieser Ebene nicht möglich – und daher muss der Zugriff über Einschränkungen der Remotezugriffsverbindung um- gesetzt werden, beispielsweise durch Deaktivierung des Clipboards und der Downloadfunktionen beim Remote- zugriff. Multi-Factor-Authentication (MFA) Schon im Rahmen des letzten Minor-Updates wurde die Thematik zur Nutzung von Multi-Factor-Au- thentication (MFA) im DSS weiter verschärft. PCI DSS 4.0 führt nun die vollständige Verpﬂ ichtung zur Nutzung von MFA beim Zugriff auf das Cardholder-Data-Environment (CDE) ein. Dies betrifft sowohl den Remotezugriff, wie bereits in PCI DSS 3.2.1, als auch den Zugriff von internen Systemen aus und gilt für Benutzer mit und ohne admi- nistrative Rechte. Es wird auch noch einmal explizit betont, dass MFA für alle Arten von Zugriffen (Anwendungs-, Netz- werk- und System-Ebene) gilt, wobei ein genereller MFA- Zugriff, beispielsweise auf Netzwerk-Ebene, die anderen Ebenen mit einschließt, sofern damit alle Zugriffe abge- deckt werden. Auch Cloudumgebungen inklusive deren Web-Zugänge müssen nun ebenfalls verpﬂ ichtend auf MFA umgestellt werden. An die MFA-Systeme selbst wer- den darüber hinaus zusätzliche Anforderungen gestellt, beispielsweise eine Resilienz gegen Replay-Angriffe. Keyed Hashes Hash-Funktionen werden im Kreditkartenbereich häuﬁ g für Suchfunktionen verwendet, indem man Kredit- kartendaten in gehashter Form speichert. Hiermit wird eine Suche nach einer bestimmten Kartennummer („Hat Kunde XYZ bereits eine Zahlung im Webshop getätigt?“) vereinfacht. Bislang war die Nutzung sogenannter Salts beim Einsatz von Hashfunktionen nur empfohlen – im neuen Standard geht das PCI Council nun einen Schritt weiter und führt die Verpﬂ ichtung zur Nutzung von Keyed Cryptographic Hashes ein. Die dabei verwendeten krypto- graﬁ schen Schlüssel müssen nun mit den gleichen hohen Key-Management-Anforderungen geschützt werden, wie alle anderen Schlüssel. Hierfür sind bei bestehenden Lö- sungen sowohl die Hashfunktionen als auch das komplette kryptograﬁ sche Schlüsselmanagement umzustellen. Disk-Verschlüsselung Auch wenn eine Verschlüsselung der Kreditkar- tendaten auf Festplattenebene schon immer als ein sehr Tabelle 1: Die 12 Haupt- anforderungen des PCI DSS 4.0 Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme Schutz von Kontodaten Wartung eines Programms zur Verwaltung von Schwachstellen Implementierung starker Zugriffskontrollmaßnahmen Regelmäßige Überwachung und Prüfung der Netzwerke Beibehaltung einer Informationssicherheitspolitik Installation und Wartung von Netzsicherheitskontrollen 1. 2. Anwendung von sicheren Konﬁ gurationen auf alle Systemkomponenten 3. Schutz von gespeicherten Kontodaten 4. Schutz von Karteninhaberdaten mit starker Kryptograﬁ e während der Übertragung über offene, öffentliche Netzwerke 5. Schutz aller Systeme und Netzwerke vor bösartiger Software 6. Entwicklung und Wartung sicherer Systeme und Software 7. Beschränkung des Zugriffs auf Systemkomponenten und 8. 9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten Karteninhaberdaten nach geschäftlichem Bedarf Identiﬁ zierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten 10. Protokollierung und Überwachung aller Zugriffe auf 11. Regelmäßige Prüfung der Sicherheit von Systemen und Netzwerken Systemkomponenten und Karteninhaberdaten 12. Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2022#3

Management und Wissen PCI Data Security Standard schwacher Schutz angesehen wurde und fast überall mittlerweile eine Verschlüsselung der Daten auf Applika- tions- oder zumindest Datenbankebene eingesetzt wird, ist die Disk-Verschlüsselung häuﬁ g noch immer in Legacy- Umgebungen zum Einsatz gekommen. Diese Ausweichmöglichkeit wurde nun im DSS 4.0 (endlich) beseitigt und Disk-Verschlüsselung al- leine wird nicht länger als eine Möglichkeit zum Schutz der sensiblen Kreditkartendaten betrachtet. Erlaubt bleibt jedoch der Einsatz von Disk-Encryption bei der Nutzung elektronischer Wechseldatenträger. E-Commerce-Sicherheit Die größten Fraud-Rates verzeichnet die Kreditkar- tenzahlung weiterhin im E-Commerce-Bereich: Dort ist es für Angreifer vermeintlich am einfachsten, eine große Menge an Kartendaten abzugreifen. Durch PCI DSS 3.x wurde im Rahmen der Risikoabwägung die Nutzung von iFrames oder Redirect-Lösungen in Webshops forciert. Dennoch lassen sich auch die genannten Verfahren bei einem erfolgreichen Angriff auf den Händler-Webserver aushebeln – trotz Einsatz eines PCI-zertiﬁ zierten Dienst- leisters. Um für noch mehr Sicherheit im E-Commerce zu sorgen, wurden nun gleich mehrere neue Anforderungen im PCI DSS 4.0 ergänzt: Zum einen ist die Nutzung von Bezahl-Skripten reglementiert, wo nun jedes Skript expli- zit autorisiert und inventarisiert werden muss. Zusätzlich ist die Integrität der Skripte sicherzustellen. Hintergrund ist, dass in der Vergangenheit erfolgreich Angriffe, bei- spielsweise über veränderten Javascript-Code, stattgefun- den haben, der dann in die Payment-Seite geladen wird. Eine weitere Anforderung deckt das Angriffs- szenario ab, dass trotz des Einsatzes von iFrames oder Redirect-Technology der zugrunde liegende Webserver von Angreifern erfolgreich kompromittiert wird und dann der Content der umliegenden Seite so manipuliert wird, dass sich dennoch Kreditkartendaten abgreifen ließen. Hierfür muss zukünftig bei den Webshop-Betreibern eine Lösung zur Überwachung der Integrität technisch imple- mentiert werden, welche die HTTP-Header sowie Inhalte der Bezahlseiten überwacht und Veränderungen an der Integrität der Seiteninhalte meldet. Gängige Lösungen hierfür sind der Einsatz einer Content-Security-Policy (CSP) und der Subresource- Integrity-(SRI)-Funktion in den Browsern der Endkunden. Beide Verfahren sind aber noch nicht in der Breite als Standardlösungen im Einsatz und es bleibt abzuwarten, wie praktikable Lösungen für die genannten Themen aussehen. Technische Benutzer-Accounts Die Nutzung technischer Benutzer-Accounts (z. B. Datenbank- oder Applikations-User) wurde bislang im PCI DSS nur am Rande reglementiert. Technische Benutzer- zugänge stellen aber erfahrungsgemäß ein hohes Risiko dar: Sie haben üblicherweise sehr umfassende Rechte und sind zum anderen häuﬁ g auch vom Monitoring aus- genommen, weil sie ansonsten die zentrale Log-Lösung mit der schieren Anzahl an Einträgen an ihre Grenzen bringen würden. Mit DSS 4.0 ändert sich die Bewertung umfas- send und es werden technische und organisatorische Kontrollen gefordert. Die neuen Anforderungen decken verschiedene Bereiche rund um die Nutzung technischer Benutzerzugänge ab. Hier fordert der Standard beispiels- weise strenge Genehmigungsprozesse für das Anlegen von technischen Benutzern; und auch die Nutzung von „hard- coded“ Passwörtern in Skripten, Software-Code et cetera wird nun explizit verboten. Phishing Das Thema Phishing wurde in den bisherigen DSS Versionen nicht adressiert und in DSS 4.0 an zwei Stellen ergänzt: zum einen im Bereich Security-Awareness- Training, wo nun explizit auch das Thema Phishing Be- standteil der Maßnahmen sein muss – und zum anderen müssen auch technische Anti-Phishing-Maßnahmen um- gesetzt werden. Beispielhaft wird hier eine Mischung aus Anti-Spooﬁ ng-Maßnahmen (z. B. Domainbased Message- Authentication, Reporting & Conformance – DMARC, Sender-Policy-Framework – SPF sowie Domain-Keys- Identiﬁ ed-Mail – DKIM) sowie server- und clientbasierter Anti-Malware-Lösungen genannt. Viele dieser Themen sollten allerdings bei den meisten Unternehmen bereits gängige Praxis sein und stellen vermutlich keine große Herausforderung bei der Umsetzung dar. Vulnerability-Scanning und -Management Weitere spannende Neuerungen wurden im Bereich Vulnerability-Scanning und -Management er- gänzt. Die wichtigste ist die zukünftige Verpﬂ ichtung, authentiﬁ zierte Scans im internen Netz zu nutzen. Viele Schwachstellenscanner bieten schon heute die technische Möglichkeit an, sich mit hinterlegten Zugängen in die Systeme einzuloggen. Da diese Möglichkeit aber nach Ein- schätzung der Autoren noch nicht großﬂ ächig in Unter- nehmen genutzt wird, bedarf dies einer entsprechenden Planung und Tests auf Unternehmensseite. Zusätzlich müssen in DSS 4.0 nun alle von den Scannern gefundenen Schwachstellen behandelt wer- den – unabhängig ihrer Risikoeinstufung nach Common 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2022#3

Vulnerability-Scoring-System (CVSS). Generell ist es zwar weiterhin erlaubt, identiﬁ zierte Schwachstellen mit einer geringen Risikoeinstufung auch mit geringer Priorität zu behandeln – aber allein das letztendliche Handling sämt- licher Schwachstellen und deren Risikobewertung und Nachverfolgung der Aktivitäten dürften viele Unterneh- men vor neue Herausforderungen stellen. Fazit PCI DSS 4.0 wird dem lang erwarteten, großen Wurf gerecht – die Neuerungen sind zeitgemäß und schließen in vielen Fällen Lücken, die in der Sicherheitsar- chitektur von Kreditkartenumgebungen im Laufe der letz- ten Jahre identiﬁ ziert wurden. Dass praktisch alle neuen Anforderungen erst ab dem 1. April 2025 umgesetzt sein müssen, hinterlässt jedoch einen faden Beigeschmack: Bei den von vielen Unternehmen bekanntermaßen knapp kalkulierten Budgets für die IT-Sicherheit besteht so die Ge- fahr, dass viele sinnvolle Investitionen in die Verbesserung der IT-Sicherheit erst im Jahr 2024 eingeplant werden. Generell muss sich das PCI Council auch die Frage stellen, ob es sich noch einmal erlauben kann, eine derart lange Zeit bis zum nächsten Major-Release-Update verstreichen zu lassen – „nach dem Update ist vor dem Up- date!“ und es bleibt abzuwarten, ob nicht in naher Zukunft schon wieder ein Minor-Update notwendig sein wird. Darüber hinaus bleibt die Frage offen, ob es der Kreditkar- tenindustrie und dem PCI Council gelingt, die vielfältig sinnvollen und strengen Anforderungen des PCI DSS 4.0 durch die Einführung des Customized Approach auch für andere, nicht-kreditkartenrelevante Bereiche attraktiv zu machen – das würde aus Sicht der Autoren einen echten Gewinn an mehr Sicherheit in Unternehmen bringen. Zwischenzeitlich wurden vom PCI Council auch die sogenannten Selbstauskunftsfragebögen (Self- Assessment-Questionnaires, SAQs) in der neuen Versi- on 4.0 veröffentlicht (siehe www.pcisecuritystandards. org/pci_security/completing_self_assessment). Diese sind gerade für Händler sehr wichtig, weil dort der Compliance- Nachweis typischerweise anhand der szenariobasierten Fragebögen erfolgt. Auch dort ﬁ nden sich teilweise signi- ﬁ kante Änderungen wieder – in den nächsten Monaten bleibt abzuwarten, wie sich diese Änderungen auf die kre- ditkartenakzeptierenden Händler auswirken werden. ■ Christopher Kristes ist Vorstand für den Bereich Security Audits & PCI bei der usd AG und als Auditor und QSA tätig. Torsten Schlotmann ist Leiter für den Bereich PCI Security Services bei der usd AG und als QSA und PCI Secure Software Assessor tätig.

Need to know für CISO & Co W <kes> liefert strategisches Wissen für Security- Verantwortliche W <kes> informiert redaktionell unabhängig zu Manage- ment und Technik der Informations-Sicherheit W <kes> enthält das amtliche Organ des Bundes- amts für Sicherheit in der Informations- verarbeitung – BSI-Forum W <kes> kostet im Jahr weniger als zwei Beraterstunden Für 149,00 € jährlich (inkl. MwSt. und Versandkosten) erhalten Sie alle zwei Monate eine gedruckte Ausgabe und für bis zu fünf Mitarbeiter am beliefer ten Standor t Online-Zugriff auf alle aktuellen Beiträge sowie das <kes>-Archiv. D i e Z e i t s c h r i f t f ü r I n f o rm a t i o n s - S i c h e r h e i t Online bestellen: datakontext.com/kes oder per Mail: abo@kes.de